Au cours des trois dernières années, l’un des vecteurs les plus populaires de programmes malveillants et d’autres types de code malveillant a été une simple pièce jointe. Plus concrètement, les pièces jointes codées en HTML (Hypertext Markup Language), sont devenues une manière de plus en plus populaire de commettre un grand nombre de différents (et de plus en plus sophistiqués) types de cybercriminalité, notamment des usurpations d’identité via des chevaux de Troie d’accès à distance (RAT, Remote Access Trojan), des attaques de ransomware et des tentatives de phishing. De manière inquiétante, il ne s’agit pas d’un incident isolé ou d’une sorte d’attaque massive émanant d’un agent de menace unique ; les pièces jointes malveillantes HTML semblent désormais être la méthode privilégiée par de nombreux pirates dans le monde en 2023.
Souvent appelée « contrebande HTML » dans les cas les plus sophistiqués, pour lesquels la charge utile malveillante réside dans la pièce jointe HTML elle-même, cette technique (bien qu’elle soit connue depuis longtemps et utilisée par divers cybercriminels au fil des ans) a été mise sur le devant de la scène via une campagne de phishing réalisé par la cybermenace importante NOBELIUM. Ces dernières années, cette technique a été utilisée pour fournir tout un éventail de programmes malveillants, notamment Mekotio (le tristement célèbre cheval de Troie bancaire), Trickbot et AsyncRAT/NJRAT. Avec l’augmentation de ce type de cybercriminalité et le constat que le tiers des domiciles aux États-Unis sont infectés par une certaine forme de programme malveillant, il est important de comprendre comment fonctionnent les attaques de pièces jointes HTML malveillantes (et de contrebande HTML) et comment se protéger contre celles-ci. C’est la raison pour laquelle nous avons créé ce guide pour les pièces jointes HTML et la contrebande HTML, afin que vous ayez l’esprit tranquille chaque fois que vous souhaitez accéder à vos e-mails.
Que sont les pièces jointes HTML malveillantes ?
Les pièces jointes malveillantes HTML sont un type de programmes malveillants que l’on trouve généralement dans les e-mails sous la forme de pièces jointes qu’ils comportent. Ils sont principalement activés lorsque l’utilisateur clique sur le fichier en pièce jointe HTML infecté. Une fois celui-ci ouvert, l’utilisateur est redirigé par le biais de bibliothèques JavaScript hébergées en externe vers le site Web de phishing du pirate (ou toute autre forme de contenu malveillant contrôlé par l’agresseur, par exemple une page de connexion). Les formes les plus connues de ce type de tentative de phishing HTML se présentent souvent sous la forme d’une fenêtre contextuelle Microsoft. La fenêtre demande à l’utilisateur des détails quelconques relatifs aux informations d’identification ou de connexion, qui leur permettront de télécharger le fichier en pièce jointe HTML reçu dans l’e-mail du pirate. Une fois ces informations saisies, les détails relatifs à l’utilisateur sont envoyés au pirate pour une exploitation ultérieure, notamment une fraude financière, une usurpation d’identité et une extorsion via un ransomware.
Qu’est-ce que la contrebande HTML ?
La contrebande HTML, connue comme étant une forme plus technique d’une attaque de logiciel malveillant sous forme de pièce jointe HTML, utilise HTML 5 et JavaScript pour « passer en contrebande » du code malveillant sur l’ordinateur de la victime, via un script conçu de manière personnalisée, intégré dans la pièce jointe HTML elle-même. Lorsque la victime de l’attaque ouvre la pièce jointe HTML malveillante dans son navigateur Web, le navigateur décode le script embarqué, qui assemble la charge utile sur le propre ordinateur de la victime. Cela permet au pirate de créer localement le logiciel malveillant derrière le pare-feu de la victime.
Ce type d’attaque profite du fait que HTML et JavaScript font partie des éléments les plus courants et les plus importants sur les ordinateurs de confiance utilisés quotidiennement (dans le contexte d’une utilisation professionnelle et personnelle). De ce fait, cette technique est en mesure de contourner les logiciels de contrôle de sécurité standards (tels que les proxys Web et les passerelles de messagerie) qui ne font que vérifier les signatures basées sur le trafic ou les types de pièces jointes habituellement douteuses, telles que les fichiers .EXE, .ZIP ou .DOCX. Dans la mesure où les fichiers malveillants sont créés une fois que le fichier est chargé par l’intermédiaire du navigateur sur l’ordinateur de la victime, les solutions de sécurité standards n’enregistrent qu’un trafic HTML et JavaScript anodin. De plus, des techniques de cybercriminalité plus avancées, telles que le « brouillage », permettent aux pirates de réussir à masquer leurs scripts malveillants par rapport à des logiciels de sécurité plus avancés.
