Les logiciels malveillants « les plus recherchés »

33

Une nouvelle variante du voleur d’informations Valak entre pour la première fois dans la liste des 10 principaux logiciels malveillants

Check Point® Software Technologies Ltd. (code NASDAQ : CHKP), l’un des principaux fournisseurs de solutions de cybersécurité , a publié son tout dernier indice Check Point d’impact des menaces pour septembre 2020, via Check Point Research, son équipe dédiée aux renseignements sur les menaces. Les chercheurs ont découvert qu’une version actualisée du logiciel malveillant Valak est entrée dans l’indice pour la première fois, se classant au 9ème rang des logiciels malveillants les plus répandus en septembre.

Observé pour la première fois fin 2019, Valak est une menace sophistiquée qui était auparavant classée comme étant un téléchargeur de logiciels malveillants. Ces derniers mois, de nouvelles variantes ont été découvertes avec des changements fonctionnels importants, qui permettent à Valak de voler des informations en ciblant à la fois des personnes et des entreprises. Cette nouvelle version de Valak est capable de voler des informations sensibles dans les systèmes de messagerie Microsoft Exchange, ainsi que les identifiants des utilisateurs et les certificats de domaine. En septembre, Valak a été largement diffusé via des campagnes de spam contenant des fichiers .doc malveillants.

Le trojan Emotet reste à la première place de l’indice pour le troisième mois consécutif, touchant 14 % des entreprises dans le monde. Le cheval de Troie Qbot, qui est entré dans la liste pour la première fois en août, a également été largement utilisé en septembre, passant de la 10e à la 6e place de l’indice.

Top 10 en France

Famille de logiciel malveillant

Description

Impact global

Impact dans le pays

Emotet

Un cheval de Troie avancé, modulaire et capable de se propager par ses propres moyens, qui était autrefois utilisé comme cheval de Troie bancaire, et qui diffuse actuellement d’autres logiciels malveillants ou campagnes malveillantes. Il utilise plusieurs techniques de persistance et d’évasion pour échapper à toute détection, et peut être transmis via des emails de spam et de phishing contenant des pièces jointes ou des liens malveillants.

13,76 %

28,95 %

Trickbot

Un cheval de Troie bancaire modulaire qui cible la plateforme Windows, et qui est principalement diffusé via des campagnes de spam ou d’autres familles de logiciels malveillants telles qu’Emotet. Trickbot envoie des informations sur le système infecté et peut également télécharger et exécuter n’importe quel module parmi un large éventail disponible, notamment un module VNC pour le contrôle à distance, et un module SMB pour la propagation au sein d’un réseau compromis. Une fois qu’une machine est infectée, le gang Trickbot, les auteurs de ce logiciel malveillant, utilisent ces modules non seulement pour voler des identifiants bancaires dans le PC cible, mais également pour se propager et effectuer des reconnaissances sur l’entreprise ciblée elle-même, avant de lancer une attaque ciblée de logiciel rançonneur à l’échelle de l’entreprise.

3,77 %

3,32 %

Dridex

Un cheval de Troie bancaire qui cible la plateforme Windows. Il est diffusé par des campagnes de spam et des kits d’exploitation de vulnérabilités, et s’appuie sur des WebInjects pour intercepter et rediriger les identifiants bancaires vers un serveur contrôlé par les pirates. Dridex contacte un serveur distant, envoie des informations sur le système infecté, et peut également télécharger et utiliser des modules supplémentaires pour le contrôle à distance.

3,04 %

3,32 %

Valak

Un logiciel malveillant sophistiqué précédemment classé dans la catégorie des téléchargeurs. Bien qu’il ait été observé pour la première fois fin 2019, il a récemment fait l’objet de modifications spectaculaires qui en font plus qu’un simple téléchargeur d’autres logiciels malveillants. Il peut désormais être utilisé indépendamment comme voleur d’informations ciblant des personnes et des entreprises.

1,54 %

3,32 %

Formbook

Un voleur d’informations détecté pour la première fois en 2016, qui cible le système d’exploitation Windows. Connu pour ses techniques de fraude avancées, il est commercialisé sous forme de service dans les forums de piratage underground à un prix relativement bas. FormBook collecte des identifiants dans différents navigateurs web, effectue des captures d’écran, surveille et enregistre les frappes au clavier, et télécharge et exécute des fichiers en fonction des ordres reçus depuis un serveur de commande et de contrôle.

1,15 %

1,49 %

Ramnit

Un cheval de Troie bancaire intégrant des fonctionnalités de mouvement latéral. Il dérobe des informations de session web, permettant ainsi aux opérateurs du ver d’obtenir les identifiants de tous les services utilisés par les victimes, notamment les comptes bancaires, les comptes d’entreprise et les comptes de réseaux sociaux.

1,57 %

1,03 %

XMRig

Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie Monero, découvert en mai 2017.

2,08 %

1,03 %

FritzFrog

Un botnet P2P très sophistiqué qui s’infiltre activement dans des serveurs SSH du monde entier. Ce logiciel malveillant combine un ensemble de fonctionnalités qui le rendent unique. Il ne comporte aucun fichier, car il assemble et exécute ses modules en mémoire. Ses tentatives de brute force sont très agressives, et il doit son efficacité à la répartition des cibles de manière égale dans son réseau. Enfin, son protocole P2P est propriétaire et ne s’appuie sur aucune implémentation existante.

