Voici comment ont évolué les menaces Web en 2019

0

L’Unité 42, l’équipe de chercheurs de Palo Alto Networks, a examiné les données collectées par son système ELINK (Email Link Analysis). Cet examen, qui comprend les URLs extraites des mails ou soumises via des API, leur a permi didentifier des schémas et tendances pour mieux discerner les principales menaces sur le Web.

Cinquième « numéro » d’une série retraçant les menaces venues du Web à travers le temps, cette étude met en relief les statistiques en rapport avec les URLS et noms de domaines frauduleux, les kits d’exploits, les failles et les hameçonnages (ou phishing).

Voici les données les plus remarcables qui comprend l’analyse:

L’Unité 42 a remarqué une baisse notable de l’activité liée au kit Fallout durant le premier trimestre 2019 et dans la foulée note une hausse d’activité liée au kit Kaixin au second trimestre. 

En ce qui concerne l’hébergement des domaines de phishing, les serveurs aux États-Unis restent les plus importants en volume. Souvent déguisés en des sites Web légitimes pour obtenir des informations sensibles,des prestataires de services connus pour des services basés dans le cloud (comme OneDrive, Office 365 et Google Drive) sont toujours les plus souvent imités par ces pages de phishing. 

Les URL frauduleuses décendent 61 % par rapport au trimestre précédent

Selon les données du système ELINK, l’Unité 42 a constaté une réduction drastique des URL frauduleuses au premier trimestre. Le total a baissé de 61 % par rapport au trimestre précédent. Toutefois, il y a une remontée notable au deuxième trimestre qui fait que le nombre d’URL frauduleuse est alors revenu à un niveau comparable à celui du dernier trimestre 2018. Cette baisse soudaine et temporaire est principalement due au déclin du kit d’exploit Fallout durant le premier trimestre et la montée en puissance des activités liées au kit d’exploit Kaixin au deuxième trimestre. Voici de plus amples détails dans le graphique 1 ci-dessous:
malicius urlURL frauduleuses du premier trimestre 2018 au deuxième trimestre 2019

L’Unité 42 a constaté un déclin de 22 % du dernier trimestre de 2018 au premier trimestre de 2019 en ce qui concerne le nombre de domaines frauduleux. Comme pour les URL frauduleuses, ce nombre de domaines a connu une hausse significative au deuxième trimestre 2019, de 90 % par rapport au trimestre précédent (voir graphique 2 ci-dessous).

domaing hosting malware

Domaines frauduleux du premier trimestre 2018 au deuxième trimestre 2019

L’Unité 42 a également pisté la localisation géographique de ces domaines frauduleux pour en déduire où ceux-ci sont le plus souvent hébergés. Il n’est pas surprenant de constater que la Chine, les États-Unis et la Russie restent le trio de tête concernant l’hébergement de domaines frauduleux au deuxième trimestre 2019, comme c’est le cas depuis que l’Unité 42 a commencé la publication de ces rapports.

Les États-Unis ont hébergé le plus d’URL frauduleuses jusqu’au premier trimestre 2019, mais la Chine est passée en tête au deuxième trimestre en raison de la nouvelle popularité du kit Kaixin. La Russie alterne entre la deuxième et la troisième place depuis le premier trimestre 2018. En comparaison avec ce trio, les autres pays qui hébergent des URLs et domaines frauduleux ne sont responsable que d’une petite proportion. 

geo location hosting
Évolution de la géolocalisation des domaines frauduleux du premier trimestre 2018 au deuxième trimestre 2019

Les failles les plus populaires parmi les attaquants pour des attaques venant du Web n’ont guère changé depuis 2018. L’Unité 42 constate que les failles les plus anciennes sont peu à peu remplacées par les plus récentes. En effet, il y a moins de chance de trouver une rustine contre ces dernières sur les systèmes attaqués que contre les plus vieilles.
Top

Changement dans les principales failles utilisées du premier trimestre 2018 au deuxième trimestre 2019

Comportements malveillants utilisant des programmes intégrés au système

L’Unité 42 a observé que les auteurs de malwares avaient tendance à utiliser des programmes intégrés au système (comme PowerShell, msiexec, rundll32, regsvr32, etc.) pour exécuter du code malveillant après avoir exploité une faille. Comme ces programmes sont inclus dans les systèmes ciblés, ils permettent aux attaquants d’installer et d’exécuter des malwares de façon discrète sans impliquer d’exécutables. Cette technique aide les auteurs de malwares à éviter les bacs à sable applicatifs et les systèmes d’antivirus. 

Visites de sites malveillants

Dans les sections précédentes, l’Unité 42 a résumé le comportement des URLs qu’elle a remonté et analysé. Outre cette analyse proactive des sites Web et le blocage des URLS frauduleuses détectées, elle a également bloqué les visites vers des sites Web malveillants en se basant sur leur contenu quand leurs URL n’avaient jamais été analysées par ses services auparavant. Le graphique ci-dessous montre l’échelle des visites bloquées vers de nouveaux sites malveillants d’août 2018 à juin 2019.

