Apparu en 2008, Qbot est continuellement développé, et il utilise désormais des techniques sophistiquées de vol d’identifiants et d’installation de logiciels rançonneurs, ce qui en fait l’équivalent d’un couteau suisse selon les chercheurs. Qbot comporte désormais une nouvelle fonctionnalité dangereuse : un module spécialisé de collecte d’emails qui extrait les fils de discussion du client Outlook de la victime et les télécharge sur un serveur distant. Cela permet à Qbot de détourner des conversations électroniques légitimes d’utilisateurs infectés, puis d’envoyer des spams en utilisant ces emails détournés pour augmenter ses chances de tromper d’autres utilisateurs et de les infecter. Qbot est également en mesure d’effectuer des transactions bancaires non autorisées, en permettant à son contrôleur de se connecter à l’ordinateur de la victime.

Les chercheurs de Check Points ont découvert plusieurs campagnes utilisant la nouvelle souche de Qbot entre mars et août 2020, dont une campagne de diffusion de Qbot par le cheval de Troie Emotet. Cette dernière a touché 5 % des entreprises dans le monde en juillet 2020.

« Les pirates recherchent toujours des moyens d’adapter les versions existantes et éprouvées des logiciels malveillants, et ils ont clairement investi massivement dans le développement de Qbot pour voler des données à grande échelle auprès des entreprises et des particuliers. Nous avons découvert des campagnes actives de spam diffusant Qbot directement, ainsi que l’utilisation d’infrastructures d’infection tierces comme celle d’Emotet pour propager la menace encore plus loin. Les entreprises devraient envisager de déployer des solutions de protection contre les logiciels malveillants qui empêchent ce type de contenu d’atteindre les utilisateurs finaux, et conseiller à leurs collaborateurs d’être prudents lorsqu’ils ouvrent des emails, même lorsqu’ils semblent provenir d’une source fiable, » déclare Maya Horowitz, Directrice de la recherche et de l’intelligence sur les menaces chez Check Point.

L’équipe de recherche prévient également que la « récupération d’informations sur le référentiel Git d’un serveur web exposé » est la vulnérabilité la plus couramment exploitée, touchant 47 % des entreprises dans le monde, suivie de près par la « vulnérabilité d’exécution de code à distance MVPower DVR » qui touche 43 % des entreprises dans le monde. Le « contournement de l’authentification sur les routeurs GPON Dasan (CVE-2018-10561) » est à la troisième place, avec un impact global de 37 %.

Principales familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Emotet est le logiciel malveillant le plus populaire touchant 14 % des entreprises au niveau mondial, suivi de près par Agent Tesla et Formbook qui touchent chacun 3 % des entreprises.

– 1. ? Emotet – Un cheval de Troie avancé, autonome et modulaire. Auparavant un cheval de Troie bancaire, il est actuellement utilisé pour diffuser d’autres logiciels malveillants ou mener d’autres campagnes malveillantes. Il utilise plusieurs techniques de persistance et d’évasion pour échapper à la détection, Il peut être transmis via des emails de spam et de phishing contenant des pièces jointes ou des liens malveillants.

– 2. ? Agent Tesla – Un outil malveillant d’accès à distance capable de surveiller et de collecter les frappes au clavier et le contenu du presse-papiers, d’effectuer des captures d’écran et d’exfiltrer les identifiants de différents logiciels installés sur la machine de la victime (y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook).

– 3. ? Formbook – Un logiciel malveillant de vol d’informations qui collecte des identifiants dans différents navigateurs web, effectue des captures d’écran, surveille et enregistre les frappes au clavier, et télécharge et exécute des fichiers en fonction des ordres reçus depuis un serveur de commande et de contrôle.

Principales vulnérabilités exploitées

Ce mois-ci, la « récupération d’informations OpenSSL TLS DTLS heartbeat » est la vulnérabilité la plus couramment exploitée, touchant 47 % des entreprises dans le monde, suivie de près par la « vulnérabilité d’exécution de code à distance MVPower DVR » qui touche 43 % des entreprises dans le monde. Le « contournement de l’authentification sur les routeurs GPON Dasan (CVE-2018-10561) » est à la troisième place, avec un impact global de 37 %.

– 1. ? Récupération d’informations sur le référentiel Git d’un serveur web exposé – Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.

– 2. ? Exécution de code à distance MVPower DVR – Une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.

– 3. ? Contournement de l’authentification sur les routeurs GPON Dasan (CVE-2018-10561) – Il existe une vulnérabilité de contournement de l’authentification sur les routeurs GPON Dasan. Une exploitation réussie de cette vulnérabilité permettrait à des pirates distants d’obtenir des informations sensibles et un accès non autorisé au système affecté.

Principales familles de logiciels malveillants mobiles

Ce mois-ci, xHelper est le logiciel malveillant le plus populaire, suivi de Necro et de Hiddad.

– 1. xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.

– 2. Necro – Un cheval de Troie de téléchargement de logiciels malveillants sur Android, capable de télécharger d’autres logiciels malveillants, d’afficher des publicités intrusives et de voler de l’argent en facturant des abonnements.

– 3. Hiddad – Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Il a pour principale fonction d’afficher des publicités, mais peut également accéder aux informations de sécurité clés intégrés dans le système d’exploitation

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 2,5 milliards de sites web et 500 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.