Trojanisches Pferd

Ce PDF innocent est maintenant un cheval de Troie pour les attaques de Gmail

Lucas Morel

Une nouvelle technique utilise des PDF pour contourner les filtres et récupérer les charges utiles malveillantes.

Les utilisateurs d’entreprise savent maintenant qu’ils ne devraient pas cliquer sur des liens d’apparence suspecte ou télécharger des fichiers étranges. Mais qu’en est-il des PDF inoffensifs et toujours présents?

Les chercheurs de la société de sécurité Varonis ont découvert une nouvelle attaque de phishing Gmail astucieuse qui non seulement se dégage comme un attachement PDF, mais incite automatiquement les victimes à l’ouvrir.

La boîte à outils MatrixPDF trompe des victimes en utilisant du contenu et des superpositions floues, et incorpore JavaScript pour contourner les filtres et récupérer des charges utiles malveillantes sans connaissance des utilisateurs.

«Le type de fichier .pdf est devenu omniprésent dans les usage personnel et commercial», a déclaré Erik Avakian, conseiller technique du groupe de recherche Info-Tech. « Cela conduit à la confiance. Les gens voient un .pdf et supposent qu’il est sûr. Cela n’augmente pas vraiment les mêmes signaux d’alarme que les autres types de fichiers de pièce jointe, comme .exe ou .zip. »

Pourquoi la matrixpdf fonctionne

MatrixPDF incorpore de fausses invites, des actions JavaScript et une redirection automatique en fichiers PDF apparemment légitimes. Les acteurs malveillants peuvent spécifier le lien externe auquel le PDF dirige lorsque les victimes cliquent sur une invite, modifient l’apparence du document afin qu’elle semble convaincante (incorporant une icône de cadenas ou un logo d’entreprise, par exemple) et des documents floues pour dissimuler leur contenu.

Les chercheurs de Varonis ont identifié deux façons dont les attaquants utilisent MatrixPDF: dans le premier, ils exploitent la fonction d’aperçu de Gmail. Le PDF qu’ils génèrent peuvent glisser les garanties et les filtres de sécurité passés car il ne contient que des scripts et une liaison externe, et non un hyperlien d’URL standard généralement associé aux logiciels malveillants.

Le PDF rend normalement, mais le texte du document est flou et les utilisateurs obtiennent une invite à «ouvrir un document sécurisé», qui est essentiellement un leurre de phishing. Lorsque la victime clique sur le bouton, un site externe s’ouvre dans son navigateur. Les chercheurs ont même trouvé un exemple où le lien intégré a indiqué un téléchargement pour un client SSH légitime hébergé sur un site public.

La méthode échappe à la sécurité de Gmail parce que le scanning malware ne trouve rien de «incriminant», soulignent les chercheurs; Le contenu malveillant n’est récupéré que lorsque l’utilisateur clique activement, ce que Gmail interprète comme initié par l’utilisateur et donc non dangereux. De plus, le téléchargement du fichier se produit en dehors du bac à sable antivirus de la plate-forme de messagerie, de sorte que les filtres de sécurité ne peuvent pas intervenir.

La technique révèle comment les attaquants peuvent diviser une attaque sur un e-mail (livraison) et le Web (la récupération de la charge utile) pour éviter la détection, selon les chercheurs.

La deuxième méthode MatrixPDF utilise JavaScript JavaScript PDF; La victime télécharge ou ouvre le PDF dans un lecteur de bureau (comme Adobe Acrobat) ou une visionneuse native du navigateur, exécutant le script. Le PDF se connecte ensuite automatiquement à l’URL de la charge utile et récupère un fichier.

En règle générale, les lecteurs de PDF affichent un avertissement de sécurité alertant les utilisateurs qu’un document tente d’accéder à une ressource externe, notent les chercheurs. Mais cette méthode configure le PDF pour atteindre une courte URL qui semble «vaguement légitime», et la victime obtient une demande d’autorisation pop-up. Lorsqu’ils cliquent sur «Autoriser», le script récupère la charge utile malveillante et initie un téléchargement; Le document est ensuite enregistré sur l’appareil de l’utilisateur et les logiciels malveillants sont exécutés.

Cette méthode est réussie car l’utilisateur n’a pas à cliquer sur un lien; Il finit cependant que l’utilisateur accorde la permission d’y accéder, selon les chercheurs.

« Les PDF armées dans les e-mails de phishing ont été une douleur de longue date », a déclaré David Shipley de Beauceron Security. «Ce que cet outil fait, c’est le rendre la saleté simple pour les cybercriminels pour les créer.»

