Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les logiciels malveillants « les plus recherchés » en mars 2020 : Le cheval de Troie bancaire Dridex entre dans le top 3 des logiciels malveillants pour la première fois

avril 2020 par Check Point

Check Point® Software Technologies Ltd. a publié son tout dernier indice Check Point des menaces pour mars 2020, via Check Point Research, son équipe dédiée d’intelligence sur les menaces.

En mars, le célèbre cheval de Troie bancaire Dridex, apparu en 2011, s’est classé pour la première fois dans la liste des principaux logiciels malveillants, soulignant la rapidité avec laquelle les cybercriminels changent les thèmes de leurs attaques pour tenter de maximiser les taux d’infection. Dridex est une souche sophistiquée de logiciel malveillant bancaire qui cible la plateforme Windows, et qui mène des campagnes de spam pour infecter des ordinateurs et voler des identifiants bancaires et autres données personnelles afin d’accéder éventuellement à d’autres informations financières. Le logiciel malveillant a été systématiquement actualisé au cours de la dernière décennie.

La montée en puissance de Dridex est due à plusieurs campagnes de spam contenant une pièce jointe Excel malveillante, qui télécharge Dridex dans l’ordinateur des victimes. XMRig reste en première place, touchant 5 % des entreprises dans le monde, suivi de Jsecoin et Dridex, qui touchent respectivement 4 % et 3 % des entreprises dans le monde.

« Le fait que Dridex apparaisse pour la première fois comme l’une des principales familles de logiciels malveillants montre à quelle vitesse les cybercriminels peuvent modifier leurs méthodes, » déclare Maya Horowitz, Directrice de la recherche et des renseignements sur les menaces chez Check Point. « Ce type de logiciel malveillant peut être très lucratif pour les criminels étant donné sa sophistication. Il faut donc se méfier des emails comportant des pièces jointes, même s’ils semblent provenir d’une source de confiance, surtout avec l’explosion du travail à domicile ces dernières semaines. Les entreprises doivent sensibiliser leurs collaborateurs sur la manière d’identifier le spam malveillant, et déployer des mesures de sécurité qui protègent leurs équipes et leurs réseaux contre de telles menaces. »

L’équipe de chercheurs signale également que « l’exécution de code à distance MVPower DVR » est restée la vulnérabilité la plus couramment exploitée, touchant 30 % des entreprises dans le monde, suivie de près par « l’exécution de code php-cgi via des paramètres de requête dans PHP » avec un impact global de 29 %, puis par « la récupération d’informations OpenSSL TLS DTLS heartbeat » touchant 27 % des entreprises dans le monde.

Principales familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, XMRig reste en première place, touchant 5 % des entreprises dans le monde, suivi de Jsecoin et de Dridex qui touchent respectivement 4 % et 3 % des entreprises dans le monde.

1. ↔ XMRig – Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie Monero. Il a été découvert en mai 2017.
2. ↑ Jsecoin – Un extracteur de cryptomonnaie conçu pour extraire des Moneros en ligne lorsqu’un utilisateur consulte une page web particulière. Le code JavaScript implanté utilise d’importantes ressources de calcul des machines des internautes pour extraire de la cryptomonnaie, ce qui a un impact sur la performance des systèmes.
3. ↑ Dridex – Un cheval de Troie bancaire qui cible la plateforme Windows. Il est diffusé par des campagnes de spam et des kits d’exploitation de vulnérabilités, et s’appuie sur des WebInjects pour intercepter et rediriger les identifiants bancaires vers un serveur contrôlé par les pirates. Dridex contacte un serveur distant, envoie des informations sur le système infecté, et peut également télécharger et utiliser des modules supplémentaires pour le contrôle à distance.

Principales vulnérabilités exploitées

Ce mois-ci, « l’exécution de code à distance MVPower DVR » est restée la vulnérabilité la plus couramment exploitée, touchant 30 % des entreprises dans le monde, suivie de près par « l’exécution de code php-cgi via des paramètres de requête dans PHP » avec un impact global de 29 %. En troisième position, « la récupération d’informations OpenSSL TLS DTLS heartbeat » touche 27 % des entreprises dans le monde.

1. ↔ Exécution de code à distance MVPower DVR – Une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
2. ↑ Exécution de code php-cgi via des paramètres de requête dans PHP – Une vulnérabilité d’exécution de code à distance a été signalée dans PHP. La vulnérabilité est due à l’analyse et au filtrage incorrects des chaînes de requêtes par PHP. Un pirate distant peut exploiter cette vulnérabilité en envoyant une requête HTTP spécialement conçues. Une exploitation réussie de cette vulnérabilité permet à un pirate d’exécuter du code arbitraire sur la cible.
3. ↓ Récupération d’informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) – Une vulnérabilité de récupération d’informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d’un client ou d’un serveur connecté.

Principales familles de logiciels malveillants mobiles

Ce mois-ci, xHelper conserve la première place du classement des logiciels malveillants mobiles les plus répandus, suivi de AndroidBauts et de Lotoor.

1. xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.

2. AndroidBauts – Un logiciel publicitaire malveillant ciblant les utilisateurs Android. Il exfiltre les numéros IMEI et IMSI, la localisation GPS et d’autres informations depuis les appareils, et permet l’installation d’applications et de raccourcis tiers sur les appareils mobiles.

3. Lotoor – Un outil de piratage ciblant des vulnérabilités du système d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 2,5 milliards de sites web et 500 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.




Voir les articles précédents

    

Voir les articles suivants