Sommaire exécutif

• Le format HTML est désormais le type de fichier le plus utilisé dans les attaques par courriel avec pièces jointes.

Sommaire

Dans ce bulletin mensuel d’évaluation des menaces par courriel, nous présentons un aperçu des menaces par courriel observées en septembre 2022 et les comparons aux menaces du mois précédent. Le rapport fournit des renseignements sur les points saillants suivants :

• Courriels indésirables par catégorie
• Types de fichiers utilisés dans les attaques
• Indice des menaces par courriel de l’industrie
• Techniques d’attaque
• Marques et organisationsusurpées
• Campagnes de courriels de menaces mises en évidence

Courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Catégorie de courriel	%
Rejeté	78.25
Pourriel	15.75
Menace	3.91
AdvThreat	2.04
Contenu	0.04

L’histogramme suivant montre le volume de courriels par catégorie par jour.

Méthodologie

Les catégories de courriel répertoriées correspondent à celles qui figurent dans le Email Live Tracking (fonction de suivi en temps réel des courriels) du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont les suivantes :

Catégorie	Description
Pourriel	Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
Contenu	Ces courriels contiennent une pièce jointe non autorisée. Les administrateurs définissent dans le module de contrôle de contenu (Content Control) les types de pièces jointes qui ne sont pasautorisées.
Menace	Ces courriels contiennent du contenu nuisible, comme des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des actes délictuels comme l’hameçonnage.
AdvThreat	La solution de protection avancée contre les menaces (Advanced Threat Protection) a détecté une menace dans ces courriels. Les courriels sont utilisés à des fins illégales et nécessitent des moyens techniques sophistiqués qui ne peuvent être contournés qu’en utilisant des procédures dynamiques avancées.
Rejeté	Notre serveur de courriel rejette ces courriels directement pendant le dialogue SMTP en raison de caractéristiques externes, comme l’identité de l’expéditeur, et les courriels ne sont pas analysés en profondeur.

Types de fichiers utilisés dans les attaques

Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.

Type de fichier (utilisé dans les courriels malveillants)	%
HTML	31.1
Archive	23.0
PDF	12.3
Word	10.2
Fichiers d’images de disque	8.2
Exécutable	4.2
Excel	3.7
Fichier script	3.2
Autres	4.0

L’histogramme suivant montre le volume de courriels par type de fichier utilisé dans les attaques par période de sept jours. Ce mois-ci, les pièces jointes HTML sont devenues le type de fichier le plus couramment utilisé dans les attaques avec pièces jointes. L’utilisation des documents Excel contenant des macros est toujours en déclin.

Indice des menaces par courriel de l’industrie

Le tableau suivant montre notre indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels légitimes (propres) reçus pour chaque industrie (en médiane).

Industries	Part des menaces dans les courriels de menace et légitimes
Industrie de la recherche	6.0
Industrie des médias	4.9
Industrie manufacturière	4.6
Industrie minière et métallurgique	4.6
Industrie du divertissement	4.2
Secteur de la santé	4.1
Industrie du commerce de détail	4.1
Industrie de la construction	4.1
Industrie des technologies de l’information	3.9
Services publics	3.8

Le graphique à barres suivant illustre les menaces liées aux courriels qui pèsent sur chaque industrie. Avec un indice des menaces par courriel de l’industrie de 6,0, l’industrie de la recherche demeure en tête. Le secteur de l’éducation, qui s’est classé troisième place le mois dernier, a fortement chuté de 4,3 à 3,8, ne faisant plus partie du top 10. L’industrie minière et métallurgique a connu une augmentation significative de 3,4 à 4,6, ce qui la fait entrer dans le top 10 à la quatrième place par rapport à la 14^e place qu’elle occupait le mois précédent. Dans l’ensemble, l’indice des menaces par courriel dans tous les secteurs a augmenté par rapport au mois dernier. Un tel résultat était prévu, car avec les vacances, les mois d’été entraînent généralement une baisse du nombre de courriels de menace envoyés.

Méthodologie

Des organisations (de taille) différentes reçoivent un nombre absolu différent de courriels. Par conséquent, nous calculons le pourcentage de courriels de menace de chaque organisation et de courriels légitimespour comparer les organisations. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations d’une même industrie afin d’établir le score de menace final de l’industrie.

Attack techniques

Le tableau suivant montre les techniques utilisées dans les attaques.

Techniques d’attaque	%
Hameçonnage	26.3
URL	9.9
Arnaque des avances de frais	6.1
Extorsion	4.2
Executable in archive/disk-image	3.5
HTML	2.1
Usurpation d’identité	1.1
Maldoc	0.7
PDF	0.1
Autres	46.2

L’histogramme suivant montre le volume de courriels par technique d’attaque utilisée par heure.

