En juillet 2022, Check Point Research (CPR) a signalé une diminution significative de l’impact mondial et de l’activité d’Emotet, soupçonnant que son absence ne serait que temporaire. Comme prévu, le cheval de Troie malveillant à propagation automatique remonte à nouveau dans l’indice, atteignant la deuxième place des logiciels malveillants les plus répandus en novembre, avec un impact de 4 % sur les organisations dans le monde. Si Emotet était au départ un cheval de Troie bancaire, sa conception modulaire lui a permis de se transformer en distributeur d’autres types de malwares, et il est couramment diffusé par le biais de campagnes de phishing. La prévalence accrue d’Emotet pourrait être en partie due à une série de nouvelles campagnes de malspam lancées en novembre, qui sont conçues pour distribuer les charges utiles du cheval de Troie bancaire IcedID.

Par ailleurs, pour la première fois depuis juillet 2021, Qbot, un cheval de Troie qui vole les informations d’identification bancaires et les frappes au clavier, a atteint la troisième place de la liste des principaux logiciels malveillants, avec un impact global de 4 %. Les acteurs de la menace derrière ce malware sont des cybercriminels motivés par des raisons financières, qui volent des données financières, des informations d’identification bancaires et des informations de navigation Web à partir de systèmes infectés et compromis. Lorsque les acteurs de la menace Qbot parviennent à infecter un système, ils installent une porte dérobée pour donner accès aux opérateurs de ransomware, ce qui entraîne une double extorsion. En novembre, Qbot a tiré parti d’une vulnérabilité Windows Zero-Day pour offrir aux acteurs de la menace un accès complet aux réseaux infectés.

Ce mois-ci a également vu une augmentation de Raspberry Robin, un ver sophistiqué qui utilise des clés USB malveillantes contenant des fichiers de raccourci Windows qui semblent légitimes mais infectent en fait les machines de la victime. Microsoft a constaté qu’il a évolué d’un ver largement distribué à une plateforme d’infection pour la distribution de logiciels malveillants, liée à d’autres familles de logiciels malveillants et à d’autres méthodes d’infection au-delà de sa propagation initiale par clé USB.

"Si ces logiciels malveillants sophistiqués peuvent rester en sommeil pendant les périodes plus calmes, les dernières semaines nous rappellent brutalement qu’ils ne le resteront pas longtemps. Nous ne pouvons pas nous permettre d’être complaisants, il est donc important que chacun reste vigilant lorsqu’il ouvre des e-mails, clique sur des liens, visite des sites Web ou partage des informations personnelles", a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software.
Le CPR a également révélé que "Web Servers Malicious URL Directory Traversal" est la vulnérabilité la plus couramment exploitée, avec un impact sur 46 % des organisations dans le monde, suivie de près par "Web Server Exposed Git Repository Information Disclosure" avec un impact de 45 %. En novembre, le secteur de l’éducation et de la recherche est resté en tête des secteurs les plus attaqués dans le monde.

Principales familles de logiciels malveillants

*Les flèches indiquent l’évolution du classement par rapport au mois précédent.
AgentTesla reste le logiciel malveillant le plus répandu ce mois-ci, avec un impact sur 6 % des organisations dans le monde, suivi par les nouvelles entrées Emotet avec un impact de 4 %, puis Qbot avec 4 %.
↔ AgentTesla - AgentTesla est un RAT avancé fonctionnant comme un keylogger et un voleur d’informations. Il est capable de surveiller et de collecter les saisies au clavier de la victime, le clavier système, de prendre des captures d’écran et d’exfiltrer les informations d’identification d’une variété de logiciels installés sur la machine de la victime (notamment Google Chrome, Mozilla Firefox et Microsoft Outlook).

↑ Emotet - Emotet est un cheval de Troie avancé, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme distributeur d’autres logiciels malveillants ou de campagnes malveillantes. Il utilise de multiples méthodes pour maintenir sa persistance et des techniques d’évasion pour éviter la détection. En outre, il peut se propager par le biais d’e-mails de spam de phishing contenant des pièces jointes ou des liens malveillants.
↑ Qbot - Qbot AKA Qakbot est un cheval de Troie bancaire apparu pour la première fois en 2008, conçu pour voler les informations d’identification bancaires et les frappes au clavier d’un utilisateur. Il est souvent distribué par le biais d’e-mails de spam et utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour entraver l’analyse et échapper à la détection.

Principaux secteurs attaqués dans le monde

Ce mois-ci, le secteur de l’éducation/recherche reste le plus attaqué au niveau mondial, suivi du secteur gouvernemental/militaire et du secteur de la santé.
Éducation/Recherche
Gouvernement/Militaire
Santé

Les vulnérabilités les plus exploitées

Ce mois-ci, "Web Servers Malicious URL Directory Traversal" est la vulnérabilité la plus couramment exploitée, avec un impact sur 46 % des organisations dans le monde, suivie de "Web Server Exposed Git Repository Information Disclosure" avec un impact de 45 %. "HTTP Headers Remote Code Execution" reste la troisième vulnérabilité la plus utilisée avec un impact global de 42%.

1. ↑ Traversée de répertoire par URL malveillante de serveurs Web (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs Web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URI pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
2. ↓ Divulgation d’informations de Git Repository par un serveur Web exposé - Une vulnérabilité de divulgation d’informations a été signalée dans Git Repository. L’exploitation réussie de cette vulnérabilité pourrait permettre une divulgation involontaire d’informations de compte.
3. ↔ Exécution de code à distance des en-têtes HTTP (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

Top des malwares mobiles

Ce mois-ci, Anubis reste le malware mobile le plus répandu, suivi de Hydra et AlienBot.

Anubis - Anubis est un malware de type cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa détection initiale, il a acquis des fonctions supplémentaires, notamment la fonction de cheval de Troie d’accès à distance (RAT), des capacités d’enregistrement audio et de keylogger, ainsi que diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
Hydra- Hydra est un cheval de Troie bancaire conçu pour voler des informations financières en demandant aux victimes d’activer des permissions dangereuses.
AlienBot - AlienBot est un cheval de Troie bancaire pour Android, vendu dans la clandestinité comme Malware-as-a-Service (MaaS). Il prend en charge l’enregistrement des touches, les superpositions dynamiques pour le vol d’informations d’identification ainsi que la collecte de SMS pour le contournement du système 2FA. Des capacités supplémentaires de contrôle à distance sont fournies par un module TeamViewer.
L’indice global d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les points d’extrémité et les mobiles. Cette intelligence est enrichie par des moteurs basés sur l’intelligence artificielle et des données de recherche exclusives de Check Point Research, la branche intelligence et recherche de Check Point Software Technologies.