Barracuda full logo

Malware 101 : les techniques de piratage via les types de fichier

Thèmes:
17 nov. 2023
|
Jonathan Tanner

Bien qu'il s'agisse d'une méthode de piratage beaucoup moins technique, l'utilisation des types de fichiers pour déployer des malwares est néanmoins très efficace. L'utilisation de types de fichiers communs permet aux malwares de passer inaperçus, en particulier lorsqu'ils sont distribués via des attaques par phishing par e-mail, qui sont de loin le mode de distribution le plus courant des malwares.

Même en l'absence d'autres protections, il n'est pas rare que les administrateurs de serveurs e-mail bloquent les e-mails contenant des pièces jointes exécutables, car celles-ci sont rarement envoyées de manière légitime et présentent un risque élevé en raison de la prévalence des attaques par phishing de malware. Un fichier ZIP peut toutefois contenir un fichier exécutable, mais comme il est plus courant d'envoyer des fichiers ZIP tout à fait légitimes, il peut ne pas être bloqué comme le serait un fichier exécutable.

À l'inverse, certains malwares utilisent des types de compression ou d'archive moins connus dans l'espoir que leur discrétion les exclura des listes de types de fichiers à bloquer. Dans ce cas, les logiciels de compression fréquents pourront toujours traiter le fichier, à défaut de l'option fournie par le système d'exploitation. Par exemple, 7zip peut traiter à peu près n'importe quel fichier et/ou archive compressés et est largement utilisé, essentiellement en raison de cette polyvalence.

Pourquoi Windows est une cible populaire des malwares

La grande majorité des malwares ciblent les systèmes d'exploitation Windows, ce qui présente un avantage unique en matière de types de fichiers pour les malwares. Contrairement à la plupart des autres systèmes d'exploitation qui vérifient le contenu d'un fichier pour déterminer de quel type de fichier il s'agit, et donc avec quel logiciel l'ouvrir, Windows prend les types de fichiers au pied de la lettre, en ne tenant compte que de l'extension fournie dans le nom du fichier. Par défaut, cette extension est également masquée pour les types de fichiers courants. Cela présente quelques opportunités pour les pirates.

Tout d'abord, ils peuvent tenter de tromper les utilisateurs en utilisant plusieurs extensions de fichiers, car la dernière extension réelle du fichier peut être cachée à la plupart des utilisateurs. Par exemple, si vous appelez un fichier « Photo de vacances.jpg.exe », il apparaîtra simplement comme « Photo de vacances.jpg » aux utilisateurs qui n'ont pas activé l'affichage des extensions de fichiers, mais il s'agit d'un fichier exécutable et il sera exécuté en tant que tel.

Deuxièmement, dans certains cas, des extensions de fichiers spécifiques peuvent amener un logiciel vulnérable à exécuter le fichier plutôt que le logiciel habituellement utilisé pour ce type de fichier. Un exemple, très répandu par le passé, consistait à faire en sorte que les documents Microsoft Word soient exécutés dans WordPad (qui prend toujours en charge ce type de fichier) en donnant au fichier du document le nom d'extension .rtf au lieu de .doc, qui était le type de fichier en question. Le fichier document contenait une vulnérabilité pour WordPad et en utilisant le mappage par défaut des fichiers .rtf vers WordPad, le pirate pouvait faire en sorte que le fichier soit exécuté dans WordPad.

Dissimulation des attaques à l'aide de types de fichiers communs

Si les extensions de fichiers astucieuses peuvent être efficaces, l'utilisation de types de fichiers que les utilisateurs ont l'habitude d'utiliser fréquemment, voire quotidiennement, peut s'avérer très efficace pour inciter les utilisateurs à exécuter les fichiers et pour contourner les protections de sécurité plus simples, compte tenu du volume de fichiers légitimes observés. L'exploit Stagefright pour Android a été utilisé pour les fichiers images, un type de fichier courant dans les appareils mobiles.

Sur les ordinateurs, et en particulier dans le monde des affaires, les types de fichiers de documents, à savoir les fichiers Microsoft Office et les fichiers PDF, sont à la fois incroyablement communs et compatibles avec les langages de script permettant de créer des malwares dans les fichiers. Ces langages de script sont également utilisés de manière légitime, et le simple fait de les contenir ne suffit donc pas pour que les logiciels anti-malware bloquent le fichier sans autre forme d'analyse.

Dans le cas des feuilles de calcul Excel en particulier, la prévalence des macros personnalisées (dont la mise en œuvre est parfois douteuse) destinées à répondre aux besoins de l'entreprise peut brouiller la distinction entre les fichiers propres et les fichiers malveillants. En fait, lorsque j'étais ingénieur logiciel pour ATP, il y avait peu de techniques qu'une macro malveillante pouvait utiliser pour lesquelles je n'ai pas rencontré au moins un faux positif (c'est-à-dire un fichier légitime identifié comme malveillant), y compris la rédaction dans la base de registre.

Comment les pirates utilisent les macros et les scripts

Les fichiers Microsoft Office malveillants reposent principalement sur des macros écrites en VBScript (à l'exception de la vulnérabilité DDE lorsqu'elle a été découverte pour la première fois), tandis que les PDF malveillants utilisent généralement JavaScript. Cependant, les deux langages de script utilisent souvent la possibilité de faire des appels système Windows via un shell WScript afin d'exécuter le code malveillant.

Le shell WScript fournit une API permettant d'interagir avec des aspects du système que VBScript et JavaScript seuls ne peuvent pas prendre en charge, comme le démarrage d'un processus ou l'interaction avec le registre. WScript propose également l'une des quelques techniques de téléchargement d'un fichier distant, ce qui est assez courant puisque de nombreuses variantes de malwares Office et PDF agissent simplement comme des outils de téléchargement pour une charge utile supplémentaire. Il n'est pas rare non plus que la charge utile soit encodée dans le document pour être décodée et exécutée par le script, ce qui ferait du document un chargeur.

Bien entendu, les documents peuvent contenir la charge utile finale plutôt que de servir d'intermédiaire, mais les exécutables peuvent plus facilement tirer parti des techniques d'obscurcissement et de chiffrement évoquées dans le dernier article. Il est également très courant que les documents malveillants contiennent simplement un lien sur lequel l'utilisateur peut cliquer et qui mène au malware, bien qu'il serait plus juste d'appeler ces documents du phishing plutôt que du malware.

Le facteur humain

Même dans le cas des malwares basés sur des documents, l'interaction avec l'utilisateur est souvent un facteur. Les versions de Microsoft Office qui n'ont pas été mises à jour pour inclure la modification apportée au début de cette année (l'année dernière pour certains canaux du programme de mise à jour) qui désactive les macros téléchargées sur Internet exigent que l'utilisateur effectue des actions pour que la macro puisse être exécutée. Le contenu visible du fichier pourrait même être les instructions sur la manière de procéder et peut-être une fausse prémisse quant à la raison pour laquelle il devrait être exécuté en premier lieu.

Même de simples liens vers des malwares à distance obligent l'utilisateur à cliquer sur le lien et à exécuter le fichier téléchargé. Plus encore que pour les fichiers exécutables, le social engineering est une composante essentielle du succès de la plupart des malwares basés sur des documents. Si les utilisateurs ont ainsi plus de chances de se rendre compte que quelque chose cloche dans le fichier, cette méthode reste néanmoins très efficace et ce succès contribue à la prévalence continue des types de fichiers de documents en tant que vecteurs d'attaque.

Vous pouvez lire le reste de la série Malwares 101 ici

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.