Marques et organisations usurpées

Le tableau suivant montre les marqueset les organisations que nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marques et organisations usurpées	%
Sparkasse	35.7
DHL	11.1
Amazon	7.1
Santander	3.9
Royal Bank of Canada	3.2
LinkedIn	2.3
Fedex	1.9
1&1	1.8
Postbank	1.7
Targobank	1.5
UPS	1.3
Microsoft	1.3
Commerzbank	1.2
HSBC	1.2
Intuit	1.1
American Express	1.0
Autres	23.7

L’histogramme suivant montre le volume de courriels pour les marques et les organisations détectées dans les attaques d’usurpation d’identité par heure.

Faits saillants des campagnes de menaces courriels

Vers le 24 septembre 2022, nous avons observé une campagne d’hameçonnage à grande échelle qui usurpait l’identité dela Banque Royale du Canada.

Résumé

• Qakbot est distribué via une chaîne d’infection complexe utilisant les menaces de piratage de conversation par courriel, la contrebande HTML et le chargement parallèle de DLL. Toutes ces techniques visent à contourner les mécanismes de défense.

 

Sommaire

Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en juillet 2022 et les comparons aux menaces du mois précédent.

Le rapport fournit des informations suivantes :

• Les courriels indésirables par catégorie
• Types de fichiers utilisés dans les attaques
• Index des menaces courriels par industrie
• Techniques d’attaques
• Usurpation de marques et d’organisations
• Mise en évidence des campagnes de menaces courriels

 

Les courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Catégories de courriels	%
Rejeté	82.11
Spam	13.42
Threat	3.02
AdvThreat	1.40
Contenu	0.05

L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.

Le pic de courriels rejetés entre le 2022-07-17 et le 2022-07-19 peut être attribué à une campagne de spam de type « sextorsion »

Méthodologie

Les catégories de courriels listés correspondent aux catégories courriels listés dans le courriel Live Tracking du control panel de Hornetsecurity. Nos utilisateurs sont déjà familiers avec ces notions. Pour les autres, les catégories sont:

Catégories	Description
Spam	Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
Contenu	Ces courriels ont une pièce jointe invalide. Les administrateurs définissent dans le module Content Control quelles pièces jointes ne sont pas valides.
Threat	Ces courriels contiennent du contenu dangeureux, tels que des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des crimes, tels que l‘hameçonnage.
AdvThreat	Advanced Threat Protection a détecté une menace dans cescourriels. Les courriels sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu’à l’aide de procédures dynamiques avancées.
Rejeté	Nos serveurs de messagerie rejettent ces courriels directement lors de la transaction SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur, et les courriels ne sont pas analysés davantage

 

Types de fichiers utilisés dans les attaques

Le tableau suivant montre la distribution des types de fichiers utilisés dans les attaques.

Type de fichier (utilisé dans les courriels malveillants)	%
Archive	27.5
PDF	16.5
HTML	14.8
Images de disque	8.3
Exécutable	5.4
Excel	5.1
Word	5.1
Fichier script	0.8
Autres	16.4

L’histogramme suivant montre le volume de courriels par type de fichier utilisé dans les attaques sur une semaine.

La baisse des fichiers Excel utilisés dans les attaques de 14,4 % à 5,1 % peut être attribuée au changement de tactique des attaquants, en raison des mesures prises par Microsoft visant à désactiver les macros Excel 4.0 par défaut. Les principaux logiciels malveillants distribués via des macros Excel 4.0 malveillantes étaient QakBot et Emotet. QakBot est passé à une chaîne d’infection complexe utilisant la contrebande HTML et le chargement en parallèle de DLL, que nous soulignons plus loin dans ce rapport.

 

Index des menaces courriels par industrie

Le tableau suivant présente notre Indice des menaces par courriel de l’industrie calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).

Industries	Part de la menace dans les courriels de menaces et propres
Recherche	4.8
Production	4.1
Transport	4.0
Mines et carrières	4.0
Services publics	3.8
Media	3.7
Information et Technologie	3.6
Education	3.6
Agriculture	3.4
Construction	3.4

Le graphique à barres suivant visualise la menace basée sur les courriels pour chaque industrie.

Alors que l’indice des menaces par courriel dans la recherche est passé de 7,2 à 4,8, il est toujours en tête. Cependant, elle se rapproche désormais de la deuxième industrie la plus menacée, la production.

Méthodologie

Différentes (tailles) d’organisations reçoivent un nombre absolu de courriels différents. Donc, nous calculons le pourcentage de courriels de menaces de chaque organisation et nettoyons les courriels avant la comparaison entre organisations. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations au sein d’une même industrie pour créer le score par industrie de menaces finale.

 

Techniques d‘attaques

Le tableau suivant montre les techniques d’attaques utilisés dans les attaques.

