Les spammeurs envoient des milliards de messages par jour. Il s’agit principalement de simples publicités, souvent ennuyantes et inoffensives, mais la pièce jointe est parfois malveillante.
Pour inciter le destinataire à ouvrir le fichier dangereux, les cybercriminels lui font croire qu’il s’agit d’un document intéressant, utile voire important : document de travail, offre irrésistible, carte cadeau avec le logo d’une entreprise que vous connaissez bien et qui pourrait vous amener à télécharger un malware, etc.
Les distributeurs de malware ont leurs propres formats. Cet article présente les formats de fichiers élus cette année comme les meilleurs pour cacher un malware.
1. Archives ZIP et RAR
Les cybercriminels adorent cacher des malwares dans les archives. Par exemple, les fichiers ZIP ont un titre qui encourage l’utilisateur à cliquer, comme Love_You0891 (le nombre change), et les escrocs s’en servent notamment pour répandre le ransomware GandCrab la veille de la Saint-Valentin. D’autres malfaiteurs ont été repérés quelques jours plus tard alors qu’ils envoyaient des fichiers contenant le cheval de Troie Qbot, spécialisé dans le vol de données.
Cette année nous a aussi permis de découvrir une caractéristique intéressante de WinRAR. Lorsque vous créez une archive, il s’avère que la personne peut mettre en place certaines règles pour que le contenu soit extrait et sauvegardé dans le fichier système. Dans ce cas, le contenu peut être enregistré dans le fichier Démarrer de Windows, pour que le malware se lance lors du prochain démarrage. Par conséquent, nous conseillons aux utilisateurs de mettre à jour WinRAR pour ne pas être infectés par le malware.
2. Documents Microsoft Office
Les cybercriminels connaissent très bien les fichiers Microsoft Office, surtout lorsqu’il s’agit des documents Word (DOC, DOCX), des feuilles de calcul Excel (XLS, XLSX, XLSM), des présentations PowerPoint et des modèles. Ces fichiers peuvent contenir des macros intégrées, c’est-à-dire de petits programmes qui s’exécutent dans le fichier. Les cybercriminels utilisent les macros comme scripts pour télécharger le malware.
Dans la plupart des cas, ces pièces jointes infectées par un malware s’en prennent aux employés de bureau. Ils se font passer pour des contrats, des factures, des notifications fiscales ou des messages urgents envoyés par les dirigeants. Par exemple, un cheval de Troie bancaire connu sous le nom de Ursnif s’en prenaient aux utilisateurs italiens alors qu’ils pensaient qu’il s’agissait d’un avis de paiement. Si la victime ouvrait le fichier et autorisait les macros (désactivées par défaut pour des raisons de sécurité), le cheval de Troie se téléchargeait et s’installait sur l’ordinateur.
3. Fichiers PDF infectés par un malware
Beaucoup de personnes savent que les macros des documents Microsoft Office peuvent être dangereuses mais elles n’en savent pas autant sur les pièges des fichiers PDF. Néanmoins, les PDF peuvent cacher des malwares. Ce format peut être utilisé pour créer et exécuter des fichiers JavaScript.
De plus, les cybercriminels adorent cacher des liens d’hameçonnage dans les documents PDF. Par exemple, lors d’une campagne spam, les escrocs ont encouragé les utilisateurs à consulter une page « sécurisée » où on leur demandait de se connecter à leur compte American Express. Inutile de dire que leurs identifiants ont immédiatement été envoyés aux escrocs.
4. Images disques ISO et IMG
Par rapport aux autres formats de pièces jointes dont nous avons déjà parlés, les fichiers ISO et IMG ne sont pas souvent utilisés pour réaliser des attaques au malware. Ils attirent beaucoup plus l’attention des cybercriminels depuis quelque temps. Ces fichiers, les images disques, sont tout simplement la copie virtuelle d’un CD, DVD ou autre disque.
Les cybercriminels ont utilisé une image disque pour installer un malware sur l’ordinateur des victimes, comme le cheval de Troie Agent Tesla, connu pour voler les identifiants. L’image hébergeait un fichier exécutable malveillant qui, une fois téléchargé, activait et installait un spyware sur l’appareil. Nous avons remarqué que les cybercriminels utilisaient parfois deux pièces jointes (une ISO et un DOC) comme sécurité.
Comment gérer les pièces jointes potentiellement dangereuses
Il serait excessif de mettre tous les messages ayant une pièce jointe (archive ou fichier DOCX/PDF) dans le dossier spam pour protéger votre dispositif des malwares. Suivez ces quelques conseils pour être plus rusé que les escrocs :
- N’ouvrez jamais les messages suspects envoyés à partir d’une adresse qui vous est inconnue. Si vous ne savez pas pourquoi vous avez reçu ce message ayant tel objet alors il est fort probable que vous n’en ayez pas besoin.
- Si, dans le cadre de votre travail, vous êtes souvent en contact avec des personnes que vous ne connaissez pas, alors vérifiez minutieusement l’adresse de l’expéditeur et le nom de la pièce jointe. Si rien n’éveille vos soupçons alors vous pouvez l’ouvrir.
- N’autorisez pas l’exécution des macros dans les documents que vous recevez par e-mail sauf si vous êtes certain que vous devez le faire.
- Faites attention aux liens qui figurent dans les fichiers. Si vous ne comprenez pas pourquoi vous devez suivre un lien alors ignorez-le. Si vous pensez que vous n’avez pas besoin de suivre le lien, saisissez manuellement l’adresse du site en question dans votre navigateur.
- Utilisez une solution de sécurité de confiance qui va vous dire si les fichiers sont dangereux ou peuvent contenir un malware, puis bloquez-les. Elle va également vous avertir si vous essayez d’accéder à un site suspect.