Liens URL malveillants : Les sites de vérifications en ligne les résultats des fournisseurs sont très biaisées
Analyse massive de 311 millions d'avertissements de logiciels malveillants :
voici comment les pirates nous trompent
par Chris Stokel Walker
21 septembre 2021
311 millions d'enregistrements contenant 77 millions d'URL ont été analysés pour développer le document.
Les logiciels malveillants sont un problème majeur pour les internautes du monde entier, et l'un des principaux moyens de nous tromper est de cliquer sur quelque chose pour lequel nous ne sommes pas censés. Bien sûr, la façon dont cela se produit est de nous diriger vers des URL. « Les URL sont au cœur d'une myriade de menaces de cybersécurité, du phishing à la distribution de logiciels malveillants », déclarent les auteurs d'un nouvel article qui tente de découvrir et de caractériser ce qui constitue une URL utilisée de manière malveillante.
Des chercheurs de l'Organisation australienne de recherche scientifique et industrielle (CSI) du Commonwealth ont recherché et analysé 311 millions d'enregistrements contenant 77 millions d'URL qui ont été soumis au site Web de vérification antivirus en ligne d'Hipasec Sistemas, VirusTotal entre décembre 2019 et janvier 2020...
Les résultats étaient étonnants pour l'ampleur de la problème de malware découvert.
À partir de l'ensemble de données analysé par les chercheurs, 2,6 millions de campagnes suspectes ont été identifiées sur la base de leurs métadonnées jointes, dont 77 810 ont été confirmées comme malveillantes par un contrôle secondaire. Au total, 38,1 millions d'enregistrements et 9,9 millions d'URL ont été trouvés dans ces 2,6 millions de campagnes malveillantes. Creuser dans les détails Le plus inquiétant pour ceux qui tentent de repérer ces campagnes malveillantes est peut-être le volume de celles qui sont inquiétantes qui se sont glissées sur le net. « Des résultats surprenants ont été observés, tels que des taux de détection tombant à seulement 13,27 % pour les campagnes qui utilisent plus de 100 URL uniques », déclarent les chercheurs.
Un quart de toutes les soumissions provenaient des États-Unis, avec 17 millions de contenus uniques analysés. Les URL soumises ont été vérifiées par une moyenne de 72 fournisseurs de sécurité pour déterminer si elles étaient bénignes ou malveillantes.
Mais ce qui était inquiétant, c'est que presque toutes (98 %) de toutes les soumissions n'étaient signalées comme malveillantes que par 10 fournisseurs ou moins à la fois. "Cela indique que les performances de détection des fournisseurs sont très biaisées et que seuls quelques-uns d'entre eux sont efficaces", écrivent les chercheurs. Cela peut sembler une préoccupation majeure - et c'est le cas, étant donné l'inefficacité d'une grande partie du marché - mais la sagesse des foules aide à repérer ces sources malveillantes.
Les résultats des chercheurs sont que si une URL est signalée par au moins quatre fournisseurs, il est raisonnable de conclure qu'elle est malveillante. Cela signifie que même si une solution de fournisseur de sécurité individuelle peut ne pas être aussi fiable, le marché dans son ensemble est en mesure de fournir un filet de sécurité grâce à la force du nombre. Une avalanche de malwares
Pourtant, la détection des logiciels malveillants est un jeu du chat et de la souris, et les pirates et les cybercriminels à l'origine de ces campagnes savent comment essayer de se frayer un chemin à travers les défenses.
Et ils le font littéralement : la grande majorité des URL malveillantes proviennent de campagnes qui utilisent plusieurs URL uniques, selon les chercheurs. L'objectif est également de faire croire aux utilisateurs qu'ils visitent une URL légitime alors qu'il s'agit en fait d'une URL frauduleuse. La longueur moyenne des URL entre les campagnes (c'est-à-dire la moyenne des moyennes) s'élève à 64,29 caractères, selon ceux qui ont analysé les données. Ces campagnes tentent souvent d'imiter les grandes marques pour capitaliser sur la confiance que ces marques ont bâtie au fil du temps. Prenez par exemple une campagne lancée par des pirates.
Une campagne de 4 081 URL uniques a tenté de se faire passer pour une marque Apple. Il a utilisé une combinaison de 9 sous-domaines, 12 domaines et 7 suffixes, allant de www.apple.com en tant que sous-domaine, icloud-com en tant que domaine et .us, .live et .support en tant que gTLD. « Nous voyons les efforts déployés par [les cybercriminels] pour échapper aux défenses, avec nos conclusions sur leur utilisation de longueurs d'URL très variables et leur propension à utiliser des URL plus longues », déclarent les chercheurs. « On espère que de telles informations seront utiles à l'ensemble de la communauté de la cybersécurité. »
Aucun commentaire:
Publier un commentaire