in

Les logiciels malveillants les plus recherchés de décembre 2020 : Emotet revient en tête des menaces de logiciels malveillants

Check Point Research fait état d’une nouvelle campagne utilisant le cheval de Troie Emotet qui a ciblé plus de 100 000 utilisateurs par jour

Check Point Research, la branche de Check Point® Software Technologies Ltd. a publié son dernier indice de menace globale pour décembre 2020. Les chercheurs ont indiqué que le cheval de Troie Emotet est revenu à la première place dans la liste des principaux logiciels malveillants, touchant 7 % des organisations dans le monde, suite à une campagne de spam qui a ciblé plus de 100 000 utilisateurs par jour pendant la période des fêtes.

En septembre et octobre 2020, Emotet s’est constamment retrouvé en tête du Global Threat Index, et a été lié à une vague d’attaques de logiciels rançonnés. Mais en novembre, elle était beaucoup moins répandue, tombant à la 5e place de l’indice.  Les chercheurs affirment qu’il a maintenant été mis à jour avec de nouvelles charges utiles malveillantes et de meilleures capacités d’évasion de détection : la dernière version crée une boîte de dialogue, qui lui permet d’échapper à la détection des utilisateurs.  La nouvelle campagne de spam malveillant d’Emotet utilise différentes techniques de diffusion pour diffuser Emotet, notamment des liens intégrés, des pièces jointes de documents ou des fichiers Zip protégés par un mot de passe.

Identifié pour la première fois en 2014, Emotet a été régulièrement mis à jour par ses développeurs afin de maintenir son efficacité contre les activités malveillantes.  Le ministère de la sécurité intérieure a estimé que chaque incident impliquant Emotet coûte aux organisations plus d’un million de dollars à rectifier.

« Emotet a été développé à l’origine comme un malware bancaire qui se faufilait sur les ordinateurs des utilisateurs pour voler des informations privées et sensibles. Cependant, il a évolué au fil du temps et est maintenant considéré comme l’une des variantes de logiciels malveillants les plus coûteuses et les plus destructrices », a déclaré Maya Horowitz, directrice du service de renseignement et de recherche sur les menaces, produits chez Check Point. « Il est impératif que les organisations soient conscientes de la menace que représente Emotet et qu’elles disposent de systèmes de sécurité solides pour empêcher une violation importante de leurs données. Elles doivent également fournir une formation complète à leurs employés, afin qu’ils soient capables d’identifier les types de courriels malveillants qui répandent l’Emotet ».

L’équipe de recherche avertit également que la « Remote Code Execution MVPower DVR » est la vulnérabilité exploitée la plus courante, qui touche 42 % des organisations dans le monde, suivie par la « HTTP Headers Remote Code Execution (CVE-2020-13756) » qui touche 42 % des organisations dans le monde.

Voici le classement des Top Malware de décembre en France :

TOP Malware en France
Malware_Family_Name Description Global Impact Country Impact
Emotet Emotet is an advanced, self-propagating and modular Trojan that was once used as a banking Trojan, and currently distributes other malware or malicious campaigns. Emotet uses multiple methods for maintaining persistence and evasion techniques to avoid detection and can be spread via phishing spam emails containing malicious attachments or links. 7.01% 13.34%
Qbot Qbot AKA Qakbot is banking Trojan that first appeared in 2008, designed to steal user¿s banking credentials and keystrokes.Often distributed via spam email, Qbot employs several anti-VM, anti-debugging, and anti-sandbox techniques, to hinder analysis and evade detection. 2.71% 4.74%
Formbook First detected in 2016, FormBook is an InfoStealer that targets the Windows OS. It is marketed as MaaS in underground hacking forums for its strong evasion techniques and relatively low price. FormBook harvests credentials from various web browsers, collects screenshots, monitors and logs keystrokes, and can download and execute files according to orders from its C&C. 4.26% 3.53%
Trickbot Trickbot is a modular Banking Trojan that targets the Windows platform, mostly delivered via spam campaigns or other malware families such as Emotet. Trickbot sends information about the infected system and can also download and execute arbitrary modules from a large array of available modules: from a VNC module for remote control, to an SMB module for spreading within a compromised network. Once a machine is infected, the Trickbot gang, the threat actors behind this malware, utilize this wide array of modules not only to steal banking credentials from the target PC, but also for lateral movement and reconnaissance on the targeted organization itself, prior to delivering a company-wide targeted ransomware attack. 4.29% 3.20%
Hiddad Hiddad is an Android malware which repackages legitimate apps and then releases them to a third-party store. Its main function is to display ads, but it can also gain access to key security details built into the OS. 2.60% 2.43%
Siggen5 Siggen5 is a Trojan that logs the user keystrokes and sends them to the remote attacker. It might collect system information like user names and passwords. 0.19% 2.09%
RigEK Rig EK was first introduced in April 2014. It has since received several large updates and continues to be active to this day. In 2015, as result of an internal feud between its operators, the source code was leaked and has been thoroughly investigated by researchers. Rig delivers Exploits for Flash, Java, Silverlight and Internet Explorer. The infection chain starts with a redirection to a landing page that contains JavaScript that checks for vulnerable plug-ins and delivers the exploit. 1.90% 1.76%
Dridex Dridex is a Banking Trojan that targets the Windows platform, observed delivered by spam campaigns and Exploit Kits, which relies on WebInjects to intercept and redirect banking credentials to an attacker-controlled server. Dridex contacts a remote server, sends information about the infected system and can also download and execute additional modules for remote control. 4.06% 1.54%
XMRig First seen in the wild in May 2017, XMRig is an open-source CPU mining software used to mine Monero cryptocurrency. 2.93% 1.54%
Arkei Arkei is a Trojan stealer. Arkei steals confidential information, login credentials and wallet private keys. 0.73% 1.43%

