Dans le cadre de son indicateur mensuel d’août 2020 sur les logiciels malveillants : les chercheurs de Check Point ont constaté qu’une nouvelle variante dangereuse de Qbot se répandait via des campagnes de spam visant à voler des identifiants, installer des logiciels rançonneurs et effectuer des transactions bancaires non autorisées
Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son tout dernier indice Check Point d’impact des menaces pour août 2020, via Check Point Research, son équipe dédiée aux renseignements sur les menaces. Les chercheurs ont découvert que le cheval de Troie Qbot, également connu sous les noms Qakbot et Pinkslipbot, est entré pour la première fois dans le top 10 des logiciels malveillants, se classant en 10ème position des logiciels malveillants les plus répandus en août, tandis que le cheval de Troie Emotet reste à la 1ère place pour le second mois consécutif, touchant 14 % des entreprises dans le monde.
Apparu en 2008, Qbot est continuellement développé, et il utilise désormais des techniques sophistiquées de vol d’identifiants et d’installation de logiciels rançonneurs, ce qui en fait l’équivalent d’un couteau suisse selon les chercheurs. Qbot comporte désormais une nouvelle fonctionnalité dangereuse : un module spécialisé de collecte d’emails qui extrait les fils de discussion du client Outlook de la victime et les télécharge sur un serveur distant. Cela permet à Qbot de détourner des conversations électroniques légitimes d’utilisateurs infectés, puis d’envoyer des spams en utilisant ces emails détournés pour augmenter ses chances de tromper d’autres utilisateurs et de les infecter. Qbot est également en mesure d’effectuer des transactions bancaires non autorisées, en permettant à son contrôleur de se connecter à l’ordinateur de la victime.
Les chercheurs de Check Points ont découvert plusieurs campagnes utilisant la nouvelle souche de Qbot entre mars et août 2020, dont une campagne de diffusion de Qbot par le cheval de Troie Emotet. Cette dernière a touché 5 % des entreprises dans le monde en juillet 2020.
« Les pirates recherchent toujours des moyens d’adapter les versions existantes et éprouvées des logiciels malveillants, et ils ont clairement investi massivement dans le développement de Qbot pour voler des données à grande échelle auprès des entreprises et des particuliers. Nous avons découvert des campagnes actives de spam diffusant Qbot directement, ainsi que l’utilisation d’infrastructures d’infection tierces comme celle d’Emotet pour propager la menace encore plus loin. Les entreprises devraient envisager de déployer des solutions de protection contre les logiciels malveillants qui empêchent ce type de contenu d’atteindre les utilisateurs finaux, et conseiller à leurs collaborateurs d’être prudents lorsqu’ils ouvrent des emails, même lorsqu’ils semblent provenir d’une source fiable, » déclare Maya Horowitz, Directrice de la recherche et de l’intelligence sur les menaces chez Check Point.
L’équipe de recherche prévient également que la « récupération d’informations sur le référentiel Git d’un serveur web exposé » est la vulnérabilité la plus couramment exploitée, touchant 47 % des entreprises dans le monde, suivie de près par la « vulnérabilité d’exécution de code à distance MVPower DVR » qui touche 43 % des entreprises dans le monde. Le « contournement de l’authentification sur les routeurs GPON Dasan (CVE-2018-10561) » est à la troisième place, avec un impact global de 37 %.
Principales familles de logiciels malveillants
* Les flèches indiquent le changement de position par rapport au mois précédent.
Ce mois-ci, Emotet est le logiciel malveillant le plus populaire touchant 14 % des entreprises au niveau mondial, suivi de près par Agent Tesla et Formbook qui touchent chacun 3 % des entreprises.
- ↔ Emotet – Un cheval de Troie avancé, autonome et modulaire. Auparavant un cheval de Troie bancaire, il est actuellement utilisé pour diffuser d’autres logiciels malveillants ou mener d’autres campagnes malveillantes. Il utilise plusieurs techniques de persistance et d’évasion pour échapper à la détection, Il peut être transmis via des emails de spam et de phishing contenant des pièces jointes ou des liens malveillants.
