Barracuda full logo

Threat Spotlight : le nombre de pièces jointes HTML malveillantes a doublé en un an

Thèmes:
3 mai 2023
|
Fleming Shi
Depuis des années, le secteur de la sécurité met en évidence l'utilisation abusive du langage HTML par les cybercriminels, et les faits tendent à prouver qu'il s'agit toujours d'un outil d'attaque efficace et populaire. L'année dernière, nous avons déclaré qu'environ une pièce jointe HTML sur cinq (21 %) analysée par Barracuda en mai 2022 était malveillante. Dix mois plus tard, ce chiffre a plus que doublé : en mars 2023, 45,7 % des fichiers HTML analysés se sont révélés malveillants.
tendances HTML XML malveillantes

L'utilisation légitime du format HTML 

HTML est l'abréviation de Hypertext Markup Language (langage de balise hypertexte) et est utilisé pour créer et structurer le contenu qui est affiché en ligne. Le format HTML est également couramment utilisé dans la communication par e-mail, par exemple dans les rapports automatisés que les utilisateurs sont susceptibles de recevoir régulièrement, tels que les newsletters, les contenus marketing, etc. Dans de nombreux cas, les rapports sont joints à un e-mail au format HTML (avec l'extension de fichier .html, .htm ou .xhtml, par exemple).

Si la communication semble émaner d'une marque connue ou de confiance, il est peu probable que le destinataire se méfie. 

L'utilisation malveillante du format HTML 

Cependant, les pirates peuvent exploiter avec succès le format HTML comme méthode d'attaque en créant des messages bien conçus et/ou en utilisant des sites web compromis et des pièces jointes HTML malveillantes pour tromper les utilisateurs.

Cette approche est utilisée par les pirates pour dissimuler des intentions malveillantes telles que le phishing, le vol d'identifiants, etc.

Si le destinataire ouvre le fichier HTML, de multiples redirections via des bibliothèques JavaScript hébergées ailleurs le conduiront vers un site de phishing ou d'autres contenus malveillants gérés par les pirates. Les utilisateurs sont alors invités à saisir leurs identifiants pour accéder à des informations ou télécharger un fichier qui peut contenir des malwares.

Cependant, dans certains cas recensés par les chercheurs de Barracuda, le fichier HTML lui-même contient des malwares sophistiqués qui intègrent la totalité de la charge utile malveillante, y compris des scripts et des exécutables puissants. Cette méthode d'attaque est de plus en plus utilisée au détriment de celles qui impliquent des fichiers JavaScript hébergés en externe.

Les solutions de protection contre ces attaques malveillantes basées sur le HTML doivent prendre en compte l'e-mail complet avec ses pièces jointes HTML, analyser toutes les redirections et le contenu de l'e-mail à la recherche d'intentions malveillantes.
Pour en savoir plus, poursuivez votre lecture.

Les exemples récents de pièces jointes HTML malveillantes sont souvent similaires à ceux observés dans le passé.

Par exemple, la pièce jointe de phishing suivante, qui ressemble à un identifiant Microsoft, est très répandue depuis quelques années, mais son utilisation continue et généralisée dans les attaques suggère que les pirates réussissent toujours à piéger les victimes.

exemple d'attaques par phishing

Nombre d'attaques uniques

Si l'on compare le nombre total de fichiers HTML malveillants détectés au nombre de fichiers différents (uniques) détectés, il apparaît clairement que le nombre croissant de fichiers malveillants détectés n'est pas seulement le résultat d'un nombre limité d'attaques massives, mais le résultat d'un grand nombre d'attaques différentes exploitant chacune des fichiers spécialement conçus à cet effet.

Par exemple, les données quotidiennes sur les détections pour les trois mois allant de janvier à mars 2023 révèlent deux pics d'attaque notables, le 7 mars et le 23 mars. 

Le 7 mars, 672 145 artefacts HTML malveillants ont été détectés au total, parmi lesquels 181 176 éléments différents. Cela signifie qu'environ un quart (27 %) des fichiers détectés étaient uniques et que le reste correspondait à des déploiements répétés ou massifs de ces fichiers.

