HP Threat Insight Report : Les CAPTCHA « Je ne suis pas un robot » utilisés pour propager des malwares

Dans un contexte d'évolution rapide et continue des menaces cyber, ce rapport analyse des cyberattaques afin d'aider les organisations à connaitre et identifier les dernières techniques utilisées par les hackers. Sur la base des données recueillies auprès de millions d'équipements intégrant la suite HP Wolf Security, les chercheurs ont fait les constats suivants :

• “CAPTCHA Me If You Can” : alors que les bots deviennent de plus en plus performants pour contourner les CAPTCHA, les processus d'authentification se complexifient, habituant les utilisateurs à multiplier les vérifications pour prouver leur identité. Les chercheurs HP ont identifié plusieurs campagnes dans lesquelles les hackers créent de faux CAPTCHA pour diriger les victimes vers de sites contrôlés par les cybercriminels et les inviter à compléter plusieurs étapes d'authentification frauduleuses. Elles sont alors piégées et exécutent involontairement une commande PowerShell malveillante sur leur PC et installent une commande PowerShell malveillante sur leur PC qui installe un RAT (remote access trojan) ou un info stealer (comme Lumma Stealer).
• Espionnage via les webcams et microphones : un deuxième type de campagne a révélé que des attaquants diffusent le cheval de Troie XenoRAT, un RAT open-source doté de fonctionnalités de surveillance avancées, incluant le contrôle du micro et de la webcam. Grâce à des techniques d'ingénierie sociale, ils parviennent à convaincre les utilisateurs d'activer les macros dans des documents Word et Excel, leur permettant ainsi de prendre le contrôle des équipements, extraire des données et enregistrer les frappes du clavier. Ces failles montrent que Word et Excel p des vecteurs de diffusion de logiciels malveillants.
• Scripts Python et attaques par images SVG : une autre attaque illustre la façon dont des cybercriminels dissimulent du code JavaScript malveillant dans des images vectorielles SVG pour contourner la détection. Comme ces images s'ouvrent par défaut dans les navigateurs web, elles exécutent le code embarqué pour déployer jusqu'à sept payloads, incluant des chevaux de Troie et des infostealers, offrant ainsi une redondance des attaques et des opportunités de monétisation pour les cybercriminels. Dans cette chaîne d'infection, les attaquants utilisent également des scripts Python masqués pour installer les malwares. La popularité croissante de Python, renforcée par l'essor de l'intelligence artificielle et de la data science en fait un langage privilégié pour le code de malwares, car son programme d'interprétation est largement utilisé.

Patrick Schläpfer, Principal Threat Researcher au HP Security Lab, déclare : « Un point commun entre ces campagnes est l'utilisation de techniques de camouflage et d'anti-analyse. Même des techniques simples mais efficaces de contournement peuvent retarder la détection et la réponse des équipes de sécurité. En utilisant des méthodes comme les appels système, les attaquants compliquent la tâche des outils de sécurité, leur permettant d'opérer plus longtemps sans être détectés et de compromettre les équipements des victimes. »
En isolant les menaces qui ont échappé aux outils de détection traditionnels, tout en permettant aux malwares de s'exécuter dans un environnement encadré et sécurisé, HP Wolf Security a une vision précise des dernières techniques utilisées par les hackers. À ce jour, les clients de HP Wolf Security ont cliqué sur plus de 65 milliards de pièces jointes, de pages web et de fichiers téléchargés sans qu'aucune infection n'ait été signalée.
Le rapport, qui examine les données du quatrième trimestre 2024, montre que les cybercriminels continuent de diversifier leurs méthodes d'attaque pour contourner les politiques de sécurité et les outils de détection :
• Au moins 11 % des menaces par e-mail identifiées par HP Sure Click ont contourné un ou plusieurs passerelles de messagerie.
• Les fichiers exécutables restent le type de diffusion de logiciels malveillants le plus courant (43 %), suivis par les fichiers archivés (32 %).
Dr. Ian Pratt, Global Head of Security for Personal Systems chez HP Inc., commente : « L'authentification en plusieurs étapes est désormais la norme, ce qui accroît notre tolérance aux clics. Nos recherches montrent que les utilisateurs suivent plusieurs étapes dans une chaîne d'infection, révélant les limites des formations à la cybersécurité. Les entreprises livrent une bataille permanente contre les attaquants, une course que l'intelligence artificielle ne fera qu'accélérer. Pour faire face à des menaces toujours plus imprévisibles, les organisations doivent réduire leur surface d'attaque en isolant les actions à risque, comme cliquer sur des éléments potentiellement dangereux. Ainsi, elles n'ont pas besoin d'anticiper la prochaine forme d'attaque : elles sont déjà protégées. »

À propos des données
Ces données ont été collectées auprès de clients HP Wolf Security consentants entre octobre et décembre 2024.