Des chercheurs en sécurité exposent des données sensibles via des sandbox d'analyse de logiciels malveillants

Des experts en sécurité de la société britannique Cyjax de renseignement sur les menaces ont étudié les données soumises à trois de nos sandbox d'analyse de logiciels malveillants en ligne préférés et ont découvert qu'une grande partie des informations accessibles au public contient des fichiers potentiellement sensibles.

L'enquête s'est déroulée sur trois jours et comprenait trois services sandbox qui permettaient aux utilisateurs de télécharger des fichiers pour déterminer s'ils étaient malveillants ou non.

L'enquête de Cyjax s'est concentrée sur les documents PDF et les fichiers de courrier électronique (.msg et .eml) spécifiquement. Les experts en sécurité ont trouvé plus de 200 factures et bons de commande, ce qui n'est pas si étrange étant donné que les entreprises envoient souvent ce type de documents par courrier électronique.

Dans un cas, une entreprise qui fournit un outil de déploiement utile pour les administrateurs Windows semblait avoir téléchargé tous les bons de commande reçus dans le bac à sable.

"En examinant les factures, nous avons pu déterminer qui utilisait le logiciel, ainsi que les coordonnées des responsables des achats dans chaque organisation: ce sont des informations extrêmement utiles pour un acteur de la menace menant une campagne de spear phishing ou de fraude BEC, " , ont déclaré les analystes de la sécurité de Cyjax.

Cyjax a également repéré des dizaines de curriculum vitae et de certificats professionnels, et même certains, qui avaient des copies de passeport. Cyjax a également découvert des données accessibles au public contenant des certificats d'assurance contenant des données privées telles que les noms, les numéros de téléphone, les adresses e-mail et les adresses physiques.

Un de ces fichiers semble être un formulaire de demande de US CENTCOM pour l'utilisation d'avions militaires, et il contenait des noms, les coordonnées des voyageurs et du contenu sur le voyage.

CENTCOM et la firme qui a téléchargé tous ces bons de commande ont été informés et ont lancé des enquêtes.

En outre, des documents médicaux et juridiques ont également été repérés lors de l'enquête sur les programmes malveillants.

Les chercheurs de Cyjax ont également analysé un service de numérisation d'URL au cours de la période d'enquête et ont découvert que de nombreuses URL soumises pointaient vers des informations potentiellement sensibles hébergées sur des services populaires comme Google Drive et le service de partage de fichiers WeTransfer.

"Les liens envoyés au destinataire prévu sont délibérément volumineux et presque impossibles à deviner. En les soumettant au service de numérisation d'URL, ils sont publiés pour que tout le monde puisse les voir et y accéder", a déclaré Cyjax.

Dans un tel cas, une école secondaire aux États-Unis a téléchargé un lien Google Drive menant à un fichier .doc avec les noms et adresses de plus de 200 élèves. Non seulement cela, mais il avait des liens vers des CV et des analyses de leurs identifiants. L'école a été informée par Cyjax mais elle n'a pas encore pris de mesures.

"Le volume de documents sensibles collectés en seulement trois jours était stupéfiant. En un mois, un acteur menaçant disposerait de suffisamment de données pour cibler plusieurs secteurs et voler l'identité de plusieurs victimes", a expliqué la société de sécurité. "Bien que l'adoption de sandbox de logiciels malveillants soit une évolution positive, les entreprises doivent mieux comprendre comment les fichiers qu'ils partagent sont traités. De nombreux fournisseurs exigent un paiement pour soumettre des fichiers en privé, ce qui signifie que tous ceux qui utilisent le service gratuit verront leurs fichiers partagés par défaut, " Ajouta Cyjax.