Techniques d‘attaques	%
Phishing	29.4
URL	12.5
Arnaque des frais avancés	9.4
Extortion	5.3
Exécutable dans une archive/image disque	4.6
Maldoc	2.3
HTML	1.6
Usurpation d’identité	1.2
PDF	1.2
Autres	32.4

Le graphique à barres suivant montre le volume de courriel par type d’attaque utilisés et par heure.

 

Usurpation de marques et d‘organisations

Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marques et organisations usurpées	%
Sparkasse	36.8
DHL	9.0
Amazon	6.7
LinkedIn	3.8
1&1	2.8
Postbank	2.8
Microsoft	2.4
Intuit	2.1
Mastercard	1.8
HSBC	1.5
American Express	1.5
DocuSign	1.5
UPS	1.3
Fedex	1.3
Strato	1.1
Volks- und Raiffeisenbank	0.9
Autres	12.1

L’histogramme suivant montre le volume de courriels pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.

Ce mois-ci, Intuit, mieux connu pour ses logiciels fiscaux et comptables TurboTax et QuickBooks, est passé de la 13e à la 8e place sur notre marque d’entreprise la plus usurpée dans les attaques de phishing.

 

Faits saillants des campagnes de menaces courriels

QakBot a été distribué via une chaîne d’infection complexe utilisant la contrebande HTML et le chargement en parallèle de DLL pour échapper à la détection.

La contrebande HTML utilise le HTML pour regrouper le contenu malveillant dans une pièce jointe HTML. Hornetsecurity a déjà signalé des cas de contrebande HTML dans le contexte d’hameçonnage dans lequel le site Web d’hameçonnage était entièrement contenu dans les pièces jointes HTML.¹

Dans la campagne QakBot observée, les e-mails distribuant des fichiers HTML malveillants sont utilisés pour diffuser le logiciel malveillant QakBot sur l’ordinateur de la victime sans nécessiter de téléchargement supplémentaire, comme c’était le cas lors des précédentes attaques QakBot basées sur des documents Excel.³ Lorsqu’il est reçu par la victime, le logiciel malveillant est construit à partir du code HTML, ce qui rend inutiles les téléchargements supplémentaires de deuxième étape, ce qui réduit les possibilités pour les organisations de détecter une telle infection par un logiciel malveillant.

En plus de la contrebande HTML, les campagnes utilisent une chaîne de fichiers ZIP cryptés protégés par mot de passe contenant un fichier ISO, un fichier LNK, deux fichiers DLL et un binaire  calc.exelégitime.

La chaîne complète fonctionne comme suit :

Tout d’abord, un courriel utilisant le détournement du fil de conversation par courriel² avec une pièce jointe HTML est reçu.

La pièce jointe HTML prétend être un « document en ligne » Adobe, invitant immédiatement l’utilisateur à effectuer un téléchargement.

Le téléchargement du fichier ZIP est facilité via Javascript, le contenu du fichier ZIP étant encodé en base64 dans le document HTML. De cette façon, aucune communication réseau supplémentaire n’est déclenchée.

De plus, le document HTML affiche le mot de passe nécessaire pour déchiffrer le fichier ZIP.

Le fichier ZIP contient un fichier image ISO, qui comprend deux fichiers DLL, un fichier LNK et un exécutable calc.exe légitime.

Le fichier LNK est utilisé pour lancer le calc.exe légitime à partir du chemin dans le fichier ISO monté.

Lecalc.exe est ensuite utilisé pour charger l’une des DLL malveillantes (voir l’exemple dans les captures d’écran nommées WindowsCodecs.dll).

Cette première DLL est utilisée pour charger la DLL réelle du malware QakBot (dans l’exemple vu dans les captures d’écran nommées 102755.dll) via regsvr32.exe.

Méthodologie

Hornetsecurity observe des milliers de campagnes de menace courriels de divers acteurs, allant d’attaques simples et peu sophistiquées à des schémas d’attaque obscurcis très complexes. Notre mise en évidence ne comprend qu’un sous-ensemble de ces campagnes de courriels menaçants.

 

References

• ¹ https://www.hornetsecurity.com/en/security-informationen-en/html-phishing-asking-for-the-password-twice/
• ² https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
• ³ https://www.hornetsecurity.com/en/threat-research/qakbot-distributed-by-xlsb-files/

Sommaire

Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en juin 2022 et les comparons aux menaces du mois précédent.

Le rapport fournit des informations suivantes :

• Les courriels indésirables par catégorie
• Types de fichiers utilisés dans les attaques
• Index des menaces courriels par industrie
• Techniques d’attaques
• Usurpation de marques et d’organisations

 

Les courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Catégories de courriels	%
Rejeté	78.69
Spam	15.90
Threat	4.13
AdvThreat	1.23
Contenu	0.05

L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.

