Au mois d’octobre, AgentTesla s’est propagé par le biais de fichiers d’archive qui contenaient une extension malveillante Microsoft Compiled HTML Help (.CHM). Les fichiers ont été envoyés par e-mail sous forme de pièces jointes .GZ ou .zip avec des noms liés à des commandes et des expéditions récentes, tels que - po-######.gz / shipping documents.gz, conçus pour inciter les destinataires à télécharger le malware. Une fois installé, AgentTesla pouvait verrouiller les touches, capturer les données du presse-papiers, accéder au système de fichiers et transférer sournoisement les données volées vers un serveur de commande et de contrôle (C&C).

« Nous ne pouvons pas nous permettre de passer à côté des techniques que les pirates utilisent pour distribuer des malwares, comme l’usurpation d’identité de marques connues ou l’envoi de fichiers malveillants par e-mail », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « En novembre, à l’aube d’une période de shopping intense, la vigilance est de mise. Il faut bien se rappeler que les cybercriminels profitent activement du regain d’intérêt qui existe pour les achats et les expéditions en ligne. »

Le top des familles de logiciels malveillants dans le monde
* Les flèches indiquent le changement de position par rapport au mois précédent).

Formbook était le malware le plus répandu en octobre avec un impact de 3% sur les entreprises du monde entier, suivi par NJRat avec un impact global de 2%, et Remcos avec un impact global de 2%.

1. ↔ Formbook - Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.

2. ↑ NJRat – NJRat est un cheval de Troie d’accès à distance qui vise principalement les administrations et les entreprises du Moyen-Orient. Le cheval de Troie est apparu pour la première fois en 2012 et possède des fonctionnalités multiples : capturer les frappes au clavier, accéder à la caméra de la victime, voler les identifiants stockés dans les navigateurs, charger et télécharger des fichiers, procéder à des manipulations de processus et de fichiers, et afficher le bureau de la victime. NJRat infecte les victimes par le biais d’attaques de phishing et de téléchargements « drive-by », et se propage via des clés USB infectées ou des lecteurs en réseau, avec le soutien du logiciel serveur Command & Control.

3. ↓ Remcos – Remcos est un RAT qui est apparu pour la première fois dans la nature en 2016. Remcos se propage via des documents Microsoft Office malveillants qui sont joints à des e-mails de SPAM, et est conçu pour contourner la sécurité UAC de Microsoft Windows et exécuter des malwares avec des privilèges de haut niveau.

Le top des familles de logiciels malveillants en France
* Les flèches indiquent le changement de position par rapport au mois précédent.

Formbook était le malware le plus répandu en octobre avec un impact en France de 1,40% sur les entreprises, suivi par Emotet avec un impact de 1,10%, et Remcos avec un impact global de 0,90%.

1. ↑ Formbook - Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.

2. ↓ Emotet - Emotet est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme d’autres logiciels malveillants ou de campagnes malveillantes. Pour éviter d’être détecté, il utilise plusieurs méthodes de maintien de la persistance ainsi que des techniques d’évasion. De plus, il peut se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.

3. ↓ Remcos – Remcos est un RAT qui est apparu pour la première fois dans la nature en 2016. Remcos se propage via des documents Microsoft Office malveillants qui sont joints à des e-mails de SPAM, et est conçu pour contourner la sécurité UAC de Microsoft Windows et exécuter des malwares avec des privilèges de haut niveau.

Les secteurs les plus attaqués dans le monde
Le mois dernier, le secteur de l’éducation et de la recherche restait le plus attaqué au niveau mondial, suivi par les secteurs des communications et des services publics/militaires.

1. Éducation/Recherche
2. Communications
3. Services publics/militaire

Les secteurs les plus attaqués en France
En octobre, le secteur des loisirs et de l’hôtellerie/restauration reste en tête des industries les plus
attaquées au niveau mondial, toujours suivi par le secteur des éditeurs de logiciels et celui des communications (dont les places étaient inversées en septembre).

1. Loisirs et hôtellerie/restauration
2. Communications
3. Éditeurs de logiciels

Principales vulnérabilités exploitées

En octobre, « ZyXEL ZyWALL Command Injection (CVE-2023-28771) » était la vulnérabilité la plus exploitée, avec un impact de 42% sur les entreprises dans le monde, suivie de « Command Injection Over HTTP » qui a touché 42% sur les organisations au niveau global. « Web Servers Malicious URL Directory Traversal » se situait à la troisième place dans la des vulnérabilités les plus exploitées, avec un impact global de 42%.

1. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) - Une vulnérabilité d’injection de commande existe dans Zyxel ZyWALL. L’exploitation réussie de cette vulnérabilité permettrait à un attaquant distant d’exécuter un code arbitraire sur le système affecté.

2. ↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible.

3. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL des modèles de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.

Top des malwares mobiles
Au mois d’octobre, Anubis est arrivé en tête du classement des malwares mobiles les plus répandus, suivi d’AhMyth et de Hiddad.

1. Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.

2. AhMyth - AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Quand un utilisateur installe l’une de ces applications compromises, le logiciel malveillant est capable de recueillir des données sensibles à partir de l’appareil et d’effectuer diverses actions telles que la capture de frappes, la collecte de captures d’écran, l’envoi de messages SMS et l’activation de la caméra. Ces actions sont habituellement entreprises dans le but de voler des informations sensibles.

3. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’intelligence est enrichie par des moteurs basés sur l’IA et des données de recherche exclusives de Check Point Research, l’organe de renseignement et de recherche de Check Point Software Technologies.

Check Point Research
Check Point Research (CPR) fournit des renseignements de pointe sur les menaces cybernétiques aux clients de Check Point Software et à la communauté élargie du renseignement. L’équipe de recherche recueille et analyse les données de cyber-attaques mondiales stockées sur ThreatCloud pour tenir les pirates informatiques à distance, tout en s’assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L’équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d’autres fournisseurs de solutions de sécurité, les services de police et divers CERT.

À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) est l’un des principaux fournisseurs de solutions de cybersécurité destinées aux entreprises et aux gouvernements du monde entier. Le portefeuille de solutions Check Point Infinity protège les entreprises et les organismes publics contre les cyberattaques de 5ème génération avec un taux de capture des malwares, ransomwares et autres menaces à la pointe du secteur. Infinity compte quatre piliers fondamentaux qui garantissent une sécurité absolue et une prévention des menaces de cinquième génération dans les environnements d’entreprise : Check Point Harmony, pour les utilisateurs distants, Check Point CloudGuard, pour sécuriser automatiquement les clouds, et Check Point Quantum, pour protéger les périmètres de réseau et les centres de données, le tout contrôlé par la gestion de sécurité unifiée la plus complète et la plus intuitive du marché. Check Point Horizon, une suite d’opérations de sécurité axée sur la prévention. Check Point protège plus de 100 000 organisations de tous types de tailles.