Qbot, qui est apparu en tant que cheval de Troie bancaire en 2008, a connu une évolution constante au fil des années. Il a progressivement acquis de nouvelles fonctionnalités pour voler des mots de passe, des e-mails et des informations de cartes de crédit. Habituellement, Qbot se propage via des courriers indésirables et recourt à différentes méthodes, notamment des techniques anti-VM, anti-débogage et anti-sandbox, dans le but de compliquer l’analyse et d’éviter d’être repéré. À l’heure actuelle, le rôle principal de Qbot est de servir de chargeur pour d’autres malwares et d’établir une présence au sein des entreprises ciblées. Il agit comme un point d’entrée pour les opérateurs de groupes de ransomwares, leur permettant de s’introduire plus facilement dans les systèmes et de mener des attaques ultérieures.

Par ailleurs, les chercheurs ont fait une découverte importante : un malware mobile prolifique qui a accumulé jusqu’à présent 421 millions de téléchargements. Le mois dernier, une première remarquable s’est produite : le kit de développement logiciel (SDK) troyen SpinOk a pris la première place parmi les familles de malwares mobiles. Ce logiciel malveillant, utilisé à des fins de marketing, s’est infiltré dans de nombreuses applications populaires, y compris des jeux, qui étaient disponibles sur le Google Play Store. Le malware SpinOk, capable de voler des informations sensibles sur les appareils et de surveillance des activités du presse-papiers, représente une menace sérieuse pour la vie privée et la sécurité des utilisateurs. Cela souligne l’importance de prendre des mesures proactives pour protéger les données personnelles et les appareils mobiles contre cette menace Il rappelle aussi brutalement le potentiel dévastateur des attaques de la chaîne d’approvisionnement en logiciels.

Le mois dernier a également été marqué par le lancement d’une vaste campagne de ransomware qui a touché des entreprises à travers le monde. En mai 2023, Progress Software Corporation a rendu publique une vulnérabilité dans MOVEit Transfer et MOVEit Cloud (CVE-2023-34362) qui pourrait conduire à une élévation des privilèges et à un potentiel accès non autorisé à l’environnement. Malgré le fait que la vulnérabilité ait été corrigée dans les 48 heures, des cybercriminels liés au groupe de ransomware Clop, affilié à la Russie, ont exploité cette faille et mené une attaque de la chaîne d’approvisionnement contre les utilisateurs de MOVEit. Jusqu’à présent, 108 entreprises, dont sept universités américaines, ont été publiquement répertoriées à la suite de cet incident. Les cybercriminels ont obtenu des centaines, voire des milliers de dossiers.

« L’exploit MOVEit démontre clairement que 2023 est en passe de devenir une année charnière en termes d’incidents liés aux ransomwares. Effectivement, des groupes majeurs tels que Clop ne se concentrent pas uniquement sur l’infection d’une seule cible, mais cherchent plutôt à maximiser leur efficacité en exploitant des logiciels largement utilisés dans les environnements d’entreprise. Cette approche leur permet d’atteindre des centaines de victimes en une seule attaque », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Ce modèle d’attaque souligne l’importance pour les entreprises de mettre en œuvre une stratégie de cybersécurité à plusieurs niveaux et de privilégier l’application rapide de correctifs dès que des vulnérabilités apparaissent. »

CPR a également révélé que « Web Servers Malicious URL Directory Traversal » était la vulnérabilité la plus exploitée le mois dernier, avec un impact sur 51% des entreprises dans le monde, suivie par « Apache Log4j Remote Code Exécution » avec 46% des entreprises dans le monde. « HTTP Remote Code Execution » reste à la troisième place dans la des vulnérabilités les plus exploitées, avec un impact global de 44%.

Top des familles de logiciels malveillants dans le monde
* Les flèches indiquent le changement de position par rapport au mois précédent.
Qbot était le malware le plus répandu le mois dernier avec un impact de 7% sur les entreprises du monde entier, suivi par Formbook avec un impact global de 4% et AgentTesla avec un impact global de 3%.

1. ↔ Qbot - Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer d’autres malwares. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection.
2. ↔ Formbook - Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
3. ↑ Emotet - Emotet est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme d’autres logiciels malveillants ou de campagnes malveillantes. Pour éviter d’être détecté, il utilise plusieurs méthodes de maintien de la persistance ainsi que des techniques d’évasion. De plus, il peut se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.

Top des familles de logiciels malveillants en France

• Qbot - Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer d’autres malwares. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection.
• Kryptik - Kryptik est un cheval de Troie qui cible la plateforme Windows. Il collecte des informations sur le système et les envoie à un serveur distant. Il peut télécharger et exécuter d’autres fichiers malveillants sur un système infecté.

• Emotet - Emotet est un cheval de Troie avancé, modulaire et à auto propagation qui était autrefois utilisé comme cheval de Troie bancaire et qui distribue actuellement d’autres logiciels malveillants ou campagnes malveillantes. Emotet utilise de multiples méthodes pour maintenir sa persistance et des techniques d’évasion pour éviter d’être détecté. Il peut se propager par le biais de courriels d’hameçonnage contenant des pièces jointes ou des liens malveillants.

Les industries les plus attaquées dans le monde
Ce mois-ci, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/militaire et celui des soins de santé.

1. Enseignement/Recherche
2. Secteur public/militaire
3. La santé

Les industries les plus attaquées en France
Ce mois-ci, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/militaire et celui des soins de santé.
1. Loisirs et hôtellerie
2. Channel
3. Education et recherche

Principales vulnérabilités exploitées
Ce mois-ci, « Web Servers Malicious URL Directory Traversal » est la vulnérabilité exploitée la plus, affectant 51% des organisations dans le monde, suivie de « Apache Log4j Remote Code Exécution » qui touche 46% des organisations dans le monde. « HTTP Headers Remote Code Execution » reste à la troisième place dans la des vulnérabilités les plus exploitées, avec un impact global de 44%.

1. ↔ Web Servers Malicious URL Directory Traversal - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URI pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) - Une vulnérabilité d’exécution de code à distance existe dans Apache Log4j. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

Top des malwares mobiles
Le mois dernier, SpinOk s’est hissé à la première place du classement des malwares mobiles les plus répandus, suivi d’Anubis et d’AhMyth.

1. SpinOk - SpinOk est un module logiciel Android qui fonctionne comme un logiciel espion. Il collecte des informations sur les fichiers stockés sur les appareils et est capable de les transférer à des acteurs malveillants. Le module malveillant a été détecté et est présent dans plus de 100 applications Android et a été téléchargé plus de 421 000 000 fois jusqu’au 23 mai.
2. Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
3. AhMyth - AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Lorsqu’un utilisateur installe l’une de ces applications infectées, le malware peut collecter des informations sensibles sur l’appareil et exécuter des actions telles que l’enregistrement de touches, la collecte de captures d’écran, l’envoi de SMS et l’activation de la caméra, qui sont généralement utilisées pour voler des informations sensibles.

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’intelligence est enrichie par des moteurs basés sur l’IA et des données de recherche exclusives de Check Point Research, l’organe de renseignement et de recherche de Check Point Software Technologies.