Sécurité de la messagerie

Rapport sur le phishing et les malwares - T1 2022 : Explosion du nombre de malwares au 1er trimestre 2022, et usurpation massive de l’identité des marques françaises

Natalie Petitto

12 mai 2022

20 min

Après avoir fait une petite pause en décembre 2021, les cybercriminels sont revenus plus en forme que jamais dès le 1er trimestre 2022. Partout dans le monde, le nombre de malwares et d’emails de phishing s’est ainsi multiplié au cours des premiers mois de l’année.

En mars 2022, Vade a détecté 32,9 millions d’emails contenant des malwares, le total mensuel le plus élevé depuis novembre 2016. Ce pic représente une hausse de 201 % par rapport au mois précédent. Sur le trimestre, c’est une augmentation de 48,3 %.

report 1

En janvier 2021, Vade a détecté 110,4 millions d’emails de phishing, soit 277 % de plus qu’en décembre. Leur nombre a ensuite diminué à 20,3 millions en février, avant de repartir à la hausse en mars, à 29,8 millions (+46 %).

 report 2

 

Les principaux objets utilisés par les hackers en France sont les suivants :

  • Bénéficiez d'une remise de 20% sur votre 1ere commande jusqu'à 200€
  • Error - application app SERVICE COURRIER
  • Une remise de 20% sur votre 1ere commande jusqu'à 200€
  • Profitez 20% de remise sur vos achats
  • Dernière chance pour profiter de vos 30 euros de remise

Les marques françaises sont celles dont l’identité est la plus souvent usurpée lors d’attaques de phishing

L’usurpation de l’identité des marques fait toujours peser une grave menace sur les entreprises. Cette stratégie consiste pour les hackers à se faire passer pour des marques de confiance du monde entier afin de tromper les utilisateurs. Au 1er trimestre 2022, c’est Microsoft que les hackers ont le plus choisie à cet effet. L’entreprise a ainsi représenté 8,8 % des pages de phishing que Vade a détectées au cours du trimestre. Ces 4 119 pages constituent une hausse de 98,9 %.

 Capture d’écran 2022-05-04 à 14.23.43

Phishing Microsoft avec formulaire Excel


Quatre marques françaises se sont classées dans le top 25, avec en tête le Crédit Agricole, 5e au classement (5,3 % des pages de phishing), Orange en 6e position et La Banque postale en 7e. Ameli a gagné 35 places et se classe 20e, avec une hausse de 1 359 % des pages de phishing se faisant passer pour cette administration au 1er trimestre.

L’entreprise de télécommunications japonaise décroche quant à elle la 2e place de notre top 25, avec 6,2 % des pages de phishing (2 899). Facebook, la marque la plus usurpée au 4e trimestre 2021, a perdu 2 places pour se classer troisième, avec 5,9 % des pages de phishing détectées par Vade (2 768). C’est 12,2 % de moins qu’au trimestre précédent.

Juste derrière se trouvent WhatsApp, avec 5,6 % des pages de phishing analysées par Vade (2 638), et le Crédit Agricole (5,3 %, 2 482). La hausse la plus importante concerne toutefois Apple, qui pointait jusque-là à la 22e place et a grimpé à la 7e au 1er trimestre 2022. La marque représente 3,8 % des pages de phishing (1 776), soit 366 % de plus qu’au trimestre précédent.

Téléchargez le livre blanc pour découvrir les tendances du phishing en 2021 

Les services financiers restent surreprésentés

Le secteur des services financiers est encore une fois le plus touché par le phishing, avec 32 % de toutes les pages analysées par Vade au 1er trimestre. Plus parlant encore, 9 marques de ce secteur figurent dans notre top 25, et 4 dans le top 10, à savoir le Crédit Agricole, La Banque Postale, MTB et PayPal.

Total phishing by industry-FR-2

Capture-d’écran-2022-05-12-à-08.57.59

Le phishing touchant les marques Internet/de télécommunications a fortement augmenté au 1er trimestre. Orange, jusque-là 8e, atteint ainsi la 6e position avec une hausse de 106 % des pages usurpant son identité. Comcast, jusque-là 12e, perd une place, mais enregistre une hausse de 40 % du nombre de pages de phishing. Au 1er trimestre, Vade a analysé 46 960 pages de phishing uniques, 32,7 % de plus qu’au trimestre précédent.

