Les chercheurs de Check Point ont constaté que SpeakUP prend de l’ampleur, cette nouvelle porte dérobée s’attaque aux serveurs Linux pour diffuser le logiciel malveillant d’extraction de cryptomonnaie XMRig
Check Point, l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son tout dernier Check Point Global Threat Index pour janvier 2019. Ce dernier révèle un nouveau cheval de Troie affectant les serveurs Linux, qui diffuse l’extracteur de cryptomonnaie XMRig. Le nouveau logiciel malveillant surnommé SpeakUp est en mesure de diffuser n’importe quel autre logiciel malveillant sur les ordinateurs compromis.
Le nouveau cheval de Troie échappe actuellement aux mécanismes de détection de tous les éditeurs de logiciels antivirus. Il s’est propagé via une série de vulnérabilités permettant la réception de commandes à partir de son centre de contrôle, y compris la 8e vulnérabilité la plus répandue « d’injection de commandes via HTTP ». Les chercheurs de Check Point considèrent SpeakUp comme étant une menace importante, car il peut être utilisé pour télécharger et diffuser n’importe quel logiciel malveillant.
En janvier, parmi les quatre variantes de logiciels malveillants les plus répandues en France, trois étaient des extracteurs de cryptomonnaie. Coinhive reste le principal logiciel malveillant, touchant près de 15 % des entreprises en France et 12% des entreprises dans le monde. Il est suivi par Jsecoin qui touche 9% des entreprises en France et 6% des entreprises dans le monde. XMRig était encore une fois le quatrième logiciel malveillant le plus répandu, touchant 8 % des entreprises dans le monde et 6% des entreprises françaises. Quatre extracteurs de cryptomonnaie sont présents dans l’indice de janvier, et la moitié des logiciels malveillants figurant dans le top 10 français peut être utilisée pour télécharger d’autres logiciels malveillants sur les ordinateurs infectés.
Thierry Karsenti, Vice-Président Technique Europe chez Check Point, précise : « En janvier, les types de logiciels malveillants touchant les entreprises dans le monde entier n’ont pas beaucoup varié, mais nous commençons à découvrir de nouvelles façons de diffuser des logiciels malveillants. Des menaces telles que celles-ci sont les prémices de plus graves menaces à venir. Les portes dérobées telles que SpeakUp peuvent échapper à toute détection et ensuite diffuser d’autres logiciels malveillants potentiellement plus dangereux sur les ordinateurs compromis. Étant donné que Linux est largement utilisé sur les serveurs d’entreprise, nous nous attendons à ce que SpeakUp devienne une menace dont l’ampleur et la gravité continueront de croître tout au long de l’année. »
Top 3 des logiciels malveillants en France en janvier 2019 :
* Les flèches indiquent le changement de position par rapport au mois précédent.
- ↔ Coinhive – Un extracteur de cryptomonnaie monero déclenché lorsqu’un internaute consulte une page web infectée, à son insu et sans son approbation. Le code JavaScript implanté utilise une grande partie des ressources informatiques des machines des utilisateurs finaux pour extraire de la cryptomonnaie, au risque de bloquer leur système.
- ↔ Jsecoin – Ce mineur JavaScript peut s’intégrer à n’importe quel site Web. JSEcoin permet de lancer un mineur directement dans le moteur de recherche en échange d’une navigation Web sans publicité.
- ↑ Nivdort – Appartenant à la famille de chevaux de Troie, il cible plus spécifiquement la plate-forme Windows. Il est capable de récupérer des mots de passe et des informations sur le système ou des paramètres tels que la version de Windows utilisée, l’adresse IP, la configuration du logiciel et son emplacement approximatif. Certaines versions de ce malware sont aussi en mesure de collecter les frappes de touches. afin de modifier les paramètres DNS. Nivdort se propage via des pièces jointes de courriers indésirables ou des sites Web malveillants.
Hiddad, la porte dérobée modulaire pour Android qui accorde des privilèges aux logiciels malveillants téléchargés, a remplacé Triada à la première place de la liste des principaux logiciels malveillants pour téléphones mobiles. Lotoor suit à la seconde place, tandis que Triada est repoussé à la troisième place.
Top 3 des logiciels malveillants mobiles « les plus recherchés » dans le monde en janvier 2019 :
- Hiddad – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système.
- Lootor – Un outil de piratage ciblant des vulnérabilités des systèmes d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.
- Triada – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Elle insère également de fausses URL dans le navigateur.
Les chercheurs de Check Point ont également analysé les vulnérabilités les plus exploitées. CVE-2017-7269 est restée en première place avec un impact global de 47 %. La récupération d’informations sur le référentiel Git d’un serveur web exposé a été classée deuxième, suivie par la récupération d’informations OpenSSL TLS DTLS heartbeat, touchant respectivement 46 % et 45 % des entreprises dans le monde.
Top 3 des vulnérabilités les plus exploitées dans le monde en janvier 2019 :
- ↔ Débordement de la mémoire tampon dans Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) – L’envoi d’une requête spécialement conçue à Microsoft Windows Server 2003 R2, via Microsoft Internet Information Services 6.0 sur un réseau, permettrait à un pirate d’exécuter à distance du code arbitraire ou provoquer un déni de service sur le serveur ciblé. Cela est principalement dû à une vulnérabilité de débordement de mémoire tampon résultant d’une validation incorrecte d’un en-tête long dans une requête HTTP.
- ↑ Récupération d’informations sur le référentiel Git d’un serveur web exposé– Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
- ↓ Récupération d’informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) – Il existe une vulnérabilité de récupération d’informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d’un client ou d’un serveur connecté.
L’indice Global Threat Impact Index de Check Point et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d’adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement.
* La liste complète des 10 principales familles de logiciels malveillants en janvier est disponible sur le Blog Check Point : http://blog.checkpoint.com/2019/02/13/january-2019s-most-wanted-malware-a-new-threat-speakup-linux-crypto-cryptomining/
Des ressources publiées par Check Point sur la prévention des menaces sont disponibles à l’adresse : http://www.checkpoint.com/threat-prevention-resources/index.html
Le rapport complet est disponible à ici.