"Le tour d'horizon des Human Risk : Quand le navigateur devient l'appât "

Dans cette édition du Human Risk Roundup, nous examinons comment les attaquants s'adaptent aux défenses techniques renforcées en se concentrant sur le comportement humain. Une nouvelle technique de phishing, baptisée FileFix 2.0, démontre qu'une action aussi banale que l'enregistrement d'un fichier dans votre navigateur peut être manipulée pour installer un malware, sans qu'aucune chaîne d'exploitation ne soit nécessaire. De plus, les opérateurs de ransomware redoublent d'efforts pour atteindre des cibles de grande valeur et des données personnelles sensibles afin de maximiser l'impact de leur action. Les nouvelles données révèlent une tendance plus large : les navigateurs devenant plus difficiles à exploiter directement, les pirates les utilisent de plus en plus pour manipuler les utilisateurs. Lisez la suite pour connaître les dernières tactiques et ce que les responsables de la sécurité doivent savoir pour gérer le risque humain. 

FileFix 2.0 : Une nouvelle tactique de phishing exploite le comportement du navigateur 

Un nouveau vecteur d'attaque par phishing, baptisé FileFix 2.0 par le chercheur en sécurité mr.d0x, manipule la manière dont les navigateurs modernes enregistrent les fichiers HTML afin de contourner les principaux mécanismes de sécurité et d'inciter les utilisateurs à télécharger des contenus malveillants. Cette technique s'appuie sur la méthode ClickFix déjà connue, qui utilise l'ingénierie sociale pour exploiter la confiance des utilisateurs et le comportement de leur navigateur, ce qui permet aux attaquants de diffuser des malware par le biais d'attaques de phishing en un clic. 

Ce qui se passe 

Les cybercriminels créent de faux sites web qui imitent des plateformes de confiance comme Google ou Microsoft, avec des instructions réalistes et des codes numérotés pour instaurer la confiance. Ces sites encouragent les utilisateurs à enregistrer les "codes de sauvegarde" sur leurs appareils en utilisant "Ctrl+S" et à nommer le fichier avec une extension ".hta". 

Pensant stocker en toute sécurité des informations de sécurité importantes, les utilisateurs téléchargent sans le savoir un fichier malveillant capable d'exécuter des commandes nuisibles sur leur ordinateur. Pour que le fichier paraisse légitime, les attaquants manipulent son nom ou cachent des détails essentiels, tels que l'extension du fichier, afin de ne pas éveiller les soupçons. 

Cette attaque tire également parti d'une bizarrerie du navigateur qui ne tient pas compte d'une fonction de sécurité clé de Windows appelée "Mark of the Web" (MOTW). Sans cette protection, le fichier malveillant peut être exécuté sans déclencher d'avertissement, ce qui le fait paraître sûr aux yeux des utilisateurs et des systèmes de sécurité. 

Pourquoi c'est important 

Cette attaque montre comment les pirates exploitent les comportements des navigateurs et la confiance des utilisateurs pour contourner les mécanismes de sécurité traditionnels. En utilisant l'absence de métadonnées MoTW et en manipulant les extensions de fichiers, les attaquants peuvent diffuser des malwares sans déclencher les avertissements de sécurité habituels. 

La méthode FileFix 2.0 est particulièrement dangereuse car elle combine l'évasion technique et l'ingénierie sociale, ce qui la rend plus difficile à détecter pour les utilisateurs et les défenses automatisées. La possibilité d'une exploitation généralisée dans les environnements des consommateurs et des entreprises souligne la nécessité de mettre en place des défenses proactives. 

Conseils pratiques pour les responsables de la sécurité 

Utilisez des outils de web security pour le courrier électronique et le web afin de bloquer les pièces jointes malveillantes, d'analyser les liens et de supprimer les contenus nuisibles pour mettre fin aux menaces de phishing et de malware. 

Sensibilisez les utilisateurs en leur apprenant à reconnaître les tentatives d'hameçonnage. 

Utilisez la détection des menaces pour identifier et bloquer les fichiers ou liens malveillants avant qu'ils n'atteignent les utilisateurs. 

Surveillez les activités suspectes en temps réel pour détecter rapidement les campagnes de phishing ou de malware et y répondre. 

Lire la suite dans Bleeping Computer.

