Le mois de février a connu une forte augmentation du nombre d’exploitations d’une vulnérabilité particulière utilisée pour propager le botnet Mirai, qui infecte généralement des objets connectés et effectue des attaques DDoS massives. Cette vulnérabilité, appelée « Exécution de code php-cgi via des paramètres de requête dans PHP », se classe au 6e rang des vulnérabilités les plus exploitées et touche 20 % des entreprises dans le monde, contre seulement 2 % en janvier 2020.

L’équipe de chercheurs avertit également les entreprises qu’Emotet, le second logiciel malveillant le plus populaire ce mois-ci et le botnet le plus répandu actuellement, s’est propagé au cours du mois de février à l’aide de deux nouveaux vecteurs. Le premier vecteur est une campagne de phishing par SMS (smishing) visant des utilisateurs aux États-Unis : les SMS imitent les messages de banques populaires, incitant les victimes à cliquer sur un lien malveillant qui télécharge Emotet sur leur appareil. Le second vecteur utilisé par Emotet est la détection et l’exploitation des réseaux Wifi voisins pour se propager via des attaques par brute force utilisant une série de mots de passe Wifi couramment utilisés. Emotet est principalement utilisé pour diffuser des logiciels rançonneurs et d’autres campagnes malveillantes.

Emotet a touché 7 % des entreprises dans le monde en février, contre 13 % en janvier, lorsqu’il était diffusé par des campagnes de spam, notamment sur le thème du coronavirus. Cela met en évidence la rapidité avec laquelle les cybercriminels modifient les thèmes de leurs attaques pour tenter de maximiser les taux d’infection.

« Comme nous l’avons constaté en janvier, les menaces et les exploitations de vulnérabilités les plus percutantes en février étaient des logiciels malveillants polyvalents tels que XMRig et Emotet. Les criminels semblent vouloir bâtir les plus grands réseaux possibles d’appareils infectés, qu’ils peuvent ensuite exploiter et monétiser de différentes façons, pour diffuser des logiciels rançonneurs ou lancer des attaques DDoS, » déclare Maya Horowitz, Directrice de la recherche et des renseignements sur les menaces chez Check Point. « Comme les principaux vecteurs d’infection sont les emails et les SMS, les entreprises devraient veiller à ce que leurs collaborateurs soient sensibilisés à la manière d’identifier les différents types de spam malveillant, et devraient déployer une sécurité qui empêche activement ces menaces d’infecter leurs réseaux. »

Principales familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, XMRig s’est octroyé la première place, touchant 7 % des entreprises dans le monde, suivi d’Emotet et de Jsecoin qui touchent respectivement 6 % et 5 % des entreprises dans le monde.

– 1. ? XMRig – Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie Monero. Il a été découvert pour la première fois en mai 2017.

– 2. ? Emotet – Un cheval de Troie avancé, autonome et modulaire. Auparavant un cheval de Troie bancaire, il est actuellement utilisé pour diffuser d’autres logiciels malveillants ou mener d’autres campagnes malveillantes. Il utilise plusieurs techniques de persistance et d’évasion pour échapper à toute détection, Il peut être transmis via des emails de spam et de phishing contenant des pièces jointes ou des liens malveillants.

– 3. ?Jsecoin – Un extracteur de cryptomonnaie conçu pour extraire des Moneros en ligne lorsqu’un utilisateur consulte une page web particulière. Le code JavaScript implanté utilise d’importantes ressources de calcul des machines des internautes pour extraire de la cryptomonnaie, ce qui a un impact sur la performance des systèmes.

Principales vulnérabilités exploitées

Ce mois-ci, l’exécution de code à distance MVPower DVR est restée la vulnérabilité la plus couramment exploitée, touchant 31 % des entreprises dans le monde, suivie de près par la récupération d’informations OpenSSL TLS DTLS heartbeat avec un impact global de 28 %. En 3ème position, la vulnérabilité de récupération d’informations sur le référentiel Git d’un serveur web exposé, qui touche 27 % des entreprises dans le monde.

– 1. ? Exécution de code à distance MVPower DVR – Une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.

– 2. ? Récupération d’informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) – Il existe une vulnérabilité de récupération d’informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d’un client ou d’un serveur connecté.

– 3. ? Récupération d’informations PHP DIESCAN – Une vulnérabilité de récupération d’informations a été signalée dans des pages en PHP. Une exploitation réussie de cette vulnérabilité pourrait entraîner la récupération d’informations sensibles sur le serveur.

Principales familles de logiciels malveillants mobiles

Ce mois-ci, xHelper conserve la première place du classement des logiciels malveillants mobiles les plus répandus, suivi de Hiddad et de Guerrilla.

– 1. ? xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs., et de se réinstaller au cas où elle aurait été désinstallée.

– 2. ? Hiddad – Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Il a pour principale fonction d’afficher des publicités, mais peut également accéder aux informations de sécurité clés intégrés dans le système d’exploitation

– 3. ? Guerrilla – Un cheval de Troie Android intégré à plusieurs applications légitimes et capable de télécharger du code malveillant supplémentaire. Il génère des revenus publicitaires frauduleux pour ses développeurs.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 2,5 milliards de sites web et 500 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en février est disponible sur le Blog Check Point.