Sécurité

ZIP et RAR ont dépassé les fichiers Office en tant que conteneurs de logiciels malveillants les plus utilisés – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Nous espérons tous avoir appris il y a longtemps à ne pas ouvrir les fichiers Microsoft Office suspects, qui ont longtemps été l’un des vecteurs les plus courants d’infection par des logiciels malveillants. Selon un nouveau rapport, il existe un nouvel ennemi public numéro un en matière de cybersécurité : les archives ZIP et RAR. Les données de HP Wolf Security montrent que les archives de fichiers cryptées sont devenues le moyen le plus courant de distribuer des logiciels malveillants, et votre analyseur antivirus peut être de peu d’aide.

Selon le groupe d’analyse des menaces de HP, les archives ZIP et RAR représentaient 42 % des attaques de logiciels malveillants entre juillet et septembre de cette année. Cette méthode a bondi de 11 % au cours de l’année 2022, stimulée par des méthodes plus avancées d’ingénierie sociale (hameçonnage) et de falsification HTML. Cela rend les archives malveillantes plus courantes que les virus distribués via des fichiers Microsoft Word et Excel, qui ont été la méthode la plus populaire pendant trois années consécutives.

L’envoi de logiciels malveillants sous forme d’archives peut compliquer la sécurité des internautes, même avertis. HP Wolf Security, explique que ces archives peuvent masquer la charge utile dangereuse des scanners car ils ne peuvent pas voir à l’intérieur des conteneurs chiffrés. Ces fichiers ZIP et RAR sont souvent associés à un faux fichier HTML qui se fait passer pour un PDF. Lorsqu’ils sont exécutés, ils produisent un faux visualiseur de documents Web dans lequel l’utilisateur saisit un mot de passe. Cependant, ce mot de passe décrypte en fait le fichier d’archive, exposant le système aux logiciels malveillants. Le groupe de menaces de HP affirme que les auteurs de logiciels malveillants ont déployé beaucoup d’efforts rendre les fausses pages HTML aussi légitimes que possible.

Un faux visualiseur Web qui demande aux victimes de saisir un mot de passe pour décrypter l’archive infestée de logiciels malveillants. Crédit : HP Wolf Security

Le malware bien connu Qakbot a adopté cette méthode, ce qui pourrait avoir quelque chose à voir avec l’augmentation de l’utilisation. Il apparaît généralement dans des e-mails prétendant provenir de grandes marques et de fournisseurs de services en ligne. Si l’utilisateur déchiffre par erreur l’archive, il télécharge des logiciels malveillants sous la forme d’une bibliothèque de liens dynamiques qui peut être lancée avec des fonctionnalités Windows natives. Qakbot peut voler des données ou ouvrir la voie à des ransomwares. Un package similaire connu sous le nom d’IcedID a adopté un mécanisme de distribution presque identique à la fin de 2022, mais celui-ci charge un rançongiciel exploité par l’homme qui aide les cybercriminels à cibler les fichiers et les systèmes les plus importants sur un réseau. L’équipe a également repéré le rançongiciel Magniber en utilisant cette méthode, après avoir apparemment abandonné sa dépendance aux fichiers MSI et EXE faciles à repérer.

Étant donné que les analyseurs de logiciels malveillants ne peuvent pas détecter le contenu dangereux de ces archives avant leur chargement, les utilisateurs sont avertis de rester vigilants. Si vous recevez une pièce jointe d’une source inattendue, il est probablement préférable de ne pas l’ouvrir.

Maintenant lis:

Bouton retour en haut de la page