Des analystes ont découvert que le cheval de Troie Trickbot commençait à être l’une des armes les plus utilisées par les pirates informatiques à travers le monde tandis qu’en France, c’est Qbot qui fait des ravages.
Après le démantèlement du botnet Emotet en janvier, les chercheurs informent que les groupes cybercriminels utilisent désormais de nouvelles techniques avec des malwares tels que Trickbot pour poursuivre leurs activités malveillantes. En février, Trickbot a été diffusé par le biais d’une campagne malveillante de spams visant à inciter les utilisateurs des secteurs juridiques et de l’assurance à télécharger un fichier .zip sur leur PC, contenant un fichier JavaScript malveillant. Une fois ce fichier ouvert, il tente de télécharger une autre charge utile malveillante depuis un serveur distant.
Trickbot était le quatrième logiciel malveillant le plus répandu dans le monde en 2020, impactant 8 % des organisations. Il a joué un rôle clé dans l’une des cyberattaques les plus médiatisées et les plus coûteuses de 2020 et qui a touché Universal Health Services (UHS), l’un des principaux fournisseurs de soins de santé aux États-Unis. UHS a été touché par le logiciel rançonneur Ryuk, et a déclaré que l’attaque lui avait coûté 67 millions de dollars en pertes de revenus et en frais. Les attaquants se sont servis de Trickbot pour détecter et récolter les données des systèmes d’UHS, pour ensuite transmettre la charge utile du logiciel rançonneur.
« Les criminels utiliseront toujours les menaces et les outils à leur disposition. Trickbot est populaire car il est polyvalent et qu’il a permis des attaques réussies dans le passé », déclare Maya Horowitz de chez Check Point, qui a rédigé le rapport de sécurité évoquant ces problèmes . « Comme on peut s’y attendre, même si on élimine une menace majeure, de nombreuses autres présenteront toujours un risque élevé sur les réseaux du monde entier. Les organisations doivent donc s’assurer qu’elles disposent de systèmes de sécurité puissants pour empêcher que leurs réseaux ne soient compromis et minimiser les risques. Une formation complète des employés est indispensable, comme toujours, pour pouvoir identifier les types d’e-mails malveillants qui répandent Trickbot et d’autres logiciels malveillants. »
Check Point Research avertit également que l’« exécution de code à distance MVPower DVR » est la vulnérabilité exploitée la plus courante, touchant 48% des organisations mondiales, suivie par l’ « exécution de code à distance des en-têtes HTTP (CVE-2020-13756)» qui touche 46% des organisations dans le monde. L’« exécution de code à distance MVPower DVR» occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 45 %.
Qbot, cheval de Troie bancaire numéro un en France
Qbot, alias Qakbot, est un cheval de Troie bancaire apparu en 2008, conçu pour dérober les informations d’identification bancaires et les frappes au clavier des utilisateurs. Souvent distribué par le biais de spams, Qbot se sert de plusieurs techniques anti-VM, anti-débogage et anti-sandbox, pour entraver l’analyse et ne pas être détecté. Mais il n’est pas le seul à faire de gros dégâts en France :
Détecté pour la première fois en 2016, FormBook est un InfoStealer qui cible le système d’exploitation Windows. Il est commercialisé en tant que MaaS dans les forums de piratage clandestins pour ses solides techniques d’évasion et son prix relativement bas. FormBook recueille les informations d’identification de divers navigateurs Web, fait des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
D’autres logiciels dangereux comme Smokeleader, Dridex, Ramnit, Xmrig, Ryuk ou encore Arkei figurent parmi les menaces pour les internautes français.
Principales familles de logiciels malveillants
Ce mois-ci, Trickbot est le logiciel malveillant le plus populaire, touchant 3 % des entreprises au niveau mondial, suivi de près par XMRig et Qbot, qui touchent chacun 3 % des entreprises.
Trickbot – Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.
XMRig – XMRig est un logiciel de minage de CPU open-source utilisé sur la crypto-monnaie Monero et apparu la première fois en mai 2017.
Qbot – Qbot est un cheval de Troie bancaire apparu en 2008, conçu pour voler les informations d’identification bancaires et les frappes des utilisateurs. Souvent diffusé via spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection.
Principales vulnérabilités exploitées
Ce mois-ci, la « Récupération d’informations sur le référentiel Git d’un serveur web exposé » est la plus couramment exploitée, touchant 48% des organisations dans le monde, suivie de près par l’ « exécution de code à distance des en-têtes HTTP (CVE-2020-13756) » qui touche 46% des entreprises dans le monde. L’ « exécution de code à distance MVPower DVR » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 45 %.
Récupération d’informations sur le référentiel Git d’un serveur web exposé – Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
Exécution de code à distance des en-têtes HTTP (CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
Exécution de code à distance MVPower DVR – Une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur concerné via une requête spécialement conçue.
Principales familles de logiciels malveillants mobiles
Ce mois-ci, Hiddad occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de xHelper et FurBall.
Hiddad – Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Il a pour principale fonction d’afficher des publicités, mais peut également accéder aux informations de sécurité clés intégrés dans le système d’exploitation.
xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.
FurBall – FurBall est un MRAT (cheval de Troie d’accès à distance mobile) Android déployé par APT-C-50, un groupe APT iranien lié au gouvernement iranien. Ce malware a été utilisé dans de multiples campagnes remontant à 2017, et est toujours actif aujourd’hui. Les capacités de FurBall incluent le vol de SMS, l’historique des appels, l’enregistrement surround, l’enregistrement d’appels, la collecte de fichiers multimédias, le suivi de localisation, etc.
L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.
Crédit photo : DR
[cc] Breizh-info.com, 2021, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine