Blog WatchGuard

Attaques de point d’eau vs. protection avancée des endpoints

Share on LinkedIn Share on X Share on Reddit

Dans une attaque de point d’eau (ou watering hole attack), les auteurs de la menace doivent généralement suivre plusieurs étapes. Tout d’abord, ils doivent rechercher la cible et identifier le type de site Web que la victime potentielle fréquente. Ensuite, ils tentent de l’infecter avec un code malveillant, de sorte que, lorsque la victime se rend sur le site Web, celui-ci exploite une vulnérabilité du navigateur ou la convainc de télécharger un fichier qui compromet l’appareil utilisateur.

Ce type d’attaque est conçu pour cibler les employés d’un secteur industriel ou d’un groupe d’utilisateurs spécifiques, et utilise les sites Web sur lesquels ils se rendent régulièrement pour les piéger et obtenir un accès au réseau interne d’une entreprise. Le vol de données, les pertes financières et les atteintes à la réputation sont souvent les principales conséquences des attaques de point d’eau.

Bien que ces menaces ressemblent beaucoup à des attaques de la chaîne d’approvisionnement, ce n’est pas tout à fait la même chose. Dans les deux cas, les pirates informatiques compromettent un service tiers pour infecter d’autres systèmes. Cependant, les attaques de la chaîne d’approvisionnement compromettent généralement un produit acheté ou un service utilisé par la cible, tandis qu’une attaque de point d’eau infecte des sites Web neutres. En revanche, dans une attaque de la chaîne d’approvisionnement, des malwares sont distribués via le maillon « le plus faible » du réseau d’une entreprise, tel qu’un fournisseur, un distributeur ou un partenaire.

Quelques exemples d’attaques de point d’eau en 2022

1. Nitrokod et le faux Google Translate pour desktop 

À la fin du mois de juillet 2022, une campagne de malwares servant à extraire de la cryptomonnaie a été détectée ; elle infectait des appareils dans 11 pays. L’auteur de la menace était un développeur de logiciels appelé Nitrokod qui offrait des versions gratuites d’applications logicielles populaires n’ayant pas de version desktop officielle. Son imitation de l’outil de traduction, créée à l’aide des pages Web officielles de Google Translate et d’un framework basé sur Chromium, constituait son offre la plus populaire et était disponible sur les sites Web de logiciels gratuits. Elle apparaissait également dans les premiers résultats de recherche pour « Téléchargement Google Translate pour desktop ». Malheureusement, les applications contenaient un cheval de Troie et, une fois le logiciel installé sur l’appareil, le processus d’infection restait inactif pendant plusieurs semaines afin de passer inaperçu. À l’issue de cette période d’inactivité, le malware s’activait et les victimes recevaient un fichier mis à jour qui chargeait en quelques jours une série de quatre injecteurs sur l’appareil. Le dernier injecteur déployait et exécutait XMRig, un mineur de cryptomonnaie Monero. Pendant ce temps, Google Translate continuait à fonctionner correctement et les analyses de sécurité ne déclenchaient pas de signal d’alarme. Cette tactique a permis à la campagne d’opérer avec succès tout en passant sous les radars pendant des années.

2. Malware SolarMarker 

En septembre 2022, le groupe SolarMarker a compromis un site Web vulnérable géré par WordPress afin d’inciter ses victimes à télécharger de fausses mises à jour du navigateur Chrome. Cette campagne ciblait une entreprise internationale de conseil fiscal présente aux États-Unis, au Canada, au Royaume-Uni et en Europe. Dans ce cas, la victime était un employé de l’entreprise qui cherchait de l’équipement médical auprès d’un fabricant spécifique référencé sur Google. Après avoir accédé au site Web compromis, celui-ci a été invité à télécharger une mise à jour du navigateur Web Chrome. L’employé a ensuite téléchargé et exécuté SolarMarker, déguisé en fausse mise à jour. La fausse mise à jour était basée sur le navigateur utilisé par la victime au moment où elle accédait au site Web infecté. Ainsi, si l’utilisateur avait utilisé un autre navigateur, le malware se serait fait passer pour Firefox ou Edge.

3. Attaque de sites Web d’information américains par le malware SocGholish 

En novembre 2022, un groupe criminel a compromis une société fournissant du contenu vidéo et de la publicité aux principaux médias américains, afin de déployer des malwares sur leurs sites Web. Au cours de cette campagne, 250 portails Web de journaux nationaux et régionaux du pays ont été ciblés. Le malware, appelé SocGholish et vu pour la première fois en 2018, était injecté dans un fichier JavaScript anodin qui se chargeait sur les sites Web des médias et a convaincu les visiteurs de télécharger une fausse mise à jour du navigateur. Comme dans le cas précédent, le malware a pris la forme du navigateur utilisé par l’utilisateur. Une fois l’accès initial aux réseaux obtenu par les pirates, celui-ci pouvait être utilisé comme un excellent moyen de déployer des ransomwares, tactique que nous avons vue précédemment.

Protection des endpoints : la défense essentielle contre une attaque de point d’eau

Les attaques de point d’eau ont un taux de réussite élevé, car elles compromettent des sites Web légitimes et dignes de confiance aux yeux des utilisateurs, de sorte que même les employés les mieux informés et les plus prudents peuvent tomber dans le piège. C’est pourquoi une solution de protection des endpoints, qui assure une surveillance continue et empêche l’exécution de processus inconnus est nécessaire. Cependant, en gardant à l’esprit que, lors d’une telle attaque, les applications peuvent paraître légitimes, la technologie utilisée pour se défendre contre l’agression doit pouvoir protéger les utilisateurs contre les menaces persistantes sophistiquées (ATP), les malwares de type « zero day » et les ransomwares, entre autres menaces avancées. L’utilisation de l’IA et l’automatisation sont très utiles pour effectuer des actions de prévention, de détection, de confinement et de réponse. En outre, l’analyse comportementale est idéale pour détecter s’il y a des acteurs malveillants au sein du réseau. L’ensemble de ces fonctions permet d’obtenir une sécurité complète, capable de repousser une attaque de point d’eau.

Il est essentiel d’adopter une approche Zero Trust, idéalement avec des services managés capables de classer 100 % des applications en tant que malwares ou applications de confiance, en surveillant l’activité de tous les types d’applications au niveau du endpoint. Une approche Zero Trust peut empêcher l’exécution de menaces sophistiquées, telles que les attaques de la chaîne d’approvisionnement et les attaques de point d’eau, en observant le comportement anormal de logiciels apparemment légitimes et en reclassant les applications dès qu’elles effectuent des activités généralement utilisées par les auteurs d'attaques. Il ne fait aucun doute que les cybercriminels déploient des tactiques de plus en plus complexes et difficiles à détecter, mais, avec la bonne protection et en adoptant l’IA et une approche Zero Trust, il est possible d’y faire face et de sécuriser les réseaux d’entreprise.