1,17 %

0,92 %

Mirai

Un logiciel malveillant pour objets connectés ciblant les appareils vulnérables, tels que des caméras web, des modems et des routeurs, pour les transformer en bots. Il est utilisé par ses opérateurs pour mener des attaques massives de déni de service distribué (DDoS). Il est apparu pour la première fois en septembre 2016 et a rapidement fait la une des actualités en raison de ses attaques à grande échelle, notamment une attaque massive de DDoS utilisée pour rendre la totalité du Libéria inaccessible, et une attaque de DDoS contre l’entreprise Internet Dyn, qui fournit une partie importante de l’infrastructure Internet des États-Unis.

0,46 %

0,92 %

Rig

Un kit d’exploitation de vulnérabilités introduit pour la première fois en avril 2014. Il a depuis été plusieurs fois mis à jour et reste actif à ce jour. En 2015, à la suite d’une querelle interne entre ses opérateurs, son code source a été fuité, et a pu ainsi être étudié de manière approfondie par les chercheurs. Le kit Rig comporte des exploitations de vulnérabilités pour Flash, Java, Silverlight et Internet Explorer. La chaîne d’infection commence par une redirection vers une page d’atterrissage contenant du code JavaScript recherchant des vulnérables dans des plug-ins et fournissant le code malveillant correspondant.

1,44 %

0,92 %

« Ces nouvelles campagnes de diffusion de Valak sont un autre exemple de la façon dont les pirates cherchent à maximiser leurs investissements dans des formes bien établies de logiciels malveillants. En parallèle des versions actualisées de Qbot apparues en août, Valak est destiné au vol de données et d’identifiants auprès des entreprises et des personnes. Les entreprises devraient envisager de déployer des solutions de protection contre les logiciels malveillants qui empêchent ce type de contenu d’atteindre les utilisateurs finaux, et conseiller à leurs collaborateurs d’être prudents lorsqu’ils ouvrent des emails, même lorsqu’ils semblent provenir d’une source fiable, » déclare Maya Horowitz, Directrice de la recherche et de l’intelligence sur les menaces chez Check Point.

L’équipe de chercheurs prévient également que la vulnérabilité « d’exécution de code à distance MVPower DVR » est la vulnérabilité la plus couramment exploitée, touchant 46 % des entreprises dans le monde, suivie de près par la vulnérabilité de « Contournement de l’authentification sur les routeurs GPON Dasan » qui touche 42 % des entreprises dans le monde. La vulnérabilité de « récupération d’informations OpenSSL TLS DTLS heartbeat » a eu un impact global de 36 %.

Principales familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Emotet est le logiciel malveillant le plus populaire touchant 14 % des entreprises au niveau mondial, suivi de près par Trickbot et Dridex qui touchent respectivement 4 et 3 % des entreprises.

 ↔ Emotet – Un cheval de Troie avancé, autonome et modulaire. Auparavant un cheval de Troie bancaire, il est actuellement utilisé pour diffuser d’autres logiciels malveillants ou mener d’autres campagnes malveillantes. Il utilise plusieurs techniques de persistance et d’évasion pour échapper à la détection, Il peut être transmis via des emails de spam et de phishing contenant des pièces jointes ou des liens malveillants.

2.      ↑ Trickbot – Un cheval de Troie bancaire très répandu, constamment mis à jour et doté de nouveaux moyens, de nouvelles fonctionnalités et de vecteurs de diffusion différents. Ce logiciel malveillant flexible et personnalisable peut être diffusé via des campagnes à objectifs multiples.

3.      ↑ Dridex – Un cheval de Troie ciblant la plateforme Windows et téléchargé via une pièce jointe d’un email de spam. Il contacte un serveur distant et envoie des informations sur le système ciblé, et peut télécharger et exécuter des modules arbitraires reçus depuis le serveur distant.

Principales vulnérabilités exploitées

Ce mois-ci, « l’exécution de code à distance MVPower DVR » était la vulnérabilité la plus couramment exploitée, touchant 46 % des entreprises dans le monde, suivie par la vulnérabilité « de contournement de l’authentification sur les routeurs GPON Dasan » avec un impact global de 42 %. La vulnérabilité « de récupération d’informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) » est en 3e position, avec un impact global de 36 %.

 

1.     ↑ Exécution de code à distance MVPower DVR – Une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.

2.      Contournement de l’authentification sur les routeurs GPON Dasan (CVE-2018-10561) – Il existe une vulnérabilité de contournement de l’authentification sur les routeurs GPON Dasan. Une exploitation réussie de cette vulnérabilité permettrait à des pirates distants d’obtenir des informations sensibles et un accès non autorisé au système affecté.

3.      Récupération d’informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) – Il existe une vulnérabilité de récupération d’informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d’un client ou d’un serveur connecté.

Principales familles de logiciels malveillants mobiles

Ce mois-ci, xHelper est le logiciel malveillant le plus populaire, suivi de Xafecopy et de Hiddad.

1.       xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.

2.       Xafecopy – Un cheval de Troie déguisé en applications utiles telle que Battery Master. Il télécharge secrètement du code malveillant sur l’appareil. Une fois activé, Xafecopy clique sur des pages web déclenchant une facturation WAP (protocole d’application mobile), une forme de paiement mobile qui impute les coûts directement sur la facture de téléphonie mobile de l’utilisateur.

3.       Hiddad – Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Il a pour principale fonction d’afficher des publicités, mais peut également accéder aux informations de sécurité clés intégrés dans le système d’exploitation

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 2,5 milliards de sites web et 500 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.

Des ressources Check Point pour la prévention des menaces sont disponibles sur http://www.checkpoint.com/threat-prevention-resources/index.html