Site Logo

Threat Spotlight : les pièces jointes HTML malveillantes

Thèmes:
28 juin 2022
|
Olesia Klevchuk

Les chercheurs de Barracuda ont récemment étudié les données de millions de pièces jointes analysées par les systèmes de Barracuda au cours du mois dernier afin d'identifier les plus susceptibles d'être malveillantes.

Ils ont découvert que comparé aux autres types de pièces jointes, le format HTML est celui qui est le plus utilisé à des fins malveillantes. En effet, 21 % des pièces jointes au format HTML analysées par Barracuda étaient malveillantes.

Voyons voir de plus près les pièces jointes HTML malveillantes, comment celles-ci sont utilisées par les cybercriminels et comment vous protéger de ce type d'attaque.

HTML malveillant

Menaces particulièrement importantes


Pièces jointes HTML malveillantes. Les pièces jointes au format HTML sont très courantes dans les e-mails, notamment dans les rapports générés par un système, qui peuvent être envoyés régulièrement aux utilisateurs. Ces messages incluent le lien URL vers le rapport complet.

Les pirates incluent des pièces jointes HTML dans des e-mails prenant la forme de rapports hebdomadaires, incitant les utilisateurs à cliquer sur des liens de phishing. Ce sont des techniques qui aboutissent très souvent, car les pirates n'ont plus besoin d'inclure des liens malveillants dans le corps de l'e-mail, et contournent ainsi les politiques antispam et antivirus.

Les détails


Les pirates utilisent les pièces jointes HTML de plusieurs manières. Premièrement, le phishing pour récupérer des identifiants. Les pièces jointes HTML malveillantes comprennent un lien vers un site de phishing. Lorsqu'il est ouvert, le fichier HTML utilise un script Java qui redirige l'utilisateur vers une machine tierce et lui demande de saisir ses identifiants pour accéder à des informations, ou de télécharger un fichier qui peut contenir un malware.

pièce jointe HTML redirigeant vers un faux site

Les pirates n'ont pas toujours besoin de recréer de faux site. En effet, ils peuvent créer un formulaire de phishing directement intégré à la pièce jointe et réussissent ainsi à envoyer des sites de phishing comme pièces jointes plutôt que comme liens.

pièce jointe HTML avec formulaire

Ces attaques sont très difficiles à détecter, car le format HTML n'est pas malveillant en soi. Les pirates n'incluent pas de malware dans la pièce jointe elle-même, mais utilisent plusieurs redirections avec des bibliothèques de script Java hébergées ailleurs. Les solutions de protection contre ces attaques doivent prendre en compte l'e-mail complet avec ses pièces jointes HTML, analyser toutes les redirections et le contenu de l'e-mail à la recherche d'intentions malveillantes.

Comment se protéger des pièces jointes HTML malveillantes



  • Assurez-vous que votre solution de protection des e-mails analyse et bloque les pièces jointes HTML malveillantes. Celles-ci peuvent être difficiles à identifier de manière précise et la détection produit souvent un grand nombre de faux positifs. Les meilleures solutions incluent du machine learning et une analyse de code statique qui évaluent le contenu d'un e-mail et pas seulement sa pièce jointe.

  • Formez vos utilisateurs à identifier et à signaler les pièces jointes HTML potentiellement malveillantes. En raison du volume de ce genre d'attaques, les utilisateurs devraient se méfier de toutes les pièces jointes HTML, particulièrement celles provenant de sources qu'ils n'ont jamais vues auparavant. Intégrez des exemples de ces attaques dans vos campagnes de simulation de phishing et formez les utilisateurs à toujours réfléchir à deux fois avant de partager leurs identifiants de connexion.

  • Si un e-mail malveillant arrive quand même à se frayer un chemin jusqu'à vos boîtes mail, veillez à ce que vos outils de remédiation post-livraison soient prêts à identifier rapidement et supprimer toute instance de l'e-mail malveillant de toutes les boîtes mail concernées. La réponse automatique aux incidents peut vous aider à le faire rapidement, avant que les attaques ne se répandent dans toute l'organisation. La protection contre le piratage de compte peut surveiller et vous alerter de toute activité suspecte sur un compte, si les identifiants de connexion risquent d'être compromis.


 

Rapport gratuit « Spear phishing : Menaces et tendances principales »

Olesia Klevchuk

Olesia Klevchuk est rincipal Product Marketing Manager de la branche sécurité des e-mails de Barracuda Networks. Son rôle consiste principalement à définir la manière dont les entreprises peuvent se protéger des menaces par e-mail avancées , du spear phishing et du piratage de comptes. Avant d'entrer chez Barracuda, Olesia travaillait dans les domaines de la sécurité des e-mails et de la protection des marques. Elle a également été dans la recherche IT.

Se connecter avec Olesia sur LinkedIn

Billets associés :
Threat Spotlight: Document-Based Malware
Threat Spotlight: Document-Based Malware
Threat Spotlight: Sextortion
Threat Spotlight: Sextortion
Threat Spotlight : les pièces jointes HTML malveillantes
Threat Spotlight : les pièces jointes HTML malveillantes
 Threat Spotlight: Modular Malware
Threat Spotlight: Modular Malware