La contrebande HTML fonctionne en tirant parti de l’attribut « télécharger » pour les balises d’ancrage et de l’utilisation de blobs JavaScript pour assembler la charge utile sur l’appareil de la victime. Une fois que l’attribut « télécharger » a été cliqué, il permet à un fichier HTML de télécharger automatiquement un fichier malveillant référencé dans la balise « href ». Avec l’utilisation de JavaScript, un processus similaire est adopté : le blob JavaScript stocke les données codées du fichier malveillant, qui est ensuite décodé lorsqu’il est transmis à une API JavaScript qui attend une URL. Cela signifie que le fichier malveillant est téléchargé automatiquement, puis élaboré localement sur l’appareil de la victime en utilisant des codes JavaScript.
Autres types de pièces jointes malveillantes dans les e-mails
HTML étant l’un des types de pièces jointes les plus courants pour introduire des programmes malveillants dans le système d’un utilisateur, il est important d’avoir conscience des autres types de fichiers courants susceptibles d’être aussi dangereux :
Fichiers .EXE
Comme indiqué précédemment, les fichiers .EXE, ou fichiers exécutables sur un système d’exploitation Windows sont un vecteur de menace courant (et bien connu) par rapport auquel vous devez être à l’affût. Si vous voyez l’un de ces éléments dans un e-mail (émanant d’un expéditeur approuvé ou autre), vous devez éviter de télécharger et d’ouvrir le fichier.
Fichiers .ISO
Les fichiers ISO sont généralement utilisés pour stocker et changer une copie de tout ce qui se trouve sur le disque dur d’un ordinateur et pour distribuer des systèmes tels qu’Apple ou Windows. Comme Windows peut désormais monter ces fichiers sans logiciel supplémentaire, ce type de pièces jointes a gagné en popularité ces dernières années. Cependant, si vous recevez des fichiers via un compte de messagerie personnel ou professionnel et que vous n’avez pas demandé un système complet ou que vous n’êtes pas en train de partitionner votre ordinateur pour exécuter plusieurs systèmes d’exploitation, il n’est pas nécessaire de disposer de ce fichier. C’est pourquoi, dans la plupart des cas, ne le téléchargez pas et supprimez ce fichier de votre boîte de réception, car il s’agit très certainement d’un programme malveillant.
Fichiers Microsoft Office
Comme les fichiers Microsoft Office (tels que .DOCX, .XLSX ou .PPTX) sont omniprésents dans les formats commerciaux standards dans le monde entier, ils constituent le moyen idéal de délivrer toutes sortes de programmes malveillants à des entreprises peu soupçonneuses. Ils sont également l’un des éléments les plus difficiles contre lesquels se prémunir et se présentent souvent sous la forme d’une facture urgente ou d’une demande finale, qui incite la victime à ouvrir les fichiers.
Comment se protéger contre les pièces jointes HTML malveillantes ?
Heureusement, il existe certaines mesures que vous pouvez prendre pour atténuer les menaces que posent les pièces jointes HTML malveillantes et vous défendre contre celles-ci.
Un système d’analyse et de protection des e-mails
Un système dédié d’analyse et de protection des e-mails représente la première défense contre les pièces jointes malveillantes des e-mails et les scripts embarqués. Toutefois, comme nous l’avons indiqué précédemment, les systèmes de sécurité standards ne sont pas suffisants pour contrôler les menaces en évolution posées par les cybercriminels à l’heure actuelle. Aujourd’hui, les spécialistes de la cybersécurité recommandent d’utiliser une solution antivirus automatisée qui inclut le machine learning et l’analyse statique du code, afin de pouvoir déterminer le contenu réel d’un e-mail et pas seulement le type de fichier joint. Pour bénéficier d’une solution de cybersécurité en ligne avancée, nous recommandons Kaspersky Premium. Ce système primé, destiné à la fois aux entreprises et aux particuliers, comprend une assistance à distance et un support disponibles 24 heures sur 24, 7 jours sur 7.
