Recrudescence des techniques d’ingénierie sociale et donc des téléchargements de malwares : les cybercriminels se fondent dans le trafic réseau régulier via HTTP et HTTPS, selon Netskope

Netskope, spécialiste dans le domaine du SASE (Secure Access Service Edge), annonce la publication d’une nouvelle étude qui confirme que les hackers développent en permanence de nouveaux moyens d’échapper aux outils de détection et utilisent les protocoles HTTP et HTTPS pour se fondre dans le trafic courant et diffuser des malwares.

Dans son dernier rapport intitulé Cloud & Threat Report : Global Cloud and Web Malware Trends, Netskope a identifié qu’au premier trimestre 2023, cinq utilisateurs professionnels sur 1 000 en moyenne ont tenté de télécharger des logiciels malveillants et, d’autre part, que les nouvelles familles et variantes de logiciels malveillants représentent 72 % des téléchargements de malwares.

Hausse de l’ingénierie sociale et des vides de données

Netskope a en outre découvert que près de 10 % des téléchargements de logiciels malveillants effectués au cours du premier trimestre provenaient de moteurs de recherche. Ces téléchargements résultaient essentiellement de « vides de données » (absence d’informations fiables sur un sujet recherché) ou de la combinaison de termes de recherche présentant très peu de résultats, de sorte que le contenu correspondant à ces requêtes apparaît a priori en première ligne des résultats de recherche. Cette technique d’ingénierie sociale est de plus en plus prisée des hackers.

De manière générale, l’ingénierie sociale demeure une technique majeure pour déployer des malwares ; outre les moteurs de recherche, les cybercriminels utilisent à des fins malveillantes les applications de courrier électronique, de collaboration et de messagerie instantanée (chat) pour tromper leurs cibles. Les deux principaux types de malware sont désormais les chevaux de Troie et les téléchargements de phishing, avec respectivement 60 % et 13 % des téléchargements de logiciels malveillants enregistrés au premier trimestre.

Évaluation des canaux de communication primaire utilisés par les attaquants

Pour la première fois, le rapport trimestriel consacré par Netskope au cloud et aux menaces a analysé les canaux de communications exploités par les agresseurs. Les chercheurs ont ainsi constaté que pour échapper systématiquement aux radars, les attaquants utilisent à présent les protocoles HTTP et HTTPS sur les ports 80 et 443 comme principal canal de communications. Plus précisément, parmi les nouveaux malwares exécutables communiquant avec des hôtes externes et analysés par Netskope, 85 % ont utilisé le port 80 (HTTP) et 67 % le port 443 (HTTPS) — une méthode qui permet aux auteurs de menaces de passer facilement inaperçus et de se fondre dans le très abondant trafic HTTP et HTTPS qui emprunte déjà ces réseaux.

De plus, pour échapper aux contrôles de sécurité basés sur le système de nom de domaine (DNS), certains échantillons de malwares contournent les recherches DNS (DNS lookup) et contactent directement les hôtes distants via leur adresse IP. Au premier trimestre 2023, la plupart des échantillons de logiciels malveillants ayant initié des communications externes ont ainsi utilisé une combinaison d’adresses IP et de noms d’hôtes, 61 % communiquant directement avec au moins une adresse IP, et 91 % avec au moins un hôte par le biais d’une recherche DNS.

« La première tâche d’un cybercriminel est aujourd’hui de trouver de nouveaux moyens de brouiller les pistes face à des entreprises qui consacrent toujours plus de ressources à la détection des menaces, explique Ray Canzanese, directeur de la recherche sur les menaces, Netskope Threat Labs. Or, les résultats de notre étude montrent à quel point les hackers peuvent encore agir en toute impunité. À l’heure où ils privilégient des services cloud largement utilisés en entreprise et exploitent les canaux de communications les plus courants, la réduction transversale des risques s’avère plus que jamais nécessaire. »

Nom : netsokpe.png
Affichages : 3209
Taille : 100,6 Ko

Analyse des tendances mondiales relatives aux logiciels malveillants sur le Web et le cloud

Autres conclusions de cette étude :

  • 55 % des téléchargements de malwares via HTTP/HTTPS proviennent d’applications cloud, contre 35 % un an plus tôt. Cette hausse est essentiellement due à l’augmentation du nombre de téléchargements de logiciels malveillants à partir des applications cloud professionnelles les plus populaires, au premier rang desquelles figure de loin Microsoft OneDrive ;

  • Le nombre d’applications associées à des téléchargements de malwares a également continué d’augmenter, atteignant le nombre record de 261 applis uniques au 1er trimestre 2023 ;

  • Seule une petite proportion du nombre total de malwares téléchargés sur le Web a été distribuée par l’intermédiaire de catégories Web traditionnellement considérées comme « à risque ». A contrario, les téléchargements sont issus d’un large éventail de sites, dont les réseaux de diffusion de contenus (Content Delivery Networks — CDN) représentent la plus grande partie (7,7 %).


Tandis que les entreprises redoublent d’efforts pour se protéger contre les assauts de logiciels malveillants, une collaboration transversale entre les équipes — réseau, opérations de sécurité, réponse aux incidents (IR) et direction jusqu’au niveau des collaborateurs — est nécessaire. Pour réduire les risques, plusieurs mesures supplémentaires sont à la disposition des entreprises :

  • Inspecter l’ensemble des téléchargements HTTP et HTTPS, y compris la totalité du trafic Web et cloud, afin d’empêcher les logiciels malveillants d’infiltrer le réseau ;
  • Vérifier que les contrôles de sécurité inspectent de manière récursive le contenu des fichiers d’archives les plus populaires et que les types de fichiers à haut risque sont contrôlés de façon approfondie ;
  • Configurer des règles permettant de bloquer le téléchargement d’applis qui ne sont pas utilisées dans l’entreprise afin de minimiser la surface de risque.


À propos de Netskope

Netskope, l’un des spéciaslistes sur le marché du SASE, réinvente la sécurité du cloud, des données et du réseau, permettant aux organisations d’appliquer les principes du zero trust afin de protéger leurs données. La plateforme Netskope est rapide, facile à utiliser et sécurise les personnes, les appareils et les données peu importe où elles se trouvent. Netskope aide ses clients à réduire les risques, améliorer les performances et bénéficier d’une visibilité inégalée sur toutes les activités du cloud, du Web et des applications privées.

Source : Netskope

Et vous ?

Trouvez-vous ce rapport pertinent ?

Voir aussi :

Le nombre de logiciels malveillants téléchargés depuis le cloud a presque triplé en 2022 : 48 % de tous les téléchargements de logiciels malveillants proviennent du cloud, selon Netskope

30 % des téléchargements de logiciels malveillants à partir du cloud proviennent de OneDrive, 7,6 % viennent de Github, 7,2 % de Sharepoint et 2,8 % de Google Drive