Capture d’écran 2022-05-04 à 16.49.04

Emotet, fait son retour

Emotet avait fait son grand retour en janvier 2021, après une  brève disparition causée par une opération judiciaire conjointe des États-Unis, du Canada et de l’Union européenne. Vade a commencé à suivre ses nouvelles aventures quand une vague d’emails contenant sa charge utile a surgi dans les premiers jours du mois de mars 2021. C’est en Europe que le déploiement d’Emotet a été le plus impressionnant au 1er trimestre, avec 49 216 attaques détectées par Vade, contre seulement 3 381 aux États-Unis.

Capture d’écran 2022-05-04 à 16.49.19

Attaques d’Emotet en Europe

Lors de l’attaque d’Emotet détectée en mars 2021 et analysée ci-dessous, le hacker a exploité un compte de messagerie compromis pour remettre un fichier Excel contenant des macros malveillantes très bien cryptées. La pièce jointe au format XLSM contenait 5 feuilles masquées sur un total de 6.

 report 4

Contenu du dossier xl

report 5

Contenu de workbook.xml

La feuille masquée Lafasbor1 contient des chaînes malveillantes très bien obfusquées, tandis que la feuille à proprement parler stocke des informations, formules et références de diverses autres feuilles pour tromper les antivirus.

Capture d’écran 2022-05-04 à 14.27.46

Obfuscation basée sur des formules

Le fichier sharedStrings.xml contient des chaînes en dur, notamment des URL, permettant de télécharger le malware. Le code obfusqué dans la capture d’écran ci-dessous du fichier intlsheet1.xml du dossier macrosheets masque la charge utile.

Capture d’écran 2022-05-04 à 14.28.31

Code obfusqué dans intlsheet1.xml

En raison de sa sophistication, Emotet est l’un des malwares en circulation les plus dangereux. Il agit rarement seul et est souvent associé jusqu’à 3 autres malwares, chacun ayant un objectif bien précis et exécutant des événements distincts au cours de la chaîne d’attaque.

Attaques liées aux événements en cours

Ukraine

Toujours prêts à tirer parti des mauvaises nouvelles, les hackers n’ont pas tardé à se servir de la guerre en Ukraine pour piéger les internautes. Au 1er trimestre, 10,8 % des emails évoquant l’Ukraine détectés par Vade étaient en réalité des tentatives de phishing, quand 14,3 % pouvaient être considérés comme des scams. La plupart promettaient une aide humanitaire et d’autres formes d’assistance au pays. Bien souvent, ils incluaient des liens vers des portefeuilles Bitcoin pour accélérer le paiement.

Capture d’écran 2022-05-04 à 14.30.20

Protéger votre entreprise du phishing et des malwares

Les anciennes méthodes de blocage du phishing et des malwares ne sont plus efficaces. Emotet, un virus contenant lui-même plusieurs virus dangereux, n’est que l’un des nombreux représentants d’une génération de malwares capables d’adapter leur comportement à leur environnement et d’entrer en dormance pendant une analyse.

Le phishing a lui aussi gagné en sophistication, avec des outils comme des kits de phishing qui permettent de contrecarrer les technologies d’analyse d’URL, et des techniques d’obfuscation comme la manipulation d’image, capables de tromper les filtres les plus évolués.

Les attaques de phishing et de malware ont un point en commun : des comportements et des caractéristiques très subtiles qu’une simple analyse basée sur la réputation ou un sandboxing des pièces jointes ne permettent pas de repérer. Pour prédire les attaques et y répondre, les entreprises doivent adopter une approche comportementale de la sécurité de l’email.

L’intelligence artificielle permet de répondre à ce besoin par un apprentissage continu des enseignements des attaques précédentes, un entraînement réalisé par des humains sur la base de données de qualité et une réponse autonome aux attaques détectées. La cybersécurité basée sur l’IA est une discipline encore jeune, mais elle est aujourd’hui devenue indispensable pour protéger votre entreprise.

Téléchargez le livre blanc pour découvrir les tendances du phishing en 2021