- ↑ Agent Tesla – Un outil malveillant d’accès à distance capable de surveiller et de collecter les frappes au clavier et le contenu du presse-papiers, d’effectuer des captures d’écran et d’exfiltrer les identifiants de différents logiciels installés sur la machine de la victime (y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook).
- ↑ Formbook – Un logiciel malveillant de vol d’informations qui collecte des identifiants dans différents navigateurs web, effectue des captures d’écran, surveille et enregistre les frappes au clavier, et télécharge et exécute des fichiers en fonction des ordres reçus depuis un serveur de commande et de contrôle.
Principales vulnérabilités exploitées
Ce mois-ci, la « récupération d’informations OpenSSL TLS DTLS heartbeat » est la vulnérabilité la plus couramment exploitée, touchant 47 % des entreprises dans le monde, suivie de près par la « vulnérabilité d’exécution de code à distance MVPower DVR » qui touche 43 % des entreprises dans le monde. Le « contournement de l’authentification sur les routeurs GPON Dasan (CVE-2018-10561) » est à la troisième place, avec un impact global de 37 %.
- ↑ Récupération d’informations sur le référentiel Git d’un serveur web exposé – Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
- ↓ Exécution de code à distance MVPower DVR – Une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
- ↑ Contournement de l’authentification sur les routeurs GPON Dasan (CVE-2018-10561) – Il existe une vulnérabilité de contournement de l’authentification sur les routeurs GPON Dasan. Une exploitation réussie de cette vulnérabilité permettrait à des pirates distants d’obtenir des informations sensibles et un accès non autorisé au système affecté.
Principales familles de logiciels malveillants mobiles
Ce mois-ci, xHelper est le logiciel malveillant le plus populaire, suivi de Necro et de Hiddad.
- xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.
- Necro – Un cheval de Troie de téléchargement de logiciels malveillants sur Android, capable de télécharger d’autres logiciels malveillants, d’afficher des publicités intrusives et de voler de l’argent en facturant des abonnements.
- Hiddad – Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Il a pour principale fonction d’afficher des publicités, mais peut également accéder aux informations de sécurité clés intégrés dans le système d’exploitation
L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 2,5 milliards de sites web et 500 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.
La liste complète des 10 principales familles de logiciels malveillants en août est disponible sur leBlog Check Point.
Des ressources Check Point pour la prévention des menaces sont disponibles surhttp://www.checkpoint.com/threat-prevention-resources/index.html
| Top 10 en France | |||
| Famille de logiciel malveillant | Description | Impact global | Impact dans le pays |
| Formbook | Un voleur d’informations détecté pour la première fois en 2016, qui cible le système d’exploitation Windows. Connu pour ses techniques de fraude avancées, il est commercialisé sous forme de service dans les forums de piratage underground à un prix relativement bas. ForBook collecte des identifiants dans différents navigateurs web, effectue des captures d’écran, surveille et enregistre les frappes au clavier, et télécharge et exécute des fichiers en fonction des ordres reçus depuis un serveur de commande et de contrôle. | 3,15 % | 3,38 % |
| Trickbot | Un cheval de Troie bancaire modulaire qui cible la plateforme Windows, et qui est principalement diffusé via des campagnes de spam ou d’autres familles de logiciels malveillants telles qu’Emotet. Trickbot envoie des informations sur le système infecté et peut également télécharger et exécuter n’importe quel module parmi un large éventail disponible, notamment un module VNC pour le contrôle à distance, et un module SMB pour la propagation au sein d’un réseau compromis. Une fois qu’une machine est infectée, le gang Trickbot, les auteurs de ce logiciel malveillant, utilisent ces modules non seulement pour voler des identifiants bancaires dans le PC cible, mais également pour se propager et effectuer des reconnaissances sur l’entreprise ciblée elle-même, avant de lancer une attaque ciblée de logiciel rançonneur à l’échelle de l’entreprise. | 2,81 % | 2,88 % |
