Les archives deviennent le format préféré pour la diffusion de logiciels malveillants

Les fichiers d’archive aux formats .zip et .rar sont désormais la méthode la plus populaire de distribution de logiciels malveillants. Et c’est une première. Historiquement, les fichiers bureautiques Microsoft Office ont les faveurs des cyber-délinquants.

Mais les conclusions du rapport de HP Wolf Security pour le troisième trimestre 2022 sont formelles : les fichiers d’archives ont compté pour 42 % des cas étudiés sur la période, contre 40 % pour les fichiers Office.

Le rapport fait également état d’une hausse significative de la popularité des archives, ces formats ayant vu leur utilisation augmenter de quelque 22 % depuis le premier trimestre de l’année. Pour l’équipe HP Wolf Security, la raison principale de ce succès est à chercher du côté de leur furtivité accrue.

« Les archives sont attrayantes pour les acteurs malveillants parce qu’elles sont facilement chiffrées, ce qui les rend difficiles à détecter par les proxys web, les sandboxes et les scanners de messagerie », explique le rapport. Et d’ajouter que « de nombreuses organisations utilisent des archives chiffrées pour des raisons légitimes, ce qui rend difficile le rejet des pièces jointes d’archives chiffrées par politique ».

Mais il y a plus. Pour Alex Holland, analyste principal de maliciels chez HP, l’abandon des fichiers Office devrait se poursuivre, Microsoft faisant sa part pour verrouiller le format : « la tendance à s’éloigner des fichiers Office est en cours depuis février de cette année, depuis que Microsoft a renforcé la politique de macros par défaut dans Office, rendant plus difficile pour les attaquants l’exécution de logiciels malveillants à partir de documents ».

« Depuis lors, nous avons vu davantage d’acteurs malveillants – comme ceux qui distribuent QakBot et IcedID – se tourner vers des formats alternatifs, comme les raccourcis Windows (LNK), les ISO, les fichiers HTML et les archives chiffrées ».

En plus de l’augmentation des fichiers d’archives, HP Wolf Security a enregistré une augmentation de ce qu’il appelle la « contrebande HTML » : une méthode visant à contourner les règles de sécurité en utilisant des types de fichiers courants.

Dans ce scénario, l’utilisateur reçoit ce qui semble être un fichier PDF mais qui est en fait rempli de code HTML. En ouvrant le fichier, l’utilisateur est redirigé vers une fausse page de téléchargement d’un lecteur courant tel qu’Adobe Acrobat. La page tente ensuite d’offrir un fichier d’archive qui contient la charge utile réelle du malware.

QakBot (Qbot), notamment, joue sur cette approche pour introduire ses logiciels malveillants sur les machines des utilisateurs finaux. Le groupe, qui avait fait une pause pendant l’été, a commencé à reprendre ses activités. Il est notamment connu pour son rôle dans des attaques avec rançongiciel.

Selon le rapport, « la plupart de ces nouvelles campagnes s’appuient sur la contrebande HTML pour infecter les systèmes, ce qui marque un abandon des documents Office malveillants comme mécanisme de distribution privilégié pour cette famille de logiciels malveillants ».