Le personnel RH doit comprendre que ces fichiers inconnus exécutent des commandes et ne doivent pas être ouverts.
Les acteurs malveillants parviennent toujours à inciter le personnel des ressources humaines à ouvrir des e-mails de phishing infectés par des logiciels malveillants.
Le dernier exemple en date est détaillé par des chercheurs d’Aryaka, qui ont décrit cette semaine une campagne menée par un acteur malveillant anonyme qui distribue des curriculum vitae contenant un fichier ISO malveillant aux services RH. Il est diffusé via des canaux de recrutement et hébergé sur ce qu’un employé, ou les filtres d’une passerelle de messagerie, considérerait comme une infrastructure cloud fiable.
Lorsque la victime monte l’ISO, qui est une archive d’un disque optique tel qu’un DVD, et ouvre son contenu, un raccourci malveillant (.lnk) est exécuté, lançant des commandes PowerShell obscurcies qui extraient les charges utiles cachées intégrées dans une image stéganographique. Une DLL malveillante est ensuite chargée à l’aide d’une application signée légitime, permettant au code de l’attaquant de s’exécuter sous le couvert d’un logiciel fiable. L’objectif est de récolter les données de l’ordinateur infecté.
Selon Aryaka, la fonctionnalité la plus alarmante du malware est un module interne baptisé BlackSanta qui désactive les agents de détection et de réponse des points finaux (EDR) qui détecteraient cette attaque. Il déploie une technique BYOVD (Bring-Your-Own Vulnerable Driver) qui charge des pilotes de noyau légitimes mais exploitables, obtenant un accès système de bas niveau, puis désactive systématiquement les outils de sécurité.
Parmi les priorités de cette formation : Souligner que les fichiers se terminant par .iso peuvent exécuter des logiciels malveillants. Un curriculum vitae ou un fichier de demande d’emploi doit se terminer par .docx, .pdf ou .txt.
(Contenu connexe : les faux CV ont été mis à jour par une porte dérobée)
«Votre équipe RH devrait faire partie de vos employés les plus formés et les plus protégés», déclare Roger Grimes, conseiller RSSI chez le fournisseur de formation de sensibilisation KnowBe4. « Les services RH sont fortement dans la ligne de mire de toutes sortes d’escrocs. S’ils n’essaient pas d’installer leurs logiciels malveillants ou de voler les identifiants de connexion, ils tentent d’impliquer de faux employés dans le processus de recrutement. »
En fait, a-t-il ajouté, une arnaque qui dépasse l’équipe RH peut la rendre plus fiable à mesure qu’elle se déplace vers d’autres départements.
Le personnel des ressources humaines doit être formé pour accepter uniquement les types de documents de soumission de curriculum vitae normaux, tels que .pdf ou .docx, a déclaré Grimes, et pour ne pas cliquer sur les URL contenues dans ces deux cas, sauf si cela est nécessaire.
Certaines organisations réduisent le risque d’envoi de logiciels malveillants via de faux CV en demandant que toutes les candidatures soient envoyées sur leur portail de recrutement RH, qui n’accepte que les saisies de texte dans les formulaires Web fournis, a-t-il ajouté.
À tout le moins, tous les membres du personnel des ressources humaines doivent comprendre qu’ils courent un risque élevé d’être victimes d’escroqueries, a-t-il déclaré. Ils doivent être informés des escroqueries courantes ciblant les services RH, coachés lorsqu’ils effectuent des actions à haut risque et soumis à des tests de phishing simulés qui imitent le phishing qui cible généralement les employés des RH.
Pas seulement les logiciels malveillants
Les fausses candidatures ne sont pas uniquement accompagnées de logiciels malveillants. À une époque où de nombreux emplois sont pourvus au moyen d’entretiens en ligne, ces derniers constituent un moyen pour les États-nations d’infiltrer des organisations sensibles comme la défense ou les sous-traitants gouvernementaux. Le mois dernier, un Ukrainien a été condamné par un juge américain à 60 mois de prison pour avoir usurpé l’identité d’Américains, qui ont ensuite été utilisées par des Nord-Coréens pour obtenir frauduleusement du travail dans des entreprises américaines.
En 2025, Amazon a déclaré avoir bloqué sur une période de 17 mois plus de 1 800 candidatures soupçonnées d’émaner d’agents nord-coréens.
Leurres se faisant passer pour les RH
Selon les chercheurs de Cofense, la plupart des messages de phishing liés aux RH sont envoyés au cours du second semestre, même si les thèmes spécifiques des messages changeront en fonction de l’actualité (par exemple : « À cause du COVID, les revenus ont chuté, nous devons donc licencier du personnel »). Un thème qui marche régulièrement : les messages de résiliation. Les employés n’ignoreront pas un e-mail dont l’objet est un licenciement, et les messages apparaîtront légitimes, en particulier s’ils usurpent l’adresse e-mail de l’entreprise.
Selon Confense, d’autres thèmes courants incluent les avis d’ajustement de rémunération, les avantages sociaux de l’entreprise ou la possibilité de souscrire à des avantages sociaux, les mises à jour des manuels et des politiques, les évaluations et enquêtes des employés et les informations fiscales.
(Contenu associé : les phishers savent que tout le monde a peur des RH)
« Se faire passer pour les RH offre de nombreux avantages aux auteurs de menaces », note le rapport Cofense. « Les tâches RH sont généralement obligatoires, donc les e-mails RH ont une autorité. Les tâches RH légitimes peuvent également avoir des délais stricts, qu’un acteur malveillant peut utiliser pour imposer l’urgence. Enfin, les employés attendent des tâches RH régulières. Envoyé au bon moment, les employés peuvent ne pas reconnaître un e-mail comme du phishing et cliquer automatiquement sur un lien pour résoudre le problème RH. »
Christopher Kayser, directeur de la société de conseil canadienne Cybercrime Analytics et auteur d’un livre sur l’ingénierie sociale, a déclaré que grâce à la technologie de l’IA générative, il devient de plus en plus difficile de reconnaître les communications malveillantes. Et comme, depuis des années, le travail du personnel RH consiste à recevoir des réponses aux offres d’emploi, ils ont tendance à ouvrir les documents sans poser de questions. En outre, de nombreux employés sont convaincus que le service informatique fait tout son possible pour garantir que toutes les communications arrivant sur les appareils ont été analysées et sont sécurisées.
De leur côté, a-t-il ajouté, les mauvais acteurs utilisent les déclencheurs courants de tout type de campagne de phishing : en jouant sur la peur, la culpabilité, la serviabilité, l’obéissance et l’urgence dans les lignes d’objet et les messages.
(Contenu associé : 5 façons de repérer les e-mails de phishing)
Stratégies défensives
Tous les employés doivent être informés que s’ils sont sceptiques à propos d’un e-mail ou d’un SMS, ils doivent immédiatement demander à leur service informatique de l’examiner, a-t-il déclaré.
Une autre stratégie défensive, a suggéré Kayser, consiste à rediriger toutes les communications entrantes destinées aux RH vers un dossier spécifique du système de messagerie de l’entreprise où des vérifications complètes des virus et des fichiers corrompus sont exécutées. Certains affirment que ces fichiers peuvent contenir des informations personnelles identifiables, qui ne devraient être vues par personne en dehors des RH ; cela, a déclaré Kayser, est une préoccupation valable. Mais cette étape ne devrait pas obliger le service informatique à inspecter le contenu des fichiers, mais simplement à rechercher des logiciels malveillants et des activités suspectes.
