En France c’est surtout, FormBook, un InfoStealer qui cible le système d’exploitation Windows. Il est commercialisé sous le nom de MaaS dans des forums de piratage souterrains pour ses techniques d’évasion puissantes et son prix relativement bas. FormBook récolte des informations d’identification sur différents navigateurs web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de ses C&C.

Le botnet Phorpiex quant à lui a été signalé pour la première fois en 2010, et à son apogée, il contrôlait plus d’un million d’hôtes infectés. Connu pour distribuer d’autres familles de logiciels malveillants par le biais du spam ainsi que pour alimenter des campagnes de spam à grande échelle de "sextorsion" et de cryptomining, Phorpiex a de nouveau distribué le logiciel de rançon Avaddon, comme les chercheurs de Check Point l’avaient initialement signalé en début d’année. Avaddon est une variante relativement nouvelle du Ransomware-as-a-Service (RaaS), et ses opérateurs ont de nouveau recruté des affiliés pour distribuer le logiciel contre une partie des bénéfices. Avaddon a été distribué via des fichiers JS et Excel dans le cadre de campagnes de spam et est capable de crypter un large éventail de types de fichiers.

"Phorpiex est l’un des réseaux les plus anciens et les plus persistants, et ses créateurs l’utilisent depuis de nombreuses années pour distribuer d’autres logiciels malveillants tels que les logiciels de rançon GandCrab et Avaddon, ou pour des escroqueries de sextorsion. Cette nouvelle vague d’infections propage maintenant une autre campagne de rançon, ce qui montre à quel point l’outil Phorpiex est efficace", a déclaré Maya Horowitz, directrice de la recherche et du renseignement sur les menaces chez Check Point. "Les organisations devraient apprendre à leurs employés à identifier les éventuels spams et à se méfier de l’ouverture de pièces jointes inconnues dans les courriers électroniques, même si elles semblent provenir d’une source fiable. Elles devraient également s’assurer qu’elles déploient une sécurité qui les empêche activement d’infecter leurs réseaux".

L’équipe de recherche avertit également que "HTTP Headers Remote Code Execution (CVE-2020-13756)" est la vulnérabilité exploitée la plus courante, touchant 54% des organisations dans le monde, suivie par "MVPower DVR Remote Code Execution" qui touche 48% des organisations dans le monde et "Dasan GPON Router Authentication Bypass (CVE-2018-10561) qui touche 44% des organisations dans le monde.

Principales familles de logiciels malveillants
*Les flèches concernent le changement de rang par rapport au mois précédent.

Ce mois-ci, Phorpiex est le malware le plus populaire avec un impact global de 4% des organisations, suivi de près par Dridex et Hiddad qui ont tous deux un impact de 3% des organisations dans le monde.

1. ? Phorpiex - Phorpiex est un botnet connu pour distribuer d’autres familles de logiciels malveillants par le biais de campagnes de spam ainsi que pour alimenter des campagnes de Sextorsion à grande échelle.
2. ? Dridex - Dridex est un cheval de Troie qui cible la plate-forme Windows et qui serait téléchargé par le biais d’une pièce jointe à un courriel de spam. Dridex contacte un serveur distant et envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires reçus du serveur distant.
3. ? Hiddad - Hiddad est une infection par un logiciel malveillant Android qui reconditionne des applications mobiles légitimes et les diffuse ensuite dans un magasin tiers. Sa principale fonction est d’afficher des publicités, mais il peut également accéder à des détails de sécurité clés intégrés au système d’exploitation.

Principales vulnérabilités exploitées

Ce mois-ci, "HTTP Headers Remote Code Execution (CVE-2020-13756)" est la vulnérabilité exploitée la plus courante, avec un impact sur 54 % des organisations dans le monde, suivie par "MVPower DVR Remote Code Execution" qui a touché 48 % des organisations dans le monde et "Dasan GPON Router Authentication Bypass (CVE-2018-10561) qui a touché 44 % des organisations dans le monde.

1. ? HTTP Headers Remote Code Execution (CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires par le biais d’une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine victime.

2. ? MVPower DVR Remote Code Execution - la vulnérabilité de l’exécution de code à distance existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête élaborée.

3. ?Dasan GPON Router Authentication Bypass (CVE-2018-10561) - Faille de contournement de l’authentification qui existe dans les routeurs GPON Dasan. Une exploitation réussie de cette vulnérabilité permettrait à des attaquants distants d’obtenir des informations sensibles et d’accéder sans autorisation au système concerné.

