Technologie
Produits
Ressources
Entreprise
Français
Technologie
Produits
Blog
Ressources
Entreprise

Darktrace identifie une menace par e-mail : utilisation d’un type de fichier rare pour contourner les passerelles

Mariana Pereira, Director of Email Security Products | jeudi 27 août 2020

Darktrace a récemment observé une série d’attaques par e-mail utilisant un certain degré d’ingénierie sociale pour convaincre le destinataire de cliquer sur un lien trompeur pour le persuader de dévoiler ses identifiants. Dans cet article, nous nous intéressons à une attaque par e-mail ciblant un client espagnol. Cet e-mail renfermait un contenu malveillant dissimulé dans un fichier de type inhabituel, qui n’était pas vérifié régulièrement par les outils de sécurité e-mail courants.

Un fichier ISO, souvent appelé image ISO, est un fichier d’archive qui contient une copie identique des données que l’on trouve sur un disque optique, comme un CD ou un DVD. Ces fichiers sont principalement utilisés pour la sauvegarde de disques optiques ou pour distribuer de grands ensembles de données destinés à être gravés sur disque optique. Comme ces fichiers sont relativement inhabituels (et généralement très volumineux), la plupart des outils standard de contrôle des e-mails ne les analysent pas en profondeur, voire pas du tout.

Darktrace a identifié un cybercriminel qui utilisait des fichiers ISO pour causer des dégâts chez un distributeur de produits alimentaires en Espagne. Cette entreprise, qui avait adopté Antigena Email à peine deux semaines plus tôt, a reçu environ 84 e-mails provenant du même expéditeur, qui contenaient chacun une pièce jointe ISO malveillante. Les e-mails provenaient de l’adresse [email protected][.]com, qui usurpait de façon intelligente et subtile l’adresse [email protected][.]com, e-mail de contact d’un fabricant espagnol légitime, peut-être même fournisseur de l’organisation victime.

100%
Fri Jun 12 2020, 03:02:27
From:Beronico Baudo <[email protected]>
Recipient:Gordiano Laurenzo <[email protected]>
Order [Valenplas _06/2020]
Email Tags
Spam
New Contact
Wide Distribution
Actions on Email
Move to Junk
Hold Message
Convert Attachment
Lock Link
Strip Attachment

Figure 1 : Aperçu interactif de l’interface utilisateur d’Antigena Email

Darktrace a remarqué que l’observateur n’avait jamais entretenu de correspondance avec aucune partie de l’entreprise. En outre, le champ personnel ne correspondait pas à l’en-tête de l’e-mail lui-même, c’est-à-dire les informations visibles du destinataire. Au niveau de l’adresse IP de connexion et des contrôles, l’IA de Darktrace a révélé que le véritable expéditeur ne correspondait pas au domaine valeplaz[.]com.

La ligne d’objet suggérait que l’e-mail concernait une commande effectuée par le client. En analysant les pièces jointes, Darktrace a identifié un fichier nommé URGENTE_PO_120620.iso. Le nom du fichier suggère que l’expéditeur tente d’utiliser la tactique d’urgence en ingénierie sociale pour effrayer les destinataires, les inciter à passer à l’action et à cliquer sur un lien pour ouvrir les pièces jointes sans tenir compte des détails de l’e-mail.

L’IA de Darktrace a également reconnu que l’extension de fichier .iso était extrêmement anormale pour le groupe, l’utilisateur et l’organisation dans son ensemble. Plus suspecte encore, la taille de la pièce jointe était particulièrement réduite (seulement 485,4 ko), ce qui indiquait qu’il était hautement improbable que le fichier soit réellement une facture authentique comme une pièce jointe PDF ou Word. Sur la base de ces résultats, combinés avec les balises « Nouveau Contact » et « Grande diffusion », Antigena Email a supprimé la pièce jointe de l’e-mail et a empêché le message d’arriver jusqu’à la boîte de réception des destinataires. De plus, l’IA de Darktrace a révélé que l’e-mail contenait un lien anormal jugé hautement suspect. Elle a verrouillé ce lien dans tous les e-mails pendant que l’équipe de sécurité enquêtait sur l’incident.

Figure 2 : Le lien suspect en question

Neutralisation de l’attaque sans patient zéro

Lorsque l’équipe de sécurité a ensuite vérifié le hachage de la pièce jointe, elle a découvert que certains fournisseurs d’antivirus, dont Microsoft, l’avaient déjà identifiée en tant que malware. Le défi principal consistait à neutraliser l’e-mail malveillant dès sa première instance, avant qu’elle ne parvienne jusqu’à la première boîte de réception. Grâce à sa compréhension en constante évolution de l’« identité » de l’entreprise, l’IA de Darktrace est justement capable de neutraliser les attaques sans avoir besoin qu’un « patient zéro » soit infecté.

De plus, nombre de solutions traditionnelles n’avaient pas encore identifié ce hachage de fichier comme malveillant, ce qui laisse à penser qu’il s’agissait d’une attaque relativement nouvelle. Cette caractéristique révèle une limite de plus en plus évidente de ces outils : les pirates modifient leur infrastructure d’attaque si souvent que, quelle que soit la fréquence de mise à jour des listes noires ou des outils traditionnels, ils s’avèrent obsolètes presque immédiatement.

Antigena Email a neutralisé l’attaque sans s’appuyer sur des signatures ou des listes noires, mais en comprenant si oui ou non, l’e-mail, le fichier et le comportement étaient normaux pour cette entreprise spécifique. Avec sa boîte de réception protégée par la cyber IA, l’entreprise a été en mesure de repousser cette attaque dès la première instance, avant qu’aucun e-mail n’arrive dans une boîte de réception ou qu’un employé clique sur le lien.

Plus d’informations sur AI Email Security

Mariana Pereira

Mariana is the Director of Email Security Products at Darktrace, with a primary focus on the capabilities of AI cyber defenses against email-borne attacks. Mariana works closely with the development, analyst, and marketing teams to advise technical and non-technical audiences on how best to augment cyber resilience within the email domain, and how to implement AI technology as a means of defense. She speaks regularly at international events, with a specialism in presenting on sophisticated, AI-powered email attacks. She holds an MBA from the University of Chicago, and speaks several languages including French, Italian, and Portuguese.