Méthodologie

Les catégories de courriels listés correspondent aux catégories courriels listés dans le Email Live Tracking du control panel de Hornetsecurity. Nos utilisateurs sont déjà familiers avec ces notions. Pour les autres, les catégories sont:

Catégorie	Description
Spam	Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
Contenu	Ces courriels ont une pièce jointe invalide. Les administrateurs définissent dans le module Content Control quelles pièces jointes ne sont pas valides.
Threat	Ces courriels contiennent du contenu dangeureux, tels que des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des crimes, tels que l‘hameçonnage.
AdvThreat	Advanced Threat Protection a détecté une menace dans cescourriels. Les courriels sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu’à l’aide de procédures dynamiques avancées.
Rejeté	Nos serveurs de messagerie rejettent ces courriels directement lors de la transaction SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur, et les courriels ne sont pas analysés davantage

 

Types de fichiers utilisés dans les attaques

Il existe plusieurs raisons pour lesquelles les fichiers HTML, PDF, ZIP et Excel sont souvent utilisés dans les attaques par courriel. L’une des raisons est que ces fichiers peuvent être utilisés pour incorporer un code malveillant qui peut être exécuté lorsque le fichier est ouvert. Les victimes peuvent facilement exécuter des fichiers exécutables, par exemple des fichiers .exe, sans avoir besoin de logiciels supplémentaires, par exemple Microsoft Office. Une autre raison est que ces fichiers peuvent être utilisés pour inciter les utilisateurs à divulguer des informations sensibles, telles que des mots de passe ou des numéros de carte de crédit. Ceci est particulièrement pertinent pour les fichiers HTML. Souvent, les hameçonneurs envoient des fichiers HTML, et lorsqu’ils sont ouverts, ils semblent être la page de connexion aux sites bancaires. Enfin, ces fichiers peuvent être utilisés pour installer, déployer et lancer des logiciels malveillants sur l’ordinateur d’une victime.

Le tableau suivant montre la distribution des types de fichiers utilisés dans les attaques.

Type de fichier (utilisé dans les courriels malveillants)	%
Archive	35.6
HTML	18.5
Excel	14.4
PDF	12.6
Images de disque	5.5
Exécutable	5.0
Word	3.5
Autres	4.9

L’histogramme suivant montre le volume de courriels par type de fichier utilisé dans les attaques sur une semaine.

 

Index des menaces courriels par industrie

Les attaquants ciblent de préférence l’industrie de la recherche ce mois-ci. L’industrie de la recherche regorge d’informations sensibles. En hameçonnant avec succès des employés clés, les attaquants peuvent avoir accès à des détails de recherche critiques. De plus, l’industrie de la recherche est souvent lente à adopter de nouvelles technologies de sécurité en raison de contraintes budgétaires, ce qui permet aux attaquants d’exploiter plus facilement les vulnérabilités.

Le tableau suivant présente notre Indice des menaces par courriel de l’industrie calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).

Industries	Ratio de courriels de menace par rapport aux courriels propres
Recherche	7.2
Production	4.2
Transport	4.0
Automobile	3.9
Services publics	3.9
Information et Technologie	3.8
Media	3.7
Mines et carrières	3.7
Ventes au détail	3.4
Agriculture	3.4

Le graphique à barres suivant visualise la menace basée sur les courriels pour chaque industrie.

L‘indice Hornetsecurity des menaces courriel de l’industrie reste élevé et supérieur à 7.

Methodologie

Différentes (tailles) d’organisations reçoivent un nombre absolu de courriels différents. Donc, nous calculons le pourcentage de courriels de menaces de chaque organisation et nettoyons les courriels avant la comparaison entre organisations. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations au sein d’une même industrie pour créer le score par industrie de menaces finale.

 

Techniques d’attaques

L’hameçonnage domine les attaques par e-mail, car il s’agit d’un moyen très efficace d’amener les gens à divulguer leurs informations personnelles ou à cliquer sur des liens malveillants. Les e-mails d’hameçonnage semblent souvent provenir d’une source légitime, telle qu’une entreprise ou un site Web bien connu. Ils contiennent souvent un langage urgent ou alarmant qui peut amener les gens à agir sans réfléchir. Les outils modernes permettent aux hameçonneurs de récupérer les codes 2FA ou les cookies de session de leurs victimes pour contourner la sécurité.

Le tableau suivant montre les techniques d’attaques utilisés dans les attaques.

Techniques d’attaques	%
Phishing	30.7
URL	11.5
Arnaque des frais avancés	7.4
Exécutable dans une archive/image disque	5.3
Extortion	4.1
Maldoc	3.4
HTML	2.3
Usurpation	1.3
PDF	0.3
autres	33.8

Le graphique à barres suivant montre le volume de courriel par type d’attaque utilisés et par heure.

 

Usurpation de marques et d‘organisations

Certaines des marques les plus usurpées dans les attaques de phishing par e-mail sont les banques, les sociétés de cartes de crédit, les compagnies maritimes et les détaillants en ligne. Ces types d’attaques impliquent généralement que l’attaquant envoie un e-mail qui semble provenir d’une entreprise légitime et demande au destinataire de fournir des informations personnelles ou financières. Dans de nombreux cas, l’e-mail contiendra un lien menant à un faux site Web qui semble identique au vrai site Web. L’attaquant utilise ensuite les informations collectées pour commettre une fraude ou un vol d’identité.

Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marques et organisations usurpées	%
Sparkasse	17.3
DHL	11.8
Amazon	11.3
1&1	4.6
Postbank	4.1
Microsoft	3.8
UPS	3.8
Volks- und Raiffeisenbank	3.3
LinkedIn	2.9
DocuSign	2.7
Autres	34.4

L’histogramme suivant montre le volume de courriels pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.

Il s’agit d’un flux constant d’attaques de phishing et d’autres attaques se faisant passer pour de grandes marques et organisations afin d‘inciter les destinataires à ouvrir les courriels.

Sommaire

Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en mai 2022 et les comparons aux menaces du mois précédent.

Le rapport fournit des informations suivantes :

• Les courriels indésirables par catégorie
• File types used in attacks
• Industry Email Threat Index
• Attack techniques
• Impersonated company brands and organizations

Les courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Catégorie de courriel	%
Rejeté	81.81
Spam	13.45
Threat	3.85
AdvThreat	0.85
Contenu	0.04

L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.

Les courriels indésirables par catégorie

 

Méthodologie

Les catégories de courriels listés correspondent aux catégories courriels listés dans le Email Live Tracking du control panel de Hornetsecurity. Nos utilisateurs sont déjà familiers avec ces notions. Pour les autres, les catégories sont:

Catégorie	Description
Spam	Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
Contenu	Ces courriels ont une pièce jointe invalide. Les administrateurs définissent dans le module Content Control quelles pièces jointes ne sont pas valides.
Threat	Ces courriels contiennent du contenu dangeureux, tels que des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des crimes, tels que l‘hameçonnage.
AdvThreat	Advanced Threat Protection a détecté une menace dans cescourriels. Les courriels sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu’à l’aide de procédures dynamiques avancées.
Rejeté	Nos serveurs de messagerie rejettent ces courriels directement lors de la transaction SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur, et les courriels ne sont pas analysés davantage

 

Types de fichiers utilisés dans les attaques

The following table shows the distribution of file types used in attacks.

Type de fichier (utilisé dans les courriels malveillants)	%
Archive	33.8
HTML	17.0
PDF	16.4
Excel	13.7
Exécutable	5.8
Autres	5.6
Imag de disque (disk image files)	4.7
Word	1.7
Fichier script	0.6
Courriel	0.4
Fichier LNK	0.3

L’histogramme suivant montre le volume de courriels par type de fichier utilisé dans les attaques sur 1 semaine.

Types de fichiers utilisés dans des attaques

 

Indice des menaces par courriel de l’industrie

Le tableau suivant présente notre Indice des menaces par courriel de l’industrie calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).

Industries	Ratio de courriels de menace par rapport aux courriels propres
Recherche	7.0
Production	4.4
Automobile	4.3
Media	4.0
Mines et carrières	4.0
Services publics	4.0
Éducation	3.8
Santé	3.7
Transport	3.7
Construction	3.6

Le graphique à barres suivant visualise la menace basée sur les courriels pour chaque industrie.

Indice Hornetsecurity des menaces courriel de l’industrie

 

Ce mois-ci nous avons vu une augmentation de l’indice des menaces pour l’industrie de la recherche. D’autres industries ont vu leur indicence de menaces se relâcher légèrement en comparaison du mois précédent.

 

Méthodologie

Différentes (tailles) d’organisations reçoivent un nombre absolu de courriels différents. Donc, nous calculons le pourcentage de courriels de menaces de chaque organisation et nettoyons les courriels avant la comparaison entre organisations. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations au sein d’une même industrie pour créer le score par industrie de menaces finale.

 

Techniques d’attaques

Le tableau suivant montre les techniques d’attaques utilisés dans les attaques.

Technique d‘attaque	%
Phishing	40.0
URL	14.9
Arnaque des frais avancés	7.8
Exécutable dans une archive/image disque	4.3
Extortion	4.0
Usurpation	2.0
Maldoc	1.4
HTML	1.3
PDF	0.3
Autres	23.9

Le graphique à barres suivant montre le volume de courriel par type d’attaque utilisés et par heure.

Techniques d’attaques

 

Marques et organisations usurpées

Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marques et organisations usurpées	%
Sparkasse	60.9
Amazon	7.6
DHL	5.6
UPS	2.1
Dropbox	1.6
Microsoft	1.5
Netflix	1.4
LinkedIn	1.4
Fedex	1.2
Volks- und Raiffeisenbank	1.1
1&1	1.0
Postbank	1.0
Autres	13.6

L’histogramme suivant montre le volume de courriels pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.

Marques et organisations usurpées

Malgré quelques pauses dans les campagnes continuelles de phishing contre Sparkasse, Sparkasse reste en tête de notre classement. Sparkasse est une banque publique Allemande.

Résumé

• Vers le 2022-04-07, une campagne de spam intrusive diffusant le logiciel malveillant Formbook à l’aide de documents Word malveillants exploitant CVE-2017-11882 a fait des documents Word le format de fichier le plus utilisé ce mois-ci dans les attaques.
• Le 2022-04-22, les opérateurs du botnet Emotet ont commencé à utiliser les fichiers LNK pour se propager par courriel. Mais à la fin du mois, ils sont revenus aux documents malveillants XLS.

Sommaire

Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en avril 2022 et les comparons aux menaces du mois précédent.

Le rapport fournit des informations suivantes :

• Les courriels indésirables par catégorie
• Types de fichiers utilisés dans les attaques
• Indice des menaces par courriel de l’industrie
• Techniques d’attaque
• Marques et organisations usurpées
• Survol d’une campagne malicieuse

 

Les courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Catégorie de courriel	%
Rejeté	80.58
Spam	13.88
Threat	4.71
AdvThreat	0.81
Contenu	0.03

L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.

Le pic de courriels rejetés du 2022-04-07 au 2022-04-12 peut être attribué à une campagne de sextorsion à grande échelle en allemand.

Méthodologie

Les catégories de courriels répertoriées correspondent aux catégories du Email Live Tracking du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont :

Catégorie	Description
Spam	Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
Contenu	Ces courriels ont une pièce jointe invalide. Les administrateurs définissent dans le module Content Control quelles pièces jointes ne sont pas valides.
Threat	Ces courriels contiennent du contenu dangeureux, tels que des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des crimes, tels que l‘hameçonnage.
AdvThreat	Advanced Threat Protection a détecté une menace dans cescourriels. Les courriels sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu’à l’aide de procédures dynamiques avancées.
Rejeté	Nos serveurs de messagerie rejettent ces courriels directement lors de la transaction SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur, et les courriels ne sont pas analysés davantage.

 

Types de fichiers utilisés dans les attaques

Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.

Type de fichier (utilisé dans les courriels malveillants)	%
Word	47.2
Archive	19.0
PDF	11.5
HTML	9.2
Excel	6.1
Exécutable	2.6
Image de disque (Disk image files)	2.4
Autre	1.3
Fichier de script	0.4
Courriel	0.1
Fichier LNK	0.1

L’histogramme suivant montre le volume de courriels par type de fichier utilisé dans les attaques sur sept jours.

Le pic vers le 2022-07-04 peut être attribué à une vaste campagne de spam très envahissante diffusant le malware Formbook à l’aide de documents Word malveillants exploitant CVE-2017-11882.

 

Indice des menaces par courriel de l’industrie

Le tableau suivant présente notre Indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).

Industries	Ratio de courriels de menace par rapport aux courriels propres
Fabrication	5.3
Santé	5.2
Recherche	5.0
Automobile	4.9
Médias	4.5
Éducation	4.3
Services publics	4.1
Construction	4.0
Services professionnels	3.9
Mines et carrières	3.9
Vente au détail	3.8

Le graphique à barres suivant visualise la menace basée sur les courriels posée à chaque secteur.

Le top 3 de notre indice des menaces par courriel reste inchangé. Cependant, l’industrie de la recherche est passée de la 1re à la 3e place.

Méthodologie

Différentes organisations reçoivent un nombre absolu de courriels différent selon leur taille. Ainsi, nous calculons le ratio de courriels de menace par rapport aux courriels propres en pourcentage des courriels reçus pour chaque organisation pour ainsi mieux les comparer. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations du même secteur pour former le score de menace final du secteur.

 

Techniques d’attaque

Le tableau suivant montre les techniques utilisées dans les attaques.

Technique d’attaque	%
Phishing	37.7
Autre	29.8
URL	9.8
Arnaque des frais à l‘avance	8.1
Documents malveillants (Maldoc)	7.4
Extortion	2.9
Executable dans une archive / image de disque	2.8
Usurpation	1.6

L’histogramme suivant montre le volume de courriels par technique d’attaque utilisée par heure.

L’augmentation des maldocs (documents malveillants) utilisés peut être attribuée à la campagne Formbook à grande échelle mentionné précédement. Les maldocs de la campagne Formbook sont également clairement visibles dans le tracé des données vers le 2022-04-07.

