Attention : les campagnes d’e-mails malveillants avec des pièces jointes JavaScript explosent

Alors que les menaces consistaient depuis des années en des documents Office contenant des macros malveillantes, l’utilisation directement dans les e-mail de codes .js plus discret s'accroît.

Ces derniers mois, les chercheurs de Proofpoint ont repéré une nouvelle tendance dans les campagnes d’e-mails malveillants : la présence de fichiers JavaScript en pièces jointes. Alors que les menaces consistaient depuis des années en des documents Microsoft Office contenant des macros malveillantes et que les utilisateurs comme la plupart des antivirus sont généralement conscients des dangers des fichiers .exe (exécutables) joints aux e-mails, l’utilisation directement dans les e-mail de code .js plus discret s'accroît.

Alors pourquoi .js ? Selon Bryan Burns, vice-président en charge des recherches sur les menaces chez Proofpoint :

« Les utilisateurs ont été sensibilisés à ne pas cliquer sur les pièces jointes .exe mais bon nombre d’entre eux risquent de ne pas savoir ce qu’est un fichier js ni même qu’il peut être tout aussi dangereux. Son icône ressemble à celle d’un document, d’où une certaine confusion. Dans d’autres cas, les pièces jointes voient l’extension de leur nom de fichier modifiée pour avoir l’air inoffensif, ce qui n’empêche pas Windows d’exécuter normalement le code JavaScript si l’utilisateur clique deux fois sur le fichier dans un e-mail. »

Le simple volume des messages est également un trait distinctif de ces campagnes. Le graphique ci-dessous illustre les volumes relatifs de pièces jointes .js par rapport à d’autres documents malveillants dans les campagnes récentes, montrant que celles-ci dépassent tous les autres types cumulés de pièces jointes d’un facteur 4 à 8 à leurs pics :


Il s’agit en fait des campagnes de plus grande ampleur observées ces dernières années par les chercheurs de Proofpoint, faisant appel à des botnets massifs pour diffuser des volumes considérables d’e-mails malveillants. Si ces botnets sont de dimension mondiale, l’Inde et le Vietnam sont de loin les principaux pays hébergeant des adresses IP à l’origine de ces campagnes. La carte ci-dessous indique la répartition des messages par pays source.


L’ampleur des campagnes donne à penser que leurs auteurs parient sur la naïveté des utilisateurs face à cette méthode rarement employée. Tandis que de nombreux e-mails malveillants comportent des fichiers joints .js sans modification, d’autres utilisent du code JavaScript masqué avec des extensions différentes ou sous forme de fichiers compressés pour en dissimuler davantage encore la nature aux destinataires.

Même si cette technique a été employée précédemment avec des variantes de ransomware telles que Teslacrypt et CryptoWall, ces campagnes implantent quasi exclusivement Locky et Dridex. Nous n’avons guère observé de ciblage sectoriel ou vertical mais, du fait que Dridex utilise des implants spécifiques à certains pays et établissements bancaires, nous avons noté un certain ciblage géographique aux Etats-Unis, au Royaume-Uni et en Europe de l’Ouest. Locky, pour sa part, lance beaucoup plus des attaques volumétriques peu ciblées.

En outre, les e-mails trompeurs propagés par ces campagnes ne diffèrent pas fondamentalement des autres campagnes reposant sur des pièces jointes standard Microsoft Office. L’objectif de leurs auteurs reste d’inciter les destinataires à cliquer sur les fichiers, même si le destinataire n’a pas à effectuer une action supplémentaire en activant les macros. Les fichiers JavaScript s’exécutent dès qu’ils sont ouverts, tentant d’installer directement un malware.

Ces campagnes sont inquiétantes pour deux raisons :

1/ Leurs volumes massifs augmentent considérablement le risque que les messages aboutissent à des destinataires qui ne disposent pas d’une protection suffisante ou qui n’ont pas conscience du danger potentiel de ces pièces jointes.

2/ Les fichiers ne sont pas immédiatement identifiables comme malveillants (à la différence des fichiers .exe) et n’affichent pas de messages d’alerte liés aux macros.

Pour les entreprises comme pour les particuliers, cela signifie qu’il est plus important que jamais d’utiliser des solutions antimalware capables de détecter les menaces avancées. Dans le même temps, nous devons veiller à ce que les utilisateurs demeurent vigilants en observant les meilleures pratiques en matière d’e-mail et en étant conscients de la diversité croissante des pièces jointes susceptibles d’être malveillantes.