Comment les cybercriminels réutilisent d’anciens formats pour contourner la sécurité

brève actu

Les cybercriminels réutilisent d’anciens formats de fichiers pour contourner la détection. Focus sur ces vecteurs d’attaque remis au goût du jour.

Les cyberattaques évoluent constamment, et les attaquants trouvent de nouvelles façons de se fondre dans les activités quotidiennes des entreprises. Selon le dernier rapport Threat Insights de HP Wolf Security, les cybercriminels utilisent désormais des fichiers courants comme armes, rendant leur détection plus difficile pour les équipes de sécurité. Ces méthodes comprennent l’utilisation de fichiers d’apparence innocente qui, une fois ouverts, déclenchent des scripts malveillants. Ces tactiques sophistiquées montrent à quel point il est crucial pour les défenseurs d’adopter des stratégies de détection avancées.

Les fichiers courants : outils des cybercriminels

L’une des campagnes notables du deuxième trimestre 2025 a impliqué le cheval de Troie d’accès à distance XWorm. Les attaquants ont utilisé des outils Windows intégrés, appelés « living off the land », pour exécuter des commandes et décoder des charges utiles cachées sans déclencher d’alertes. Le rapport de HP Wolf Security révèle que le payload final de XWorm était dissimulé dans les pixels d’une image légitime téléchargée depuis un site web de confiance. Des scripts PowerShell ont extrait les données cachées, puis MSBuild, un outil de Microsoft, a exécuté le malware. Cette méthode a permis aux attaquants d’obtenir un accès à distance et de voler des données, tout en utilisant principalement des programmes déjà présents sur le système. Comme le souligne Help Net Security, ces techniques rendent difficile la distinction entre activités légitimes et attaques, nécessitant une défense en profondeur pour contenir et isoler les menaces avant qu’elles ne causent des dommages.

Les emails de phishing restent la méthode de livraison dominante des menaces qui atteignent les points de terminaison. Les attaquants continuent de perfectionner l’utilisation des formats de documents comme appâts. Une campagne a utilisé des emails sur le thème des factures pour inciter les destinataires à ouvrir des pièces jointes SVG. Ces pièces jointes ont affiché une imitation convaincante d’Adobe Acrobat, avec animations et barres de progression, avant de pousser les utilisateurs à télécharger un malware. Le script suivant était une shell inversée légère, offrant aux attaquants l’exécution de commandes et la collecte de données. Une autre vague de phishing s’appuyait sur des pièces jointes PDF affichant des factures floues avec un bouton de téléchargement. Ce lien menait à un script Visual Basic Encodé malveillant caché dans un fichier ZIP. Ce script stockait des parties clés du malware directement dans le registre Windows, rendant la détection encore plus difficile.

Les attaquants réutilisent également des formats que de nombreux utilisateurs voient rarement aujourd’hui. Les fichiers d’aide HTML compilés sont exploités pour délivrer des malwares, servant de conteneurs pour des infections en plusieurs étapes. Dans certaines campagnes observées, l’ouverture d’un fichier d’aide déguisé en documentation de projet déclenchait des scripts menant à des infections par XWorm. Les fichiers de raccourci (LNK) ont par exemple également refait surface, déguisés en PDF dans des archives ZIP envoyées par email. Plutôt que d’ouvrir un document, le raccourci exécutait un code malveillant qui installait le cheval de Troie d’accès à distance. Les attaquants ont caché le payload final dans un ancien format de fichier d’information de programme, réduisant encore la probabilité de détection par les utilisateurs ou les outils.