Au niveau global, bien que Google ait réussi à perturber considérablement les opérations de Glupteba en décembre 2021, l’entreprise semble avoir repris ses activités. Variante modulaire du malware, Glupteba peut mener à bien divers objectifs sur un ordinateur infecté. Le botnet est souvent utilisé comme un téléchargeur et un dropper d’autres malware. Cela signifie que toute infection par Glupteba peut entraîner une infection par ransomware, une violation des données ou d’autres incidents de sécurité. Glupteba est également conçu pour voler les identifiants des utilisateurs et les cookies de session des machines infectées. Ces données d’authentification permettent d’accéder aux comptes en ligne d’un utilisateur ou à d’autres systèmes, ce qui permet à l’attaquant de voler des données sensibles ou de prendre d’autres mesures en se servant de ces comptes compromis. Enfin, le malware est couramment utilisé pour déployer des fonctions de cryptomining sur sa cible, drainant les ressources d’un ordinateur en les utilisant pour miner des blocs.

Toujours au niveau global, en décembre, pour la première fois en 2022, nous avons également vu Hiddad figurer dans la liste des trois premiers malwares mobiles. Hiddad est un malware de distribution de publicités, ciblant les appareils androïdes. Il reconditionne des applications légitimes et les diffuse ensuite sur un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.

Le thème majeur de nos dernières recherches concerne la façon dont les malware se font souvent passer pour des logiciels légitimes afin de permettre aux pirates d’accéder aux appareils sans éveiller les soupçons. Il est donc important de prendre toutes les précautions nécessaires avant de télécharger un logiciel ou une application ou de cliquer sur un lien, même s’il semble authentique.

Notre recherche a également révélé que « Web Server Exposed Git Repository Information Disclosure » était la vulnérabilité la plus couramment exploitée, avec un impact sur 46 % des entreprises dans le monde, suivie par la « Web Servers Malicious URL Directory Traversal » avec 44 % des entreprises touchées dans le monde. « Command Injection Over HTTP » reste a la troisième place dans la des vulnérabilités les plus exploitées, avec un impact global de 43%.

Principales familles de malware en FRANCE
* Les flèches indiquent le changement de position par rapport au mois précédent.

1. ↑ Emotet – Emotet est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme d’autres logiciels malveillants ou de campagnes malveillantes. Il a recours à de multiples méthodes pour garantir la persistance et à des techniques d’évasion pour éviter de se faire repérer. De plus, il peut se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.

2. ↑ Qbot- Qbot AKA Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants bancaires et les frappes au clavier d’un utilisateur. Souvent diffusé via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection.

3. ↑ Kryptik- XMRig est un logiciel CPU open-source utilisé pour miner la crypto-monnaie Monero. Les acteurs de la menace abusent souvent de ce logiciel open-source en l’intégrant dans leurs malwares pour effectuer du minage illégal sur les appareils des victimes.

Les industries les plus attaquées en FRANCE
Ce mois-ci, le secteur des Loisirs et de l’hospitalité reste à la tête des industries les plus touchées par les attaques en France, suivi par le secteur de la communication ainsi que le secteur de la recherche et de l’éducation.

1. Loisirs et hospitalité
2. Communication
3. Recherche et éducation

Principales vulnérabilités exploitées

En décembre, « Web Server Exposed Git Repository Information Disclosure » était la vulnérabilité la plus couramment exploitée, impactant 46% des entreprises dans le monde, suivie par « Web Servers Malicious URL Directory Traversal » avec 44% des entreprises impactées dans le monde. « Command Injection Over HTTP » reste à la troisième place dans la des vulnérabilités les plus exploitées, avec un impact global de 43%.

1. ↑ Web Server Exposed Git Repository Information Disclosure - Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.

2. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.

3. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible.

4. ↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

5. ↑ MVPower DVR Remote Code Execution - une vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.

6. ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) - vulnérabilité de contournement d’authentification qui existe dans les routeurs GPON de Dasan. L’exploitation réussie de cette vulnérabilité permettrait à des attaquants a distance d’obtenir des informations sensibles et un accès non autorisé au système concerné.

7. ↔ PHP Easter Egg Information Disclosure - Une vulnérabilité de divulgation d’informations a été signalée dans les pages PHP. La vulnérabilité est due à une configuration incorrecte du serveur web. Un attaquant distant peut exploiter cette vulnérabilité en envoyant une URL spécialement conçue vers une page PHP affectée.

8. ↑ Microsoft Windows HTTP.sys Remote Code Execution (MS15-034 : CVE-2015-1635) - Une vulnérabilité dans HTTP.sys dans certaines versions de Microsoft Windows OP a été suivie sous le nom de CVE-2015-1635. Une exploitation réussie permettrait aux acteurs de la menace d’exécuter des requêtes HTTP arbitraires, provoquant un dépassement de mémoire tampon, et éventuellement d’obtenir des privilèges SYSTEM.

9. ↓ WordPress portable-phpMyAdmin Plugin Authentication Bypass (CVE-2012-5469) - Une vulnérabilité de contournement d’authentification existe dans WordPress portable-phpMyAdmin Plugin. L’exploitation réussie de cette vulnérabilité permettrait à des attaquants a distance d’obtenir des informations sensibles et un accès non autorisé au système concerné.

10. ↓ PHPUnit Command Injection (CVE-2017-9841) - Une vulnérabilité d’injection de commande existe dans PHPUnit. L’exploitation réussie de cette vulnérabilité pourrait permettre un attaquant distant d’exécuter un code arbitraire sur le système affecté.

Top des malwares mobiles à l’échelle mondiale :
Le mois dernier, Anubis est resté le malware mobile le plus répandu, suivi par Hiddad et AlienBot.

1. Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
2. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.
3. AlienBot - AlienBot est un cheval de Troie bancaire pour Android, vendu dans la clandestinité comme Malware-as-a-Service (MaaS). Il prend en charge l’enregistrement des touches, les superpositions dynamiques pour le vol d’identifiants ainsi que la récupération des SMS pour le contournement du système 2FA. Des fonctionnalités de contrôle à distance supplémentaires sont fournies par un module TeamViewer.

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’intelligence est enrichie par des moteurs basés sur l’IA et des données de recherche exclusives de Check Point Research, l’organe de renseignement et de recherche de Check Point Software Technologies.