Par comparaison avec le dernier trimestre 2018, quand la plupart des sites Web visité et bloqué contenaient le kit d’exploit Angler, dans la première moitié de l’année 2019, l’Unité 42 a observé une diversification des kits d’exploits : Kaixin, Rig et Novidade.
malicius websites

Graphique 5 : nombre de visites vers des sites malveillants d’août 2018 à juin 2019

Depuis que la détection du phishing a été incluse dans ELINK à la fin du troisième trimestre 2018, ELINL a détecté aux environs de 430 000 URLs récupérant les identifiants à partir de courriers électroniques et de demandes via des API. Le plus gros de ses détections s’est fait lors du dernier trimestre 2018, et l’Unité 42 a constaté un déclin au premier trimestre 2019, et un regain des détections au deuxième trimestre de cette année. 

phishing urls

Nombre d’URL d’hameçonnage détectées depuis le quatrième trimestre 2019

Domaine d’hameçonnage: les États-Units en premier position

L’Unité 42 a également noté la localisation de ces domaines. Les États-Unis sont toujours de loin le principal pays hébergeant les domaines d’hameçonnage au deuxième trimestre 2019. Plus de 40 % de tous les domaines d’hameçonnage repérés sont hébergés dans ce pays. Les Pays-Bas arrivaient en deuxième position l’an dernier, mais l’Allemagne leur a ravi la place au deuxième trimestre, très légèrement devant la France en forte croissance. Voir le graphique ci-dessous. 

geo localisation hosting

En comparant ces domaines à ceux hébergeant des malwares, L’Unité 42 constate que les attaquants préfèrent héberger leurs malwares en Chine ou en Russie. Les États-Unis en revanche sont les plus populaires pour le phishing avec 100 fois plus de domaines hébergés dans ce domaine qu’en Russie ou en Chine.

Pour chaque URL de phishing détectée, l’Unité 42 a identifié l’industrie qui était copiée par les pages pièges. Dans le graphique 9, elle en montre l’évolution trimestre par trimestre. Le secteur technologique (Microsoft, Apple, Google) reste le plus fréquemment copié, avec plus de 60 % des phishings. Par rapport au dernier trimestre 2018, la logistique (comme DHL) dépasse le secteur financier et bancaire et arrive en deuxième position au deuxième trimestre 2019. Le jeu vidéo (comme Battle.net) et les télécommunications (AT&T) furent moins populaires en ce début d’année, alors que l’Unité 42 constate plus de copie de Facebook ou de LinkedIn.

Comme pour les sites malveillants, l’Unité 42 a également étudié les nouveaux sites de phishing visités et bloqués chaque mois d’octobre 2018 à juin 2019. Les pics sont principalement dus à des utilisateurs allant voir des arnaques proposant des produits gratuits. Celles-ci représentaient 25 % de toutes les visites en mars et plus de 30 % de ces visites en juin 2019. Toutefois, d’après les analyses des URLS récoltées, ce type d’arnaque ne représente que 0,2 % des méthodes d’hameçonnage. L’une des explications serait que les utilisateurs ont tendance à plus visiter les sites leur proposant des produits gratuits que des sites imitant ceux des grands services IT, même si ces derniers sont bien plus nombreux. 

Une autre découverte intéressante est qu’entre le dernier trimestre de 2018 et le deuxième trimestre de 2018, les visites de faux sites IT ont baissé passant de 25 % à 16 %. Toutefois, les visites vers les faux sites proposant des produits gratuits ont augmenté passant de 5 % à 26 % de toutes les visites, alors que, comme nous l’avons vu avec le système ELINK, le nombre d’URL y renvoyant n’a pas réellement augmenté.

En conclusion

En regardant les tendances sur la première moitié de 2019, L’Unité 42 a vu une forte baisse des malwares comme des hameçonnages au premier trimestre, suivi par un regain d’activité au deuxième trimestre. Les États-Unis demeurent le principal pays d’hébergement tant pour le phishing que pour les malwares.

Le système ELINK de l’Unité 42 a encore vu des failles vieilles de 10 ans être toujours exploitées. Toutefois, la majorité des failles utilisées ont été découvertes dans les cinq dernières années. Tant WildFire que PanDB assurent une couverture complète sur l’ensemble de ces menaces.

Par rapport aux contenus malveillants, l’hameçonnage est nettement plus populaire parmi les cybercriminels. Il devient de plus en plus difficile de compromettre les navigateurs et les systèmes d’exploitation avec un logiciel ou des failles système. Face à ces difficultés, la récupération des identifiants avec des attaques par phishing est nettement plus efficace pour arriver à ses fins. Là encore, Wildfire et PanDB assurent une couverture complète.

About Author

Globb Security France

Leave A Reply