| Qbot | Qbot, alias Qakbot, est un cheval de Troie bancaire apparu pour la première fois en 2008. Il est conçu pour voler des identifiants bancaires et les frappes au clavier des utilisateurs. Souvent diffusé par email, Qbot utilise plusieurs techniques de contournement des VM, des débogueurs et des bacs à sable, pour empêcher les analyses et échapper à la détection. | 1,32 % | 2,51 % |
| Emotet | Un cheval de Troie avancé, modulaire et capable de se propager par ses propres moyens, qui était autrefois utilisé comme cheval de Troie bancaire, et qui diffuse actuellement d’autres logiciels malveillants ou campagnes malveillantes. Il utilise plusieurs techniques de persistance et d’évasion pour échapper à toute détection, et peut être transmis via des emails de spam et de phishing contenant des pièces jointes ou des liens malveillants. | 13,57 % | 11,90 % |
| Rig | Un kit d’exploitation de vulnérabilités introduit pour la première fois en avril 2014. Il a depuis été plusieurs fois mis à jour et reste actif à ce jour. En 2015, à la suite d’une querelle interne entre ses opérateurs, son code source a été fuité, et a pu ainsi être étudié de manière approfondie par les chercheurs. Le kit Rig comporte des exploitations de vulnérabilités pour Flash, Java, Silverlight et Internet Explorer. La chaîne d’infection commence par une redirection vers une page d’atterrissage contenant du code JavaScript recherchant des vulnérables dans des plug-ins et fournissant le code malveillant correspondant. | 1,49 % | 1,25 % |
| Vidar | Un voleur d’informations qui cible les systèmes d’exploitation Windows. Détecté pour la première fois fin 2018, il est conçu pour dérober des mots de passe, des données de cartes bancaires et d’autres informations sensibles dans différents navigateurs web et portefeuilles numériques. Il a été mis en vente sur différents forums en ligne, et a été utilisé pour télécharger d’autres logiciels malveillants tels que le logiciel rançonneur GandCrab. | 1,18 % | 1,25 % |
| Fakealert | Une porte dérobée téléchargeant et installant d’autres logiciels malveillants. L’échantillon analysé télécharge le logiciel de protection contre les logiciels espions « Antivirus Pro 2009 », affiche des popups et modifie de nombreux paramètres du système et de la sécurité. | 0,23 % | 1,13 % |
| Agent Tesla | Un cheval de Troie d’accès à distance avancé qui possède des fonctions d’enregistrement de frappes et de vol de mots de passe. Actif depuis 2014, il est en mesure de surveiller et collecter les frappes au clavier, le contenu du presse-papiers, d’effectuer des captures d’écran et d’exfiltrer les identifiants de différents logiciels installés sur la machine de la victime (y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook). AgentTesla est ouvertement vendu en tant qu’outil d’accès à distance légitime, les clients payant entre 15 et 69 dollars pour les licences utilisateur. | 3,47 % | 0,88 % |
| Ramnit | Un cheval de Troie bancaire intégrant des fonctionnalités de mouvement latéral. Il dérobe des informations de session web, permettant ainsi aux opérateurs du ver d’obtenir les identifiants de tous les services utilisés par les victimes, notamment les comptes bancaires, les comptes d’entreprise et les comptes de réseaux sociaux. | 1,56 % | 0,88 % |
| Legion | Un téléchargeur qui installe un large éventail de logiciels malveillants, notamment des voleurs d’informations tels que Vidar, Predator et Raccoon, ainsi qu’un voleur de cryptomonnaies, un extracteur cryptomonnaies et une porte dérobée d’accès à distance. | 0,14 % | 0,88 % |