Snake est un enregistreur de frappe modulaire .NET et un voleur d’informations d’identification. Sa principale fonction est d’enregistrer les frappes des utilisateurs sur les ordinateurs ou les appareils mobiles, et de transmettre les données recueillies à des acteurs malveillants. Depuis quelques semaines, Snake se développe rapidement par le biais d’e-mails de phishing sur des thèmes différents, dans tous les pays et secteurs d’activité.

Les infections causées par Snake constituent une menace majeure pour la vie privée et la sécurité en ligne des utilisateurs car ce logiciel malveillant peut dérober pratiquement tous les types d’informations sensibles. C’est un enregistreur de frappe particulièrement évasif et persistant. Il existe actuellement des forums de piratage clandestins où ce keylogger est disponible à la vente, à un prix allant de 25 à 500 dollars, selon le niveau de service offert.

Les attaques par keylogger peuvent être particulièrement dangereuses car les gens ont tendance à utiliser le même mot de passe et le même nom d’utilisateur pour plusieurs comptes. Une fois qu’un identifiant de connexion est piraté, le cybercriminel a ainsi accès à tous les comptes qui ont le même mot de passe. Pour les arrêter, il est indispensable d’utiliser une option unique pour chacun des différents profils. Pour ce faire, on peut utiliser un gestionnaire de mots de passe, qui permet à la fois de gérer et de générer différentes combinaisons d’accès sécurisées pour chaque service, sur la base des lignes directrices établies.

En ce qui concerne la France, SmokeLoader est le malware le plus répandu sur le mois de juillet (avec un impact de 2,93%). Il s’agit d’un Trojan permettant à un attaquant de contrôler à distance un ordinateur infecté et d’effectuer toute une série d’activités malveillantes, notamment le téléchargement et l’installation d’autres logiciels malveillants en fonction de la géolocalisation de la victime, et le vol de mots de passe de clients FTP, de navigateurs, de clients de messagerie instantanée, de clients de poker et de clients de messagerie. SmokeLoader peut contourner l’UAC et plusieurs HIPS et peut désactiver les solutions antivirus. Formbook, arrivé en 2ème position du classement français (avec un impact de 2,64%), est quant à lui un Infostealer qui récolte les informations d’identification de divers navigateurs Web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers en fonction de ses ordres C&C. En France, Trickbot et Snake Keylogger prennent la 3ème place du Top 10 avec un impact de 2,34%.

« Chaque fois que cela est possible, les utilisateurs doivent réduire leur dépendance aux mots de passe unique, par exemple en mettant en œuvre des technologies d’authentification multifactorielle (MFA) ou d’authentification unique (SSO) », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « De même, en ce qui concerne les politiques de mot de passe, le meilleur conseil est de choisir un mot de passe fort et unique pour chaque service. Ainsi, même si des hackers mettent la main sur l’un de vos mots de passe, il ne leur donnera pas immédiatement accès à différents sites et services. Les enregistreurs de frappe tels que Snake sont souvent distribués par le biais d’e-mails de phishing. Il est donc essentiel que les utilisateurs sachent repérer les petites anomalies telles que les fautes d’orthographe dans les liens et les adresses e-mail et qu’ils apprennent à ne jamais cliquer sur des liens suspects ni ouvrir des pièces jointes inconnues. »

Check Point Research avertit également que « Web Server Exposed Git Repository Information Disclosure » est la vulnérabilité exploitée la plus courante, touchant 45% des organisations mondiales, suivie par le « Headers HTTP Exécution de code à distance » qui touche 44% des organisations dans le monde. « MVPower DVR Remote Code Execution » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 42%.

Top des familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Trickbot est le malware le plus populaire avec un impact global de 4% des entreprises, suivi par Snake Keylogger et XMRig qui touchent tous les deux 3% des entreprises dans le monde.

1.  ? Trickbot - Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.
2.  ? Snake Keylogger - Snake est un keylogger modulaire .NET et un voleur d’informations d’identification repéré pour la première fois fin novembre 2020. Sa principale fonctionnalité consiste à enregistrer les frappes des utilisateurs et à transmettre les données recueillies aux acteurs de la menace.
3.  ? XMRig - XMRig est un logiciel de minage de CPU open-source utilisé sur la crypto-monnaie Monero et apparu la première fois en mai 2017.

Principales vulnérabilités exploitées

Ce mois-ci, « Web Server Exposed Git Repository Information Disclosure" est la vulnérabilité exploitée la plus courante, affectant 45% des organisations dans le monde, suivie de « HTTP Headers Remote Code Execution » qui touche 44% des organisations dans le monde. « MVPower DVR Remote Code Execution » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 42%.

1. ? Web Server Exposed Git Repository Information Disclosure - Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
2. ? HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
3. ? MVPower DVR Remote Code Execution - une vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.

Top malwares mobiles

Ce mois-ci, xHelper occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de AlienBot et Hiddad.

1. xHelper - Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs et de se réinstaller en cas de désinstallation.
2. AlienBot - La famille de malwares AlienBot est un Malware-as-a-Service (MaaS) pour les appareils Android qui permet à un attaquant distant, dans un premier temps, d’injecter du code malveillant dans des applications financières légitimes. L’attaquant obtient l’accès aux comptes des victimes, et finit par contrôler complètement leur dispositif.
3. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.

Le classement mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et les tendances des attaques à partir d’un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités malveillantes chaque jour.