En France, IcediD (86 %), Qbot (72 %) et Dridex (50 %) sont les malwares ayant principalement sévi en mars 2021Check Point Research (CPR), la branche de renseignement sur les menaces de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l’un des principaux fournisseurs de solutions de cybersécurité dans le monde a publié son Classement de menace globale de mars 2021. Les chercheurs signalent que le Trojan IcedID est entré dans le classement pour la première fois, prenant la deuxième place, tandis que Dridex, lui bien établi, est le malware le plus répandu en mars, alors qu'il se situait a la septième place en février.
Apparu pour la première fois en 2017, IcedID s'est propagé rapidement en mars via plusieurs campagnes de spam, touchant 11 % des entreprises dans le monde. Une campagne de grande ampleur s’est servie d’un sujet lié à la COVID-19 pour inