Barracuda full logo

Threat Spotlight : les malwares modulaires

Thèmes:
6 juin 2019
|
Jonathan Tanner

À cette heure où les attaques par logiciel malveillant modulaire sont en pleine évolution et deviennent de plus en plus sophistiquées, défendez votre entreprise contre ces attaques.

Depuis le début de l'année 2019, l'équipe de recherches de Barracuda a constaté une multiplication des attaques par logiciel malveillant modulaire. Lors d’une analyse menée récemment sur les attaques par e-mail visant les clients de Barracuda, il a été révélé que plus de 150 000 fichiers malveillants distincts ont été utilisés au cours des cinq premiers mois de l'année.

Examinons de plus près les attaques par logiciel malveillant modulaire, ainsi que les solutions qui permettent de les détecter et de les bloquer.

Menaces particulièrement importantes


Les logiciels malveillants modulaires — Pour diffuser leurs logiciels malveillants modulaires, également appelés maliciels modulaires, les pirates informatiques transmettent ces logiciels par messagerie électronique. Par rapport à leurs homologues classiques basés sur des documents ou sur le web, les logiciels malveillants modulaires — qui sont de plus en plus utilisés — sont dotés d'une architecture plus robuste, ce qui les rend plus évasifs et plus dangereux. Ces logiciels malveillants modulaires sont constitués de charges utiles et de fonctionnalités multiples. Ils peuvent lancer leurs éléments au cas par cas selon leur cible et l'objectif de leur attaque.

An ever-increasing trend, modular #malware provides an architecture that is more robust, evasive and dangerous than typical document-based or web-based malware.
Click To Tweet

 

Les détails


malware modulaireLa plupart des logiciels malveillants sont transmis sous la forme d'un document joint à un e-mail indésirable envoyé à des listes de distribution largement diffusées. Ces listes de circulation sont vendues, échangées, cumulées et modifiées au fur et à mesure qu’elles se propagent sur le web clandestin.

Quand un document infecté est ouvert, le logiciel malveillant qu’il contient est parfois automatiquement installé. Dans certains cas, il est téléchargé et installé à partir d'une source externe à l’aide d’une macro ou d’un script très déguisé. Il arrive aussi qu’un lien ou un autre élément cliquable soit utilisé, mais ce type de procédé sert bien plus souvent à mener des attaques par hameçonnage qu’à répandre des logiciels malveillants.

À l’heure actuelle, les botnets exécutant des commandes de piratage sont en plein essor, ainsi que les logiciels malveillants conçus pour être diffusés à grande échelle. C’est dans ces circonstances que la modularité est devenue la nouvelle norme. Au fur et à mesure que les auteurs de logiciels malveillants s’organisent, ils cherchent à améliorer l’efficacité de leurs attaques et, pour ce faire, ils adoptent et en mettent en œuvre les pratiques de l'industrie des logiciels, dont l'assurance qualité et les tests. Les logiciels malveillants modulaires ont évolué pour pouvoir satisfaire une diversité de besoins avec un fichier malveillant unique largement diffusé. Ces logiciels sont plus riches en fonctionnalités que leurs prédécesseurs, et plus flexibles.

diagramme de logiciel malveillant modulaireEn général, les logiciels malveillants modulaires contiennent une charge utile initiale très peu sophistiquée. Quand elle a pénétré dans un système et s’y est installée, cette charge utile se connecte à un serveur de commande et de contrôle à distance (un serveur C2) pour télécharger d’autres charges utiles. Au cours de cette communication, des informations sur le système cible sont envoyées au serveur C2, puis le serveur analyse ces informations pour choisir lesquelles de ses charges utiles supplémentaires il va transmettre. Si un environnement d'analyse est détecté, le serveur peut choisir de ne pas transmettre certaines charges utiles. Cette méthode a été utilisée par certains chevaux de Troie bancaires, notamment Emotet, TrickBot et CoreBot, ainsi que par des logiciels visant à dérober des informations comme LokiBot et Pony.

Comment détecter et bloquer les logiciels malveillants modulaires ?


Face à l'évolution rapide du paysage des menaces, il est indispensable d’adopter une stratégie de protection multicouche qui comble à la fois les lacunes techniques et humaines. Seule une telle démarche peut permettre à chaque entreprise d'optimiser la sécurité de ses e-mails et de minimiser le risque de subir des attaques sophistiquées, comme celles par logiciel malveillant modulaire.

Detecting and blocking modular #malware requires a multi-layered protection strategy #cybersecurity
Click To Tweet



La sécurisation des points d’entrée
Il est indispensable d’activer des outils de sécurité sophistiqués à tout point d’entrée et de sortie. Ces outils doivent comprendre des dispositifs permettant de détecter les logiciels malveillants ainsi que des filtres anti-spam, des pare-feux et des bacs à sable.

Pour les e-mails contenant des pièces jointes malveillantes, les analyses statiques et dynamiques sont en mesure de déceler des indices qui révèlent les documents cherchant à télécharger et à lancer des fichiers exécutables, ce qu'aucun document n'est censé faire. Dans de nombreux cas, les adresses web des fichiers exécutables malveillants peuvent être décelées par les dispositifs heuristiques et par les systèmes de renseignements sur les menaces. Il arrive également que la nature suspecte d’un document soit révélée lorsque des techniques de dissimulation y sont découvertes par une analyse statique.

Les messages malveillants semblent souvent convaincants, mais les filtres anti-spam et les autres types de logiciels de sécurité sont en mesure de repérer ces messages en y détectant certains indices subtils. Ces outils de sécurité peuvent alors empêcher les messages et les fichiers joints d'atteindre les boîtes de réception lorsqu’ils sont potentiellement malveillants. Pour les cas où un utilisateur ouvre une pièce malveillante jointe à un message ou clique sur un lien déclenchant un téléchargement furtif, un pare-feu réseau sophistiqué peut se révéler précieux. S’il dispose de capacités de détection des logiciels malveillants, un tel outil pourra intercepter le fichier exécutable indésirable en le signalant au moment où il essaiera de franchir la passerelle critique.

De plus, le chiffrement et les systèmes de prévention des pertes de données sont utiles pour se prémunir contre les fuites de données, qu’elles soient accidentelles ou dues à des actes malveillants. Pour finir, l'archivage des e-mails est incontournable, aussi bien pour se maintenir en conformité avec la règlementation que pour assurer la continuité de ses opérations.

La résilience
Les sauvegardes de données sur des supports tiers permettent de récupérer des données effacées, et les dispositifs de continuité garantissent que les e-mails essentiels pourront toujours être envoyés en cas de coupure de courant.

La protection contre la fraude
Bloquez les attaques qui pourraient contourner le point d’entrée de vos e-mails. La protection contre le harponnage nécessite le recours à l’intelligence artificielle, et la validation DMARC permet de déceler et d’empêcher les usurpations d’adresses électroniques et de noms de domaine.

Un pare-feu humain
Quelle que soit votre entreprise, cette couche supérieure de protection est la plus essentielle pour vos e-mails. Intégrez une sensibilisation à l’hameçonnage, avec des simulations, à votre formation de sensibilisation à la sécurité. Assurez-vous que vos utilisateurs finaux sont conscients des nouveaux types d'attaques et montrez-leur comment déceler les menaces potentielles. Ne les laissez pas compromettre votre sécurité : transformez-les en ligne de défense en testant en situation réelle l'efficacité de vos formations, afin de déterminer quels sont les individus les plus vulnérables aux attaques.

Demandez votre exemplaire gratuit du rapport Forrester Wave sur la sécurité des e-mails pour les entreprises.

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Billets associés :
Celebrating back-to-back award wins for email security and XDR
Celebrating back-to-back award wins for email security and XDR
 World Backup Day: Is the 3-2-1 backup rule still relevant?
World Backup Day: Is the 3-2-1 backup rule still relevant?
 World Backup Day at 15: Why “having backups” still isn’t enough
World Backup Day at 15: Why “having backups” still isn’t enough
 AI-enhanced email threats poured in. Barracuda stopped the flow.
AI-enhanced email threats poured in. Barracuda stopped the flow.
Rechercher dans le blog

Rapport 2025 sur les violations de la sécurité des e-mails

Principales conclusions concernant l’expérience et l’impact des failles de sécurité des e-mails sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Rapport d’informations de 2025 sur les clients des fournisseurs de services managés 

Panorama mondial sur les besoins et attentes des organisations vis-à-vis de leurs fournissuers de services managés en cybersécurité

Recevez le rapport d'enquête

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.