Comment Google empêche les documents Office malveillants de cibler les utilisateurs de Gmail

Lors de la conférence sur la sécurité RSA d'aujourd'hui, Google a offert un aperçu rare des types de pièces jointes malveillantes que les pirates enverront aux utilisateurs de Gmail.

Il s'avère que les documents Microsoft Office secrètement truqués pour télécharger des logiciels malveillants sont en vogue.

Au cours des dernières semaines, environ 56% des pièces jointes malveillantes détectées et bloquées par les filtres de Gmail étaient des documents Microsoft Office, selon le responsable de la recherche anti-abus de Google, Elie Bursztein.

Ces documents Office malveillants peuvent souvent contenir des macros ou une série de commandes automatisées dans le fichier.

Si vous activez les macros, le document malveillant pourra télécharger et exécuter le logiciel malveillant souhaité par le pirate informatique.

Les 44% restants des documents malveillants que Google bloquera incluent les documents Adobe PDF, les fichiers archivés et les documents HTML, entre autres.

(Par défaut, Gmail empêchera également les utilisateurs de joindre des programmes .exe et des fichiers Javascript aux messages électroniques.)

Lors de sa présentation, Bursztein a également fourni un aperçu des organisations et des pays les plus fréquemment ciblés par les documents malveillants.

Sans surprise, les attaques visent le plus souvent des organisations gouvernementales.

Les industries impliquées dans le transport, les services publics et la fabrication sont également des cibles fréquentes.

Curieusement, la Norvège était le premier pays visé par les documents malveillants, suivie du Royaume-Uni, de la Finlande et des États-Unis.

Bursztein a déclaré qu'il n'avait aucune preuve pour expliquer pourquoi.

Cependant, les instantanés qu'il a fournis ne concernaient que les messages Gmail envoyés ces dernières semaines et ne reflètent pas une tendance historique annuelle ou à long terme.

Cependant, une tendance qui est restée constante est la façon dont les pirates modifient constamment leurs pièces jointes nuisibles.

Actuellement, environ 63% des documents malveillants bloqués par Google seront techniquement différents de toutes les mauvaises pièces jointes précédemment rencontrées, a-t-il ajouté.

Cela dit, les ajustements peuvent être minimes.

Les pirates finissent souvent par modifier quelques lignes de texte ou de code pour tenter d'échapper aux filtres anti-spam et anti-malware que Gmail et d'autres services de messagerie utilisent pour intercepter les messages de phishing.

Mais malgré les modifications, les pièces jointes malveillantes reposeront sur les mêmes attaques globales.

Alors, qui est derrière tous ces e-mails malveillants? Bursztein a attribué une partie du problème aux kits de phishing développés par des pirates informatiques, qui peuvent automatiser l'ensemble du processus d'envoi d'un volume massif de messages de spam aux victimes sur Internet.

Les mêmes services permettront aux acheteurs d'emballer les e-mails avec des fichiers malveillants, y compris des ransomwares.

L'accès à ces kits peut être vendu entre 400 et 5000 dollars sur les forums de hackers, a déclaré Bursztein.

La bonne nouvelle est que Google affirme qu'il bloque plus de 99,9% des messages de spam et de phishing qui ciblent les utilisateurs de Gmail.

Néanmoins, la société scanne 300 milliards de pièces jointes chaque semaine, donc manquer un petit pourcentage d'e-mails malveillants peut toujours constituer un danger pour de nombreux utilisateurs de Gmail.

Dans le même temps, les pirates - en particulier les cyberespions des gouvernements - améliorent constamment leurs attaques avec de nouvelles techniques pour échapper aux filtres anti-spam de Google.

Cependant, l'entreprise a trouvé un moyen prometteur de riposter; il a expérimenté un nouveau scanner alimenté par l'IA pour analyser de plus près les documents à la recherche de tout comportement malveillant potentiel.

Le scanner ira jusqu'à extraire les macros et autres fonctionnalités suspectes d'un document Office pour en déduire si le fichier peut être malveillant.

Depuis le lancement du nouveau scanner à la fin de 2019, nous avons augmenté de 10% notre couverture de détection quotidienne des documents Office contenant des scripts malveillants, a écrit Bursztein dans un article de blog sur la sécurité de Google le même jour.

Dans certains cas, le taux de détection peut atteindre plus de 150%, a-t-il ajouté.

Pour l'instant, le nouveau scanner de documents malveillants alimenté par l'IA transfère tous les e-mails signalés vers votre dossier spam.

Tous les autres e-mails bloqués avec des pièces jointes malveillantes sont immédiatement purgés, ce qui les empêche de se retrouver dans votre boîte de réception.

