Alors que les menaces consistaient depuis des années en des documents Office contenant des macros malveillantes, l’utilisation directement dans les e-mail de codes .js plus discret s’accroît.
Ces derniers mois, les chercheurs de Proofpoint ont repéré une nouvelle tendance dans les campagnes d’e-mails malveillants : la présence de fichiers JavaScript en pièces jointes. Alors que les menaces consistaient depuis des années en des documents Microsoft Office contenant des macros malveillantes et que les utilisateurs comme la plupart des antivirus sont généralement conscients des dangers des fichiers .exe (exécutables) joints aux e-mails, l’utilisation directement dans les e-mail de code .js plus discret s’accroît.
Alors pourquoi .js ? Car les utilisateurs ont été sensibilisés à ne pas cliquer sur les pièces jointes .exe mais bon nombre d’entre eux risquent de ne pas savoir ce qu’est un fichier js ni même qu’il peut être tout aussi dangereux. Son icône ressemble à celle d’un document, d’où une certaine confusion. Dans d’autres cas, les pièces jointes voient l’extension de leur nom de fichier modifiée pour avoir l’air inoffensif, ce qui n’empêche pas Windows d’exécuter normalement le code JavaScript si l’utilisateur clique deux fois sur le fichier dans un e-mail.
Le simple volume des messages est également un trait distinctif de ces campagnes. Il s’agit en fait des campagnes de plus grande ampleur observées ces dernières années par des chercheurs , faisant appel à des botnets ( réseau de programmes connectés à Internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches ) massifs pour diffuser des volumes considérables d’e-mails malveillants. Si ces botnets sont de dimension mondiale, l’Inde et le Vietnam sont de loin les principaux pays hébergeant des adresses IP à l’origine de ces campagnes.
L’ampleur des campagnes donne à penser que leurs auteurs parient sur la naïveté des utilisateurs face à cette méthode rarement employée. Tandis que de nombreux e-mails malveillants comportent des fichiers joints .js sans modification, d’autres utilisent du code JavaScript masqué avec des extensions différentes ou sous forme de fichiers compressés pour en dissimuler davantage encore la nature aux destinataires.
Même si cette technique a été employée précédemment avec des variantes de ransomware, ces campagnes implantent quasi exclusivement Locky et Dridex ( type de logiciel malveillant appelés ransomware ). Nous avons noté un certain ciblage géographique aux Etats-Unis, au Royaume-Uni et en Europe de l’Ouest pour Dridex et Locky, pour sa part, lance beaucoup plus d’attaques peu ciblées.
En outre, les e-mails trompeurs propagés par ces campagnes ne diffèrent pas fondamentalement des autres campagnes reposant sur des pièces jointes standard Microsoft Office. L’objectif de leurs auteurs reste d’inciter les destinataires à cliquer sur les fichiers, même si le destinataire n’a pas à effectuer une action supplémentaire en activant les macros. Les fichiers JavaScript s’exécutent dès qu’ils sont ouverts, tentant d’installer directement un malware.
Pour les entreprises comme pour les particuliers, cela signifie qu’il est plus important que jamais d’utiliser des solutions antimalware capables de détecter les menaces avancées. Dans le même temps, nous devons veiller à ce que les utilisateurs demeurent vigilants en observant les meilleures pratiques en matière d’e-mail et en étant conscients de la diversité croissante des pièces jointes susceptibles d’être malveillantes.
Besoin d’aide pour ce type d’infection ? N’hésitez pas à nous contacter.