Les choses bougent côté cybermenaces et modalités d’attaques en cette fin d’année. Gare aux infostealers, aux loaders, aux RAT et aux ransomwares, mais surtout à la manière dont ils s’infiltrent sur les systèmes.
Comme chaque trimestre, ANY.RUN a dévoilé cette semaine son rapport Q3 sur les dernières tendances des cybermenaces. Et le moins que l’on puisse dire, c’est qu’il traduit un virage significatif dans le paysage de la cybersécurité, tant concernant l’évolution des familles de malwares les plus actives, que vis-à-vis de l’intensification des attaques et de la sophistication des techniques employées par les hackers.
Des familles et types de malwares plus résilients
C’est un constat sans appel : les malwares gagnent en agressivité et en capacité d'adaptation, alors que l’on observe une diversification assumée des familles actives et une intensification des attaques.
D’après ANY.RUN, les utilisateurs et utilisatrices de la plateforme ont lancé plus d’un million de sessions de détection, un chiffre record en hausse de 23,7 % par rapport au trimestre précédent. Si ce nombre semble témoigner de pratiques de sécurité renforcées, les résultats restent préoccupants : 19,4 % des analyses révèlent des activités malveillantes confirmées, et plus de 4 % des cas restent suspects. En comparaison, le deuxième trimestre 2024 affichait un taux d'activités malveillantes de 18,4 % sur 880 000 analyses, tandis que le premier trimestre cumulait 877 000 analyses pour un taux de détection de 17,2%. En clair, la menace se renforce, trimestre après trimestre.
Mais plus qu'une hausse des attaques, c’est une transformation des méthodes qui se dessine. Les malwares évoluent pour échapper aux détections classiques et pour infiltrer plus profondément les systèmes. Des menaces puissantes comme Lumma et AsyncRAT prennent la tête du classement des malwares les plus actifs, alors qu'elles étaient peu présentes au cours des trimestres précédents. Le top 10 comprend aussi des noms bien connus comme Remcos, Agent Tesla, Stealc, et Cobalt Strike – ce dernier ayant pourtant fait l’objet d’une opération de neutralisation par Europol cet été.
Logiquement, en parallèle de ces nouvelles stratégies, les familles de malwares évoluent. En tête du classement, les stealers, avec 16 511 détections, marquent un retour en force après une période de recul, signe que le vol de données reste une priorité pour les attaquants. En parallèle, les loaders (8 197 détections, +49 % par rapport au trimestre précédent) s'imposent durablement dans la chaîne d’infection en chargeant d’autres malwares une fois le point d’entrée trouvé. Leur efficacité permet de multiplier les attaques complexes, souvent en une seule exécution. Quant aux attaques par RAT (trojans d’accès à distance, 7 191 incidents), elles poursuivent une logique similaire, offrant aux hackers un contrôle direct sur les systèmes pour espionner ou manipuler les cibles à distance.
Des techniques plus sophistiquées et plus sournoises
Outre les évolutions concernant les types et familles de malwares, cette fin d'année 2024 met en évidence des techniques d'infiltration plus discrètes, et donc plus efficaces dans la durée. Des méthodes de plus en plus répandues, qui rendent les attaques quasiment indétectables, aussi bien pour les utilisateurs que pour les systèmes de sécurité.
La désactivation des journaux d'événements Windows
C’est tout bête, mais diablement efficace. Ici, les attaquants désactivent les journaux d'événements Windows pour couvrir toute trace de leur passage. En privant les équipes de sécurité de cette source d’information, ils s’assurent que les tentatives de connexions, les modifications de fichiers et les changements apportés au système ne seront pas conservés par l’OS. Pour y parvenir, les hackers trouvent généralement des façons de modifier des clés de registre ou d’exécuter des commandes via le terminal.
Cette technique complique évidemment l’analyse post-attaque, mais elle permet surtout de déployer des malwares sans éveiller les soupçons des dispositifs de détection. Dans la mesure où les antivirus et autres outils de protection s’appuient sur l’analyse des logs d’événements, s’ils n’existent pas, aucune alerte ne risque de sonner.
L'exécution de scripts PowerShell camouflés
Pour exécuter des commandes malveillantes, rien de tel qu’un accès à PowerShell. Initialement conçu pour automatiser des tâches système, l’outil est ici détourné par les cybercriminels pour lancer des scripts malveillants à distance. Grâce à des techniques d’obfuscation, ces scripts passent facilement sous les radars de sécurité. Et comme PowerShell est intégré nativement à Windows, les systèmes le reconnaissent comme légitime, rendant son usage particulièrement furtif et efficace.
L'automatisation des infections via le terminal Windows
Le terminal Windows se présente, lui aussi, comme un environnement d’attaque privilégié pour les hackers puisqu’il leur permet d’automatiser des actions malveillantes en ligne de commande. En lançant des scripts qui semblent se fondre dans les opérations système normales, ils manipulent des configurations, téléchargent des payloads ou déploient d'autres malwares, sans que personne s'en rende compte. Là encore, les méthodes d’obfuscation peuvent couvrir leurs activités frauduleuses. Un détournement de fonctionnalité standard qui permet de faire passer des actions malicieuses pour des opérations système ordinaires.
Des malwares renommés comme des utilitaires système
La technique du masquerading consiste à donner aux programmes malveillants des noms courants de logiciels grand public ou de processus système, comme « explorer.exe », pour brouiller les pistes. En dissimulant leurs malwares derrière des dénominations familières, les hackers font passer leurs programmes malveillants pour des processus légitimes, qui échappent à la surveillance des utilisateurs et utilisatrices. Cette stratégie caméléon permet aux activités frauduleuses de rester presque invisibles, même pour les systèmes de détection avancés.
Déjouer les analyses en retardant l'activation des malwares
Pour échapper aux environnements de test, ou sandboxes, les cybercriminels intègrent désormais des mesures de temporisations dans leurs malwares. En clair, ils retardent l'activation du code malveillant, jusqu’à ce qu’il sorte de l’environnement de test, ce qui permet au malware de passer inaperçu au cours des premières vérifications. Cette « évasion temporelle » complique la tâche des outils de détection basés sur la simulation, alors que les analyses s’arrêtent avant le déclenchement réel de la charge utile.
Source : ANY.RUN
01 décembre 2024 à 11h06