L’utilisation par e-mail personnelle augmente le risque d’entreprise

Les employés accèdent de plus en plus aux comptes de messagerie personnels à partir de machines d’entreprise; Il est courant dans les environnements de travail hybrides et distants. Mais étant donné que les pirates ont accès à des outils facilement utilisables comme MatrixPDF, les experts conseillent aux entreprises d’être plus vigilantes.

Les CISO et les DSI devraient envisager des possibilités de restreindre l’accès à la carte Web personnelle lors de l’infrastructure d’entreprise, ou d’identifier où il est légitimement nécessaire, a déclaré Avakian d’Infotech. Le courrier électronique personnel n’a tout simplement pas les mêmes garanties que les services de sécurité des e-mails d’entreprise.

Les PDF ne soulèvent pas les mêmes drapeaux rouges que les autres fichiers de pièce jointe tels que .exe ou .zip, a-t-il noté. « Les méchants le savent et s’attaque à ce type de norme psychologique », a déclaré Avakian. Lorsqu’ils réussissent, ils peuvent accéder à un réseau et se déplacer latéralement, augmenter davantage les privilèges et planter plus de logiciels malveillants.

Ce nouveau vecteur d’attaque par e-mail est une «évolution dangereuse de l’ingénierie sociale», a noté Ensar Seker, CISO chez la société Intel Socradar.

« (Cela transforme) le point final en le maillon le plus faible de la chaîne de mise à mort », a-t-il déclaré. « Une fois compromis, un seul appareil peut devenir un point de pivot pour le mouvement latéral, le vol d’identification ou l’accès initial pour le déploiement des ransomwares. »

Comment les entreprises peuvent s’armer

La bonne (ish), cependant, selon Shipley de Beauceron, est celle des différents types de phisses, de la liaison basée sur la pièce jointe, au balayage du code QR, les pièces jointes ont tendance à avoir un taux de réussite plus faible. En effet, ils nécessitent des efforts cognitifs supplémentaires et des étapes effectuées par l’utilisateur, par rapport à simplement cliquer sur un lien dans un e-mail.

Les organisations devraient équilibrer les investissements dans des filtres par e-mail avec une formation de sensibilisation à la sécurité qui se fait «fréquemment et efficacement», a-t-il noté. En fin de compte, les employés doivent être motivés à rester vigilants.

Les CISO doivent aller au-delà des défenses techniques et établir des garde-corps clairs, a conseillé le Seker de Socradar. Cela signifie bloquer les types de fichiers connus, déploiement du sable de joie de pièce jointe robuste et utilisant la détection de point de terminaison pour surveiller le comportement de fichier suspect après la livraison.

Les entreprises devraient également appliquer des politiques qui interdisent aux employés d’accéder aux e-mails personnels sur les appareils d’entreprise, a-t-il déclaré. Éduquer les employés sur le fonctionnement de ces attaques est particulièrement important à une époque où «(même) un PDF d’apparence bénin peut être la pointe d’une campagne de phishing de lance».

Seker a ajouté: « En fin de compte, la défense en couches doit inclure non seulement une confiance zéro pour les utilisateurs, mais une hypothèse nulle pour la sécurité des fichiers. »

L’Avakian de Info-Tech a convenu, affirmant que l’attaque de type matrixpdf offre une «opportunité fantastique», en particulier pendant le mois de sensibilisation à la cybersécurité, pour cuire dans des mesures de sensibilisation et une formation avec des visualisations simples et des scénarios «si» du monde réel. Les entreprises devraient également soutenir une culture «Réfléchissez avant de cliquer» et faciliter la première ligne de défense des employés, pour signaler des e-mails suspects.

Tout aussi important, il a conseillé aux organisations de faire un point de «attraper les gens qui font bien».

« La reconnaissance va très loin », a déclaré Avakian. «En reconnaissant les employés qui repérer et signaler les tentatives de phishing, les chefs de sécurité peuvent progresser progressivement la sensibilisation et permettre une culture soucieuse de la sécurité.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Office Table of a Businessman with Office Supplies, Laptop Computer, Mobile Phone and a Cup of Coffee on Top.
Des centaines de systèmes Ivanti EPM exposés en ligne suite à la correction d’une faille critique
System engineers collaborating on coding project, discussing about programming algorithm for new cloud computing user interface. Diverse team of software developers running database system code.
Comment les ingénieurs en sécurité Staff+ peuvent-ils multiplier leur impact ?
KI-Browser prend en charge les services
KI-Browser prend en charge les services