Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport Avira sur les malwares : Plus de 320 millions de nouvelles menaces détectées et bloquées au premier trimestre 2020

mai 2020 par Avira

La dernière édition du rapport sur les malwares met en évidence les cyber-menaces et les attaques enregistrées par l’équipe du Laboratoire de protection Avira au cours du premier trimestre 2020. Ce rapport est axé sur une tendance en plein essor, qui comprend l’hameçonnage et les campagnes de malspam, ainsi qu’une explosion des attaques liées à Emotet.

Plus de 320 millions de nouvelles menaces détectées et bloquées La pandémie mondiale a bouleversé nos vies, mais elle a aussi créé une opportunité pour les campagnes d’hameçonnage et de malspam. Bien que l’on ne puisse pas relier de nouvelle famille de malware uniquement au coronavirus, de nombreux cyber-criminels ont exploité des malwares déjà établis comme Nanocore, Hawkexe ou MortyStealer.

Evolution des attaques

Au cours du premier trimestre 2020, les attaques étaient principalement des malwares, comme les chevaux de Troie, les vers et les file infectors. Ces trois types de malwares, ainsi que d’autres catégories, comme les rootkits et les dialers, représentent environ deux tiers des détections. Les applications potentiellement indésirables (PUA) et les logiciels publicitaires forment la grande catégorie suivante et représentent environ un quart des détections. Le reste est composé de scripts et de malwares basés sur Office, d’exploits, de menaces mobiles et de coin miners.

La catégorie ayant connu la plus forte augmentation, comparée au trimestre précédent, est celle des PUA, dont les détections ont augmenté de près de 20 %.

Pour la première fois depuis 2018, nous avons enregistré une augmentation des détections de coin miners, d’un trimestre à l’autre. Toutefois, cette augmentation en valeur absolue n’est rien comparée à l’explosion des détections de coin miners en 2017 et 2018, car cette activité est bien moins lucrative aujourd’hui.

La catégorie de l’hameçonnage n’est pas en reste car ce genre d’attaque a fortement augmenté. Outre les fraudes bancaires habituelles, liées à eBay et PayPal, Avira a détecté une forte augmentation des campagnes d’hameçonnage liées à Mastercard, CNN et au système PostePay italien.

Emotet

Apparu en 2014, le malware bancaire Emotet tentait à l’époque d’infecter des ordinateurs et de dérober des informations sensibles. Ce malware se répand majoritairement par les spams et les e-mails d’hameçonnage, dans des pièces jointes infectées ou des URL malveillantes intégrées.

Au cours du premier trimestre 2020, le Laboratoire de protection Avira a identifié près de 14 000 nouveaux échantillons uniques du cheval de Troie bancaire. Et au cours du dernier trimestre, l’éditeur a observé 9 fois plus d’attaques liées à Emotet qu’au dernier trimestre 2019.

Les échantillons détectés au début de l’année utilisent une chaîne de macros Office, WMI (Windows Management Instrumentation) et Powershell. Toutefois, de nouvelles variantes d’Emotet, détectées en février 2020 abandonnaient le Powershell, et déclenchaient la charge utile du malware directement via WMI. Les créateurs du malware tentent généralement de masquer Emotet dans les détections des scanners antivirus. Pour cela, ils compilent la charge utile dans des projets disponibles au grand public comme les répertoires ouverts GitHub. Le fichier PE obtenu ressemble à s’y méprendre à une version propre, sans la charge utile d’Emotet.

Après février, les attaques Emotet se sont atténuées, en se contentant de fournir des mises à jour aux hôtes infectés, sans déclencher de nouvelle campagne de malware par e-mail.

IoC (indicateurs de compromission) d’Emotet détectés au 1er trimestre 2020
• W97M/Dldr.Emotet.*
• TR/AD.Emotet.*
• 10a3e965ac9cdfa65e529c66be67ed84de617ec36f95f22ae1ddf43f9c46fe8f
• f0fb34923074ff390ccf29cf660272c040658f9cb4a0eb106d2963b2448e2d3d
• 2326f8446b92e4bcb5349a992244f599708d79d3d103c72cc9b34711dfbe9c11
• 249.63.138
• 209.200.220
• 236.16.165
• 192.90.148
• C :\ProgramData\F1BsrEvf.exe (et chaînes aléatoires similaires)
• C :\Users\\739.exe (et chiffres aléatoires similaires)
• Les en-têtes des fichiers PE contenaient plusieurs demi-phrases et mots tels que « Trump », « Président », « Romney », « mormon », « républicain », « démocrate », « national », « population » et d’autres mots-clés liés au paysage politique américain.




Voir les articles précédents

    

Voir les articles suivants