 

Marques et organisations usurpées

Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marque ou organisation usurpée	%
Sparkasse	77.3
Amazon	5.0
Autre	7.2
LinkedIn	3.0
Postbank	2.2
Deutsche Post / DHL	2.0
Dropbox	1.1
Netflix	0.7
Microsoft	0.6
UPS	0.5
Fedex	0.4

L’histogramme suivant montre le volume de courrielsmails pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.

La banque allemande Sparkasse continue d’être l’entité la plus usurpée utilisée dans les attaques.

 

Survol d’une campagne malicieuse

Ce mois-ci, nous voulons souligner la campagne de fichiers LNK d’Emotet. Emotet est un logiciel malveillant utilisé pour voler des informations personnelles sur des ordinateurs infectés. Il s’agit d’un type de cheval de Troie qui se propage par le biais de spams. Emotet peut également être utilisé pour installer d’autres types de logiciels malveillants sur un ordinateur infecté, tels que des rançongiciels.

Le 2022-04-22, les opérateurs du botnet Emotet ont commencé à utiliser les fichiers LNK pour propager le malware Emotet via des courriels. À cette fin, ils ont remplacé leurs documents XLS malveillants précédemment utilisés par un fichier LNK. Les fichiers LNK sont des raccourcis qui pointent vers d’autres fichiers. Cependant, ces fichiers peuvent également injecter des commandes dans des fichiers exécutables. Cela peut permettre l’installation de logiciels malveillants sur l’ordinateur de l’utilisateur à son insu. Si un utilisateur reçoit un fichier .lnk d’une source non fiable, il ne doit pas l’ouvrir.

Les courriels contenant les fichiers LNK malveillants d’Emotet suivent le même schéma de détournement de conversation que les courriels Emotet ordinaires. Le logiciel malveillant LNK était généralement envoyé à l’endroit où le document XLS malveillant serait placé, c’est-à-dire, dans certains cas, directement attaché au courriel, mais dans d’autres, attaché dans un fichier ZIP protégé par mot de passe avec le mot de passe indiqué dans le courriel.

Les fichiers LNK avaient différentes variantes. Tous utilisaient Windows\system32\cmd.exe comme fichier cible pour le LNK. Les arguments de ligne de commande du LNK ont ensuite été utilisés pour fournir des commandes à exécuter à cmd.exe. Dans une variante, un script VBS a été ajouté à la fin du fichier LNK, qui a été extrait via findstr et écrit dans un fichier .vbs, et exécuté par les arguments de ligne de commande dans le fichier LNK.

D’autres variantes utilisaient Powershell dans les arguments de ligne de commande des fichiers LNK pour exécuter un téléchargement du chargeur Emotet.

L’histogramme suivant montre le volume de courriels pour la campagne LNK d’Emotet par bloc de 3 heures, en le comparant à sa campagne XLS.

Nous supposons que les opérateurs d’Emotet sont revenus aux fichiers XLS car leurs fichiers LNK avaient un taux de détection beaucoup plus élevé parmi les fournisseurs de sécurité.

Résumé

Les informations notables de ce mois-ci :

• Augmentation des pièces jointes Excel malveillantes utilisées dans les attaques dues à Emotet.
• Réduction de l’indice de menace de l’industrie par rapport au mois dernier, mais indice de menace global toujours supérieur aux moyennes de l’année dernière.
• Les hameçonneurs tentent une fraude à grande échelle en usurpant l’identité d’ONG et de réfugiés ukrainiens, demandant des dons pour les réfugiés ukrainiens et les victimes de la guerre – principalement en Bitcoin. Des dispositifs similaires et plus ciblés ont également été observés.

Sommaire

Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en mars 2022 et les comparons aux menaces du mois précédent.

Le rapport fournit des informations sur :

• Les courriels indésirables par catégorie
• Types de fichiers utilisés dans les attaques
• Indice des menaces par courriel de l’industrie
• Techniques d’attaque
• Marques et organisations usurpées

Les courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Catégorie de courriel	%
Rejeté	72.98
Spam	20.55
Threat	5.27
AdvThreat	1.16
Contenu	0.04

L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.

Méthodologie

Les catégories de courriels répertoriées correspondent aux catégories du Email Live Tracking du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont :

Catégorie	Description
Spam	Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
Contenu	Ces courriels ont une pièce jointe invalide. Les administrateurs définissent dans le module Content Control quelles pièces jointes ne sont pas valides.
Threat	Ces courriels contiennent du contenu dangeureux, tels que des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des crimes, tels que l‘hameçonnage.
AdvThreat	Advanced Threat Protection a détecté une menace dans cescourriels. Les courriels sont utilisés à des fins illégales et impliquent des moyens techniques sophistiqués qui ne peuvent être repoussés qu’à l’aide de procédures dynamiques avancées.
Rejeté	Nos serveurs de messagerie rejettent ces courriels directement lors de la transaction SMTP en raison de caractéristiques externes, telles que l’identité de l’expéditeur, et les courriels ne sont pas analysés davantage.

