Home / Protection en entreprise / L’avenir des exploits de logiciels malveillants : Les attaques sans clic !

L’avenir des exploits de logiciels malveillants : Les attaques sans clic !

Le par CyberConseils
On observe une augmentation des exploits sans clic au cours de cette année. Les attaques sans clic ont principalement exploité des vulnérabilités dans les appareils mobiles en utilisant des applications de messagerie populaires telles que iMessage et WhatsApp. Ces attaques distribuent des logiciels malveillants à des utilisateurs sans méfiance et sont difficiles à détecter en raison du manque d’interaction de l’utilisateur. L’exploit est souvent intégré à une pièce jointe, telle qu’une image ou un fichier GIF. Une fois que la victime reçoit le message, l’appareil est compromis. Dans certains cas, le message se supprime lui-même après avoir réussi l’exploit. De plus, l’infection peut se propager via un appel manqué dans une application. Les attaques sans clic distribuent souvent des logiciels espions pour surveiller et collecter discrètement des données utilisateur. Récemment, Apple a alerté les utilisateurs de 92 pays sur les potentielles attaques de logiciels espions.

Ciblage élargi incluant macOS

Outre les appareils mobiles, une récente campagne sans clic a été découverte ciblant les utilisateurs de macOS. Les chercheurs ont lié ces attaques à la campagne LightSpy, qui a été repérée pour la première fois utilisant des attaques de type point d’eau en 2020 pour exfiltrer les informations privées de ses victimes. La dernière version de LightSpy offre un suivi détaillé de la localisation, la capacité de capturer des images via la caméra de l’appareil et l’enregistrement audio pendant les appels VoIP.

Vulnérabilité Outlook zero-day exploitée

Une attaque sans clic exploitant une vulnérabilité zero-day d’Outlook a été découverte après avoir été utilisée par des acteurs de menace pendant un an. Les acteurs de menace ont créé des messages qui déclenchaient une fuite de hachage Net-NTLMv2 vers des serveurs de commande et de contrôle (C2) en utilisant une valeur spécifique pour le paramètre PidLidReminderFileParameter. Cette vulnérabilité pouvait compromettre un appareil sans afficher le message. Cependant, Outlook devait être ouvert lorsque le rappel était déclenché. Microsoft a depuis émis des recommandations et des mises à jour de sécurité pour Outlook.

Émergence de l’attaque Cuttlefish sur les routeurs

Les chercheurs ont également découvert une attaque sans clic, surnommée Cuttlefish, ciblant les routeurs de qualité professionnelle et les routeurs de petits bureaux et bureaux à domicile (SOHO). Une fois que Cuttlefish a infiltré un appareil, il renifle passivement les paquets et attend des actions prédéfinies pour s’engager. Ce logiciel malveillant vole les détails d’authentification, se concentrant sur les services basés sur le cloud public et les données derrière le périmètre du réseau. Il a également été repéré attaquant les connexions vers des adresses IP privées en utilisant le détournement DNS et HTTP. Les données sont exfiltrées vers le serveur C2 en utilisant un proxy ou un tunnel VPN à travers le routeur compromis, suivi de l’utilisation des identifiants volés pour accéder aux ressources. Les chercheurs soupçonnent que les identifiants d’authentification volés permettent aux acteurs de menace d’éviter les analyses basées sur les connexions inhabituelles.

Recommandations :

  • Maintenez tous les appareils à jour avec les dernières mises à jour de sécurité.
  • Sauvegardez régulièrement les appareils pour récupérer les données en cas de compromission.
  • Redémarrer régulièrement les appareils peut en effet perturber la persistance des logiciels malveillants et forcer les acteurs de menace à réinfecter ces appareils à plusieurs reprises. Cependant, cela ne constitue pas une mesure de sécurité complète en soi.
  • Utilisez des mots de passe forts et complexes ainsi que l’authentification multifactorielle (MFA) chaque fois que possible.