Principales familles de logiciels malveillants

*Les flèches concernent le changement de rang par rapport au mois précédent.

Ce mois-ci, Emotet reste le malware le plus populaire avec un impact global de 7% des organisations, suivi de près par Trickbot et Formbook – qui ont eu un impact de 4% des organisations dans le monde, chacun.

  1. Emotet – Emotet est un cheval de Troie avancé, autopropagé et modulaire. Emotet était autrefois utilisé comme cheval de Troie bancaire, et est depuis peu utilisé comme distributeur pour d’autres logiciels malveillants ou campagnes de malveillance. Il utilise de multiples méthodes pour maintenir la persistance et des techniques d’évasion pour éviter la détection. En outre, il peut être diffusé par des courriels de spam de phishing contenant des pièces jointes ou des liens malveillants.
  2. Trickbot – Trickbot est un cheval de Troie bancaire dominant, constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Cela permet à Trickbot d’être un logiciel malveillant flexible et personnalisable qui peut être distribué dans le cadre de campagnes à objectifs multiples.
  3. Formbook – Formbook est un voleur d’informations qui récolte les informations d’identification de divers navigateurs web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers conformément à ses ordres C&C.

Principales vulnérabilités exploitées

Ce mois-ci, « MVPower DVR Remote Code Execution » est la vulnérabilité exploitée la plus courante, avec un impact sur 42% des organisations dans le monde, suivie par « HTTP Headers Remote Code Execution (CVE-2020-13756) » qui touche 42% des organisations dans le monde. « Web Server Exposed Git Repository Information Disclosure » figure en troisième position dans la liste des vulnérabilités les plus exploitées, avec un impact mondial de 41 %.

 

  1. MVPower DVR Remote Code Execution – une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un attaquant à distance peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête élaborée.
  2. HTTP Headers Remote Code Execution (CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires par le biais d’une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine victime.
  3. Web Server Exposed Git Repository Information Disclosure – une vulnérabilité à la divulgation d’informations a été signalée dans Git Repository. Une exploitation réussie de cette vulnérabilité pourrait permettre une divulgation involontaire d’informations sur les comptes.

Les principaux logiciels malveillants sur mobiles

Ce mois-ci, Hiddad occupe la première place des logiciels malveillants les plus répandus sur les téléphones portables, suivi de xHelper et Triada.

  1. Hiddad – Hiddad est un logiciel malveillant Android qui reconditionne des applications légitimes et les diffuse ensuite dans un magasin tiers. Sa principale fonction est d’afficher des publicités, mais il peut également accéder à des détails de sécurité clés intégrés au système d’exploitation.
  2. xHelper – Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable de se cacher de l’utilisateur et de se réinstaller au cas où elle aurait été désinstallée.
  3. Triada – Porte dérobée modulaire pour Android qui accorde des privilèges de super-utilisateur aux logiciels malveillants téléchargés.

L’indice global d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par les renseignements ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et les tendances des attaques à partir d’un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 2,5 milliards de sites web et 500 millions de fichiers par jour et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.

La liste complète des dix principales familles de logiciels malveillants en décembre peut être consultée sur le blog de Check Point.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.