Types de fichiers utilisés dans les attaques

Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.

Type de fichier (utilisé dans les courriels malveillants)	%
Archive	36.9
Excel	22.3
HTML	14.7
PDF	9.4
Image de disque (Disk image files)	4.8
Exécutable	4.4
Autre	3.7
Word	3.5
Fichier de script	0.4
Courriel	0.1
Fichier LNK	0.0
Powerpoint	0.0

L’histogramme suivant montre le volume de courriels par type de fichier utilisé dans les attaques sur sept jours.

Les attaques utilisant des pièces jointes HTML ont continué de baisser de 33,6 % à 14,7 %. L’augmentation continue des pièces jointes Excel malveillantes de 12,4 % à 22,3 % peut toujours être attribuée au fait qu’Emotet se propage actuellement avec des documents Excel malveillants.

Indice des menaces par courriel de l’industrie

Le tableau suivant présente notre Indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).

Industries	Ratio de courriels de menace par rapport aux courriels propres
Recherche	6.6
Fabrication	5.9
Santé	5.8
Médias	5.7
Automobile	5.6
Éducation	5.3
Vente au détail	4.6
Mines et carrières	4.6
Services professionnels	4.5
Construction	4.5

Le graphique à barres suivant visualise la menace basée sur les courriels posée à chaque secteur.

Même si son indice de menace est passé de 10,5 % à 6,6 %, l’industrie de la recherche reste l’industrie la plus menacée. L’indice de menace médian de toutes les industries a légèrement diminué, passant de 4,9 % à 4,2 %. À titre de comparaison, l’indice de menace médian global de toutes les industries pour l’année 2021 était de 4,0 %. Cela signifie que même si nous constatons une baisse par rapport aux valeurs élevées du mois dernier, les valeurs sont toujours supérieures à la moyenne de l’année dernière.

Méthodologie

Différentes organisations reçoivent un nombre absolu de courriels différent selon leur taille. Ainsi, nous calculons le ratio de courriels de menace par rapport aux courriels propres en pourcentage des courriels reçus pour chaque organisation pour ainsi mieux les comparer. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations du même secteur pour former le score de menace final du secteur.

Techniques d’attaque

Le tableau suivant montre les techniques utilisées dans les attaques.

Technique d‘attaque	%
Phishing	36.1
Autre	28.5
URL	12.1
Arnaque des frais à l‘avance	11.8
Executable dans une archive / image de disque	3.4
Documents malveillants (Maldoc)	3.3
Extortion	2.7
Usurpation	2.1

L’histogramme suivant montre le volume de courriels par technique d’attaque utilisée par heure.

Le pic du 2022-03-16 dans les arnaques des frais à l‘avance est causé par des courriels faisant référence à l’émission télévisée d’investissement allemande « Höhle der Löwen » (version allemande de l’émission télévisée britannique Dragon’s Den ou américaine Shark Tank). Les courriels signalent une opportunité d’investissement qui était trop belle et donc interdite de diffusion dans l’émission télévisée.

Les attaquants tentent d’inciter les victimes à « investir » dans un bot de trading Bitcoin ou, d’une autre manière, à transférer de l’argent aux attaquants en échange de rendements monétaires importants. Les rendements financiers ne sont pas vrais et l’offre est une arnaque.

Les courriels ont été envoyés dans un laps de temps très court, provoquant cette forte augmentation des données. Les autres pics d’activité moins prononcés de cette campagne d’ arnaques des frais à l‘avance ont eu lieu les 2022-03-03, 2022-03-10, 2022-03-20, 2022-03-26 et 2022-03-31. Cependant, le volume de courriels par heure était inférieur à celui de la campagne du 2022-03-16.

Marques et organisations usurpées

Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marque ou organisation usurpée	%
Sparkasse	66.7
Autre	11.7
Amazon	7.6
Deutsche Post / DHL	3.1
Volks- und Raiffeisenbank	3.1
Postbank	2.4
Fedex	1.6
LinkedIn	1.4
Dropbox	1.0
Microsoft	0.9
Strato	0.5

Hornetsecrurity a observé ce mois-ci un nouveau pic d’arnaques d’ONG (par exemple, « Autre » comme indiqué ci-dessus). La guerre en cours en Ukraine attire les fraudeurs dans le mélange. Les fraudeurs se font passer pour des ONG et des réfugiés ukrainiens pour recueillir des dons en dollars américains ou en bitcoins. En général, en temps de crise, les arnaques à la collecte de fonds sont imminentes.

L’histogramme suivant montre le volume de courrielsmails pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.

Après la campagne de phishing à grande échelle sur LinkedIn du mois dernier, la banque allemande Sparkasse prend à nouveau la première place pour la marque la plus usurpée dans les attaques.