Toutefois, le 23 mars, près de neuf sur dix (405 438 - 85 %) des 475 938 artefacts HTML malveillants étaient uniques, ce qui signifie que pratiquement toutes les attaques étaient différentes. 

nombre total d'artefacts malveillants
artefacts malveillants uniques

Les pièces jointes HTML continuent de dominer le classement des types de fichiers utilisés à des fins malveillantes

L'analyse de Barracuda montre en outre que non seulement le nombre total de pièces jointes HTML malveillantes est en hausse, mais que près d'un an après notre dernier rapport, les pièces jointes HTML restent le type de fichier le plus susceptible d'être utilisé à des fins malveillantes.

En 2022 

artefacts malveillants par type de fichier en mai 2022
En 2023  
artefacts malveillants par type de fichier en mars 2023

En ce qui concerne les stratégies et les outils d'attaque, le fait que quelque chose existe depuis un certain temps ne semble pas le rendre moins dangereux. Les codes HTML malveillants sont toujours utilisés par les pirates car ils sont efficaces. La mise en place d'une sécurité efficace est toujours aussi importante, si ce n'est plus.

Comment se protéger des pièces jointes HTML malveillantes

  • Protection des e-mails : il est essentiel de mettre en place une protection efficace des e-mails et de veiller à ce que votre analyse de sécurité puisse identifier et bloquer les pièces jointes HTML malveillantes. Ces dernières n'étant pas toujours simples à identifier pour les raisons susmentionnées, les meilleures solutions incluront le machine learning et l'analyse statique du code qui évalueront le contenu d'un e-mail et pas seulement sa pièce jointe.
  • Formation et sensibilisation des utilisateurs : former le personnel à repérer et à signaler les pièces jointes HTML potentiellement malveillantes. En raison du volume et de la diversité de ce genre d'attaques, il vaudrait probablement mieux se méfier de toutes les pièces jointes HTML, particulièrement celles provenant de sources jamais vues auparavant. Rappelez aux gens de ne jamais divulguer leurs identifiants de connexion à qui que ce soit.
  • Authentification et contrôles d'accès fiables  : l'authentification multifactorielle (AMF) reste un contrôle d'accès efficace, mais les pirates se tournent de plus en plus vers des techniques d'ingénierie sociale avancées, telles que les attaques MFA par lassitude, pour contourner de nombreux types de protection associée à l'AMF. Envisager de recourir au Zero Trust Access pour renforcer votre sécurité. Une solution Zero Trust efficace telle que Barracuda CloudGen Access supervise dynamiquement plusieurs paramètres (utilisateur, appareil, emplacement, heure, accès aux ressources, etc.), ce qui rend beaucoup plus difficile pour les pirates de compromettre votre réseau à l'aide d'identifiants volés..

  • Si un fichier HTML malveillant parvient à destination : assurez-vous de disposer d'outils de remédiation post-livraison pour identifier et supprimer rapidement les e-mails malveillants de toutes les boîtes de réception des utilisateurs. Une réponse automatique aux incidents peut aider à y parvenir avant que l'attaque ne se répande dans toute l'entreprise. En outre, la protection contre le piratage de compte peut surveiller et vous alerter de toute activité suspecte sur un compte si les identifiants de connexion risquent d'être compromis.

Barracuda a identifié 13 types de menaces par e-mail et a publié un guide décrivant la manière dont elles ciblent et compromettent les victimes, ainsi que les moyens de s'en prémunir. 

E-book : 13 types de menaces email à connaître impérativement
Fleming Shi

Fleming Shi est directeur technologique chez Barracuda et, à ce titre, dirige les équipes d'ingénieurs spécialisés dans la recherche et l'innovation pour permettre l'émergence des plateformes technologiques de demain. Il a déposé plus de 20 brevets et demandes de brevets dans le domaine de la sécurité des réseaux et des contenus. Connectez-vous avec lui sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.