L''augmentation constantedu nombre de ransomware révèle de nouvelles règles du jeu

Les criminels utilisent le ransomware-as-a-service (RaaS) pour étendre leurs opérations et attaquer un plus grand nombre d'organisations afin d'exiger de l'argent en échange de données prises en otage. Les incidents récents impliquant le gouvernement suisse et Optima Tax Relief soulignent également la façon dont les acteurs malveillants ciblent de plus en plus les partenaires tiers et les données de grande valeur afin de maximiser leur impact.  

Ce qui s'est passé 

En Suisse, le gang du ransomware Sarcoma a ciblé Radix, une organisation tierce qui gère des programmes de santé et des services de conseil en ligne pour le gouvernement. Les attaquants ont volé plus de 1,3 téraoctet de données, notamment des dossiers financiers, des contrats et des communications, et les ont divulguées sur le dark web après l'échec des négociations relatives à la rançon. Si les systèmes internes du gouvernement suisse n'ont pas été violés, des plateformes telles que SafeZone et StopSmoking, qui offrent des conseils anonymes, ont probablement été touchées, ce qui soulève des inquiétudes quant au respect de la vie privée et à l'exposition d'informations personnelles sensibles. 

Une autre attaque récente du groupe Chaos ransomware contre Optima Tax Relief a également entraîné la perte de données personnelles et d'entreprise. Cette attaque fait suite à la violation présumée de l'Armée du Salut par Chaos au début de l'année. Les rapports indiquent que Sarcoma et Chaos utilisent des tactiques de double extorsion, en chiffrant les systèmes et en menaçant de divulguer les données volées afin de pousser les victimes à payer. 

Pourquoi c'est important 

Ces incidents mettent en évidence l'évolution des tactiques et des cibles des gangs de ransomware. Des groupes criminels comme Sarcoma et Chaos se concentrent sur les organisations qui stockent des données très sensibles, souvent immuables, telles que des dossiers gouvernementaux et des fichiers de conseils personnels, ce qui rend les efforts d'extorsion plus efficaces. La double extorsion est devenue une pratique courante, les données volées étant divulguées publiquement pour accroître la pression sur les victimes. Les tactiques d'ingénierie sociale sont souvent utilisées comme point d'entrée initial, exploitant la confiance humaine pour obtenir un accès et préparer le terrain pour ces attaques sophistiquées.  

Conseils pratiques pour les responsables de la sécurité  

• Utilisez des outils de sécurité pour le courrier électronique et web security afin de bloquer les pièces jointes malveillantes, d'analyser les liens et de supprimer les contenus nuisibles pour mettre fin aux menaces de phishing et de malware. 

• Sensibilisez les utilisateurs pour les aider à reconnaître les tentatives de phishing et à éviter les comportements à risque. 

• Utilisez la réécriture et l'analyse des URL pour analyser les liens au moment du clic et bloquer les URL malveillantes, même en cas d'attaques différées ou sensibles au facteur temps. 

• Activez la protection contre le phishing et l'usurpation d'identité pour identifier et bloquer les courriels qui imitent des marques ou des personnes de confiance, réduisant ainsi le risque d'ingénierie sociale. 

Pour en savoir plus sur les attaques, cliquez ici.

À surveiller : Les humains remplacent les navigateurs comme nouvelle surface d'attaque 

Un nouveau rapport révèle que si les exploits traditionnels des navigateurs sont en baisse, les attaquants ciblent de plus en plus les utilisateurs eux-mêmes, transformant le navigateur en une rampe de lancement pour la tromperie. En 2024, 70% des attaques ont commencé par le téléchargement d'un navigateur, contre 58% l'année précédente. Au lieu d'exploiter les vulnérabilités, les attaquants détournent les fonctions légitimes du navigateur, incitant les utilisateurs à installer des extensions malveillantes ou à autoriser des applications trompeuses par l'intermédiaire de plateformes de confiance comme Google Chrome. Comme le rapporte Dark Reading, il ne s'agit plus de casser le logiciel, mais de briser la confiance de l'utilisateur. Avec l'essor du travail à distance et de la dépendance au cloud, l'utilisateur est devenu la nouvelle surface d'attaque. Il est donc essentiel de donner la priorité à l'éducation et à la sensibilisation des utilisateurs, ainsi qu'aux défenses proactives, afin de garder une longueur d'avance sur ces menaces en constante évolution. La gestion des risques humains est désormais la pierre angulaire de la cybersécurité, l'objectif étant de doter les utilisateurs des connaissances et des outils nécessaires pour identifier et contrer ces menaces en constante évolution.

                                                             Lisez l'article complet dans Dark Reading.