Distribution de logiciels malveillants par joindre des documents entachés aux e-mails est l'un des trucs les plus anciens du livre. Ce n'est pas seulement un risque théorique - de vrais attaquants utiliser des documents malveillants pour infecter des cibles tout le temps. Ainsi, en plus de ses efforts anti-spam et anti-hameçonnage, Gmail a étendu ses capacités de détection des logiciels malveillants à la fin de l'année dernière pour inclure une surveillance des documents plus personnalisée. Bonne nouvelle, ça marche.

Lors de la conférence sur la sécurité RSA à San Francisco mardi, Elie Bursztein, responsable de la recherche sur la sécurité et la lutte contre les abus chez Google, présentera ses conclusions sur la manière dont le nouveau scanner d'apprentissage en profondeur pour les documents se comporte face aux 300 milliards de pièces jointes qu'il doit traiter chaque semaine. Il est difficile de faire la différence entre des documents légitimes dans toutes leurs variations infinies et ceux qui ont été spécifiquement manipulés pour dissimuler quelque chose de dangereux. Google affirme que 63 % des documents malveillants qu'il bloque chaque jour sont différents de ceux que ses systèmes ont signalés la veille. Mais c'est exactement le type de problème de reconnaissance de formes où l'apprentissage en profondeur peut être utile.

Actuellement, 56 % des menaces de logiciels malveillants contre les utilisateurs de Gmail proviennent de documents Microsoft Office et 2 % de fichiers PDF. Au cours des mois où il a été actif, le nouveau scanner a augmenté de 10 % sa détection quotidienne de documents Office malveillants.

"Dix pour cent comptent", a déclaré Bursztein à WIRED. "Nous essayons de combler l'écart autant que possible. Nous voulons continuer à ajouter l'apprentissage automatique partout où nous le pouvons, là où cela a du sens. L'apprentissage automatique fait parfois des choses incroyables, mais parfois il est surestimé. Nous essayons de l'utiliser comme un extra couche plutôt que la seule couche. Nous pensons que cela fonctionne bien mieux.

L'analyseur de documents recherche les signaux d'alarme courants, sonde les fichiers s'ils contiennent des composants qui peuvent avoir été volontairement obscurcis et effectue d'autres vérifications comme l'examen des macros, l'outil des documents Microsoft Word qui enchaîne les commandes dans une série et est souvent utilisé dans les attaques. Le volume de documents malveillants envoyés par les attaquants varie considérablement d'un jour à l'autre. Bursztein affirme que depuis son déploiement, le scanner de documents a été particulièrement efficace pour signaler les documents suspects envoyés en rafale par des botnets malveillants ou via d'autres méthodes de distribution de masse. Il a également été surpris de découvrir à quel point le scanner est efficace pour analyser Documents Microsoft Excel, un format de fichier compliqué qui peut être difficile à évaluer.

Bien qu'une augmentation de détection de 10 % puisse sembler peu importante, il s'agit d'une amélioration massive à l'échelle sur laquelle Google travaille, et tout gain est productif étant donné que la menace de documents malveillants est une réelle préoccupation dans le monde entier. Bursztein affirme que les entreprises et les organisations à but non lucratif sont trois fois plus susceptibles d'être ciblées par des documents malveillants que d'autres organisations, et que les entités gouvernementales sont cinq fois plus susceptibles. Certaines industries sont également plus susceptibles que d'autres d'être ciblées. Les transports et les infrastructures essentielles, par exemple, présentent un risque beaucoup plus élevé que le secteur de l'éducation.

La prévalence des attaques de documents malveillants varie dans le monde, mais pour les attaquants, l'approche est toujours une option. Bursztein souligne que des kits pour créer des documents malveillants et les adapter pour échapper aux scanners antivirus sont facilement disponibles sur les forums criminels en ligne, dont le prix varie d'environ 400 à 5,000 XNUMX dollars.

Alors que le scanner capture plus de documents malveillants que jamais, Bursztein et ses collègues continueront de l'affiner dans l'espoir de bloquer une part encore plus importante des logiciels malveillants envoyés aux comptes Gmail dans le monde entier.

"Les logiciels malveillants sont quelque chose que nous avons fait après le spam et le phishing, car les logiciels malveillants sont un peu plus difficiles", dit-il. "Nous n'avons pas le malware lui-même dans un e-mail ; les documents sont tout ce que nous avons à ce stade. Mais nous voulons toujours améliorer nos capacités de détection et avec les documents malveillants, nous avons choisi celui où nous pourrions avoir le plus d'impact pour nos utilisateurs. ."

Lorsqu'un piratage à part entière n'est qu'un téléchargement de document Word malveillant, les utilisateurs prendront toutes les protections supplémentaires qu'ils peuvent obtenir.