Contrôles d’accès stricts
Même s’il se produit une violation ou une perte des informations d’identification, la limitation de l’accès utilisateur aux personnels essentiels est un bon moyen de réduire les dommages qu’un cybercriminel peut raisonnablement infliger. Vous devez également vous assurer que les utilisateurs qui disposent d’un aspect aux systèmes vitaux utilisent une authentification multifactorielle (parfois appelée MFA, authentification à deux facteurs ou 2FA), afin de réduire davantage l’exposition, en rajoutant une couche à votre stratégie de cybersécurité. En outre, une manière importante de protéger vos ressources vitales contre des erreurs d’accès de la part d’employés (en particulier s’ils travaillent à distance), consiste à utiliser un réseau privé virtuel, ou VPN. Le VPN de Kaspersky permet à ses utilisateurs de se connecter à distance aux serveurs de l’entreprise via un tunnel numérique chiffré. Ce tunnel protège leur système contre les dangers du Wi-Fi et les connexions Internet non sécurisées, partout où ils sont dans le monde.
Formation à la cybersécurité et meilleures pratiques
L’une des manières les plus simples de garder de précieuses ressources en toute sécurité par rapport à une attaque de pièce jointe HTML consiste à former votre personnel (ou vous-même) aux meilleures pratiques en matière de cybersécurité et à savoir comment repérer les éléments suspects dans les e-mails, fichiers et pièces jointes. Cela passe notamment par le fait de ne pas partager des mots de passe ou des informations d’identification de connexion avec des collègues, de ne pas réutiliser les mots de passe pour plusieurs logiciels ou comptes (nous recommandons d’utiliser un gestionnaire de mots de passe ou un coffre-fort, qui chiffre vos mots de passe et remplit automatiquement chacun de ceux-ci lorsque cela est nécessaire), et de toujours utiliser un mot de passe complexe ou une phrase de passe (longueur de 10 à 12 caractères, contenant un mélange de caractères spéciaux, de chiffres et de lettres en majuscules et en minuscules).
FAQ sur les pièces jointes HTML
Que sont les pièces jointes HTML ?
Les pièces jointes HTML sont des fichiers joints e-mail et qui sont codés en HTML (Hypertext Markup Language). Au cours des dernières années, les pièces jointes HTML malveillantes (celles qui contiennent des logiciels malveillants embarqués ou des liens basés sur JavaScript vers des sites Web de phishing) sont devenues des vecteurs courants pour les cybercriminels cherchant à contourner les pare-feu et les systèmes de protection des messageries.
Les fichiers HTML peuvent-ils contenir des virus ?
Oui, les fichiers HTML peuvent contenir des virus et d’autres sortes de logiciels malveillants, notamment des tentatives de phishing et des ransomware. Ce type de cyberattaques est connu comme attaque par pièce jointe HTML malveillante ou contrebande HTML. Cela implique l’utilisation de liens JavaScript pour feindre une connexion Windows ou un logiciel embarqué afin d’exploiter les informations d’identification et les fichiers personnels d’un utilisateur.
Les fichiers HTML peuvent-ils être dangereux ?
Oui, les fichiers HTML (incluant les pièces jointes dans les e-mails) peuvent être très dangereux pour votre système. Ces dernières années, les spécialistes de la cybersécurité ont constaté une augmentation des cyberattaques qui utilisant des pièces jointes HTML malveillantes pour dérober des données personnelles. Ce type d’attaque est souvent appelé contrebande HMTL.
Qu’est-ce que la contrebande HTML ?
La contrebande HTML est une forme de plus en plus populaire de cyberattaque qui exploite le langage HTML (généralement HTML 5) et JavaScript pour introduire diverses formes de programmes malveillants dans le système d’un utilisateur. Cette technique est capable de contourner les protocoles de protection de messagerie habituels et permet aux pirates d’élaborer localement le logiciel malveillant derrière le pare-feu de la victime.
Articles connexes :
- Que sont les gestionnaires de mots de passe et sont-ils sécurisés ?
- Que sont que les courriers indésirables et le phishing ?
- Que sont les chevaux de Troie et à quelle catégorie appartiennent-ils ?
Produits recommandés :