Lors de la conférence sur la sécurité RSA d'aujourd'hui, Google a offert un aperçu rare des types de pièces jointes malveillantes que les pirates enverront aux utilisateurs de Gmail.

Il s'avère que les documents Microsoft Office secrètement truqués pour télécharger des logiciels malveillants sont en vogue.

Au cours des dernières semaines, environ 56% des pièces jointes malveillantes détectées et bloquées par les filtres de Gmail étaient des documents Microsoft Office, selon le responsable de la recherche anti-abus de Google, Elie Bursztein.

Ces documents Office malveillants peuvent souvent contenir des macros ou une série de commandes automatisées dans le fichier.

Si vous activez les macros, le document malveillant pourra télécharger et exécuter le logiciel malveillant souhaité par le pirate informatique.

Les 44% restants des documents malveillants que Google bloquera incluent les documents Adobe PDF, les fichiers archivés et les documents HTML, entre autres.

(Par défaut, Gmail empêchera également les utilisateurs de joindre des programmes .exe et des fichiers Javascript aux messages électroniques.)

Lors de sa présentation, Bursztein a également fourni un aperçu des organisations et des pays les plus fréquemment ciblés par les documents malveillants.

Sans surprise, les attaques visent le plus souvent des organisations gouvernementales.

Les industries impliquées dans le transport, les services publics et la fabrication sont également des cibles fréquentes.

Curieusement, la Norvège était le premier pays visé par les documents malveillants, suivie du Royaume-Uni, de la Finlande et des États-Unis.

Bursztein a déclaré qu'il n'avait aucune preuve pour expliquer pourquoi.

Cependant, les instantanés qu'il a fournis ne concernaient que les messages Gmail envoyés ces dernières semaines et ne reflètent pas une tendance historique annuelle ou à long terme.

Cependant, une tendance qui est restée constante est la façon dont les pirates modifient constamment leurs pièces jointes nuisibles.

Actuellement, environ 63% des documents malveillants bloqués par Google seront techniquement différents de toutes les mauvaises pièces jointes précédemment rencontrées, a-t-il ajouté.

Cela dit, les ajustements peuvent être minimes.

Les pirates finissent souvent par modifier quelques lignes de texte ou de code pour tenter d'échapper aux filtres anti-spam et anti-malware que Gmail et d'autres services de messagerie utilisent pour intercepter les messages de phishing.

Mais malgré les modifications, les pièces jointes malveillantes reposeront sur les mêmes attaques globales.

Alors, qui est derrière tous ces e-mails malveillants? Bursztein a attribué une partie du problème aux kits de phishing développés par des pirates informatiques, qui peuvent automatiser l'ensemble du processus d'envoi d'un volume massif de messages de spam aux victimes sur Internet.

Les mêmes services permettront aux acheteurs d'emballer les e-mails avec des fichiers malveillants, y compris des ransomwares.

L'accès à ces kits peut être vendu entre 400 et 5000 dollars sur les forums de hackers, a déclaré Bursztein.

La bonne nouvelle est que Google affirme qu'il bloque plus de 99,9% des messages de spam et de phishing qui ciblent les utilisateurs de Gmail.

Néanmoins, la société scanne 300 milliards de pièces jointes chaque semaine, donc manquer un petit pourcentage d'e-mails malveillants peut toujours constituer un danger pour de nombreux utilisateurs de Gmail.

Dans le même temps, les pirates - en particulier les cyberespions des gouvernements - améliorent constamment leurs attaques avec de nouvelles techniques pour échapper aux filtres anti-spam de Google.

Cependant, l'entreprise a trouvé un moyen prometteur de riposter; il a expérimenté un nouveau scanner alimenté par l'IA pour analyser de plus près les documents à la recherche de tout comportement malveillant potentiel.

Le scanner ira jusqu'à extraire les macros et autres fonctionnalités suspectes d'un document Office pour en déduire si le fichier peut être malveillant.

Depuis le lancement du nouveau scanner à la fin de 2019, nous avons augmenté de 10% notre couverture de détection quotidienne des documents Office contenant des scripts malveillants, a écrit Bursztein dans un article de blog sur la sécurité de Google le même jour.

Dans certains cas, le taux de détection peut atteindre plus de 150%, a-t-il ajouté.

Pour l'instant, le nouveau scanner de documents malveillants alimenté par l'IA transfère tous les e-mails signalés vers votre dossier spam.

Tous les autres e-mails bloqués avec des pièces jointes malveillantes sont immédiatement purgés, ce qui les empêche de se retrouver dans votre boîte de réception.