Les principaux malwares en France

Malware_Family_Name Description Global Impact Country Impact

Formbook Détecté pour la première fois en 2016, FormBook est un InfoStealer qui cible le système d’exploitation Windows. Il est commercialisé sous le nom de MaaS dans des forums de piratage souterrains pour ses techniques d’évasion puissantes et son prix relativement bas. FormBook récolte des informations d’identification sur différents navigateurs web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de ses C&C. 2.89% 4.94%

Emotet est un cheval de Troie avancé, auto-propagé et modulaire qui était autrefois utilisé comme cheval de Troie bancaire et qui distribue actuellement d’autres logiciels malveillants ou campagnes malveillantes. Emotet utilise de multiples méthodes pour maintenir la persistance et des techniques d’évasion afin d’éviter la détection et peut se propager par le biais de courriels de spam de phishing contenant des pièces jointes ou des liens malveillants. 2.28% 3.29%

Dridex est un cheval de Troie bancaire qui cible la plate-forme Windows, observée par les campagnes de spam et les kits d’exploitation, qui s’appuie sur les WebInjects pour intercepter et rediriger les références bancaires vers un serveur contrôlé par l’attaquant. Dridex contacte un serveur distant, envoie des informations sur le système infecté et peut également télécharger et exécuter des modules supplémentaires pour le contrôle à distance. 3.32% 3.09%

Phorpiex est un botnet (alias Trik) a été depuis 2010 et à son apogée a contrôlé plus d’un million d’hôtes infectés. Il est connu pour distribuer d’autres familles de logiciels malveillants par le biais de campagnes de spam ainsi que pour alimenter des campagnes de spam et de sextorsion à grande échelle. 3.65% 2.67%

Hiddad is an Android malware which repackages legitimate apps and then releases them to a third-party store. Its main function is to display ads, but it can also gain access to key security details built into the OS. 3.32% 1.95%

Rig EK was first introduced in April 2014. It has since received several large updates and continues to be active to this day. In 2015, as result of an internal feud between its operators, the source code was leaked and has been thoroughly investigated by researchers. Rig delivers Exploits for Flash, Java, Silverlight and Internet Explorer. The infection chain starts with a redirection to a landing page that contains JavaScript that checks for vulnerable plug-ins and delivers the exploit. 1.75% 1.23%

Trickbot is a modular Banking Trojan that targets the Windows platform, mostly delivered via spam campaigns or other malware families such as Emotet. Trickbot sends information about the infected system and can also download and execute arbitrary modules from a large array of available modules : from a VNC module for remote control, to an SMB module for spreading within a compromised network. Once a machine is infected, the Trickbot gang, the threat actors behind this malware, utilize this wide array of modules not only to steal banking credentials from the target PC, but also for lateral movement and reconnaissance on the targeted organization itself, prior to delivering a company-wide targeted ransomware attack. 2.06% 1.23%

Siggen5 is a Trojan that logs the user keystrokes and sends them to the remote attacker. It might collect system information like user names and passwords. 0.16% 1.13%

FritzFrog is a highly sophisticated peer-to-peer (P2P) botnet that has been actively breaching SSH servers worldwide. The malware combines a set of properties that makes it uniqu. it is fileless, as it assembles and executes payloads in-memory. It is more aggressive in its brute-force attempts, yet stays efficient by distributing targets evenly within the network. Finally, FritzFrog’s P2P protocol is proprietary and is not based on any existing implementation. 1.18% 0.93%

Qbot AKA Qakbot is banking Trojan that first appeared in 2008, designed to steal user¿s banking credentials and keystrokes.Often distributed via spam email, Qbot employs several anti-VM, anti-debugging, and anti-sandbox techniques, to hinder analysis and evade detection. 1.58% 0.82%

Les principaux malwares mobiles dans le monde :

Ce mois-ci, Hiddad reste le malware mobile le plus répandu, suivi par xHelper et Lotoor.

1. Hiddad - Hiddad est une infection par un malware Android qui reconditionne des applications légitimes et les diffuse ensuite dans un magasin tiers. Sa principale fonction est d’afficher des publicités, mais il peut également accéder à des détails de sécurité clés intégrés au système d’exploitation.

2. xHelper - xHelper est une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable de se cacher de l’utilisateur et de se réinstaller au cas où elle serait désinstallée.

3. Lotoor - Lotoor est un outil de piratage qui exploite les vulnérabilités du système d’exploitation Android afin d’obtenir les privilèges root sur les appareils mobiles compromis.

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par les renseignements ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et les tendances des attaques à partir d’un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 2,5 milliards de sites web et 500 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.