Les entreprises européennes, de plus en plus visées par des attaques de malwares exécutés en plusieurs étapes. Le plus souvent via OneDrive et SharePoint.

La popularité de Microsoft attire l’attention des cyberattaquants. L’Europe affiche une forte préférence pour les applications éditées par Microsoft : Microsoft OneDrive (52 %), SharePoint (33 %), Teams (24 %) et Outlook (20 %) sont en effet les quatre applications cloud les plus utilisées quotidiennement par les entreprises. Les attaquants sont parfaitement conscients de ce succès. Ce qui fait de OneDrive et de Sharepoint (qui est également le service de partage de fichiers utilisé par Teams) les premières sources de téléchargement de logiciels malveillants en Europe.

Le dernier rapport de Netskope révèle que si elles utilisent en moyenne moins d’applications cloud que les organisations d’autres régions du monde, les entreprises européennes reçoivent un plus grand nombre de malwares en provenance du cloud.

Github, les développeurs n’y échappent pas…

Le nombre de téléchargements de malwares à partir de OneDrive reflète la combinaison des tactiques malveillantes (utilisation abusive de cette application pour distribuer des malwares) et du comportement des victimes (la probabilité qu’ils cliquent sur un lien et téléchargent un logiciel malveillant en raison de leur familiarité avec l’application).

Github arrive en troisième position pour les téléchargements de logiciels malveillants. En effet, les cybercriminels cherchent à tirer parti du fait que les développeurs téléchargeront du code pour accélérer leur travail.

En plusieurs étapes…

Le téléchargeur GuLoader figure parmi les familles de logiciels malveillants les plus couramment utilisés pour cibler les victimes en Europe. L’utilisation de ce cheval de Troie constitue la première étape pour obtenir un accès avant de diffuser d’autres malwares, notamment des infostealers et des chevaux de Troie.

Les logiciels malveillants exécutés lors de la deuxième étape sont souvent stockés dans des applications cloud réputées telles que OneDrive ou SharePoint auxquelles les utilisateurs peu méfiants accordent leur confiance les yeux fermés. Remcos, un cheval de Troie d’accès à distance (RAT), et AgentTesla, un infostealer, figurent également parmi les principaux logiciels malveillants téléchargés en Europe ; ils sont fréquemment utilisés en conjonction avec GuLoader.

Le nombre de malwares repart à la hausse en Europe

Dans l’ensemble, les téléchargements de logiciels malveillants ont chuté en Europe en 2023, atteignant un niveau bas au second semestre. Depuis février 2024 toutefois, leur augmentation est régulière, de sorte qu’en mai 2024, l’Europe pointe en tête de la moyenne mondiale des téléchargements de logiciels malveillants.

L’utilisation abusive des applications cloud permet aux malwares d’échapper au radar dans de nombreuses entreprises, esquivant les contrôles de sécurité qui s’appuient sur des outils classiques tels que les listes de blocage de domaine ou les outils qui n’inspectent pas l’ensemble du trafic écoulé sur le cloud.

« Il est intéressant de voir que les attaquants utilisent GuLoader comme malware de première étape pour diffuser un logiciel malveillant, indique Paolo Passeri, Cyber Intelligence Principal, Netskope. Cette dernière étude souligne une fois de plus que les entreprises doivent absolument inspecter l’ensemble du trafic associé à leurs applications cloud, que ce soit à destination ou en provenance d’un service cloud réputé. Certains fournisseurs de solutions de sécurité recommandent d’exclure le trafic OneDrive des règles de sécurité des entreprises, et ce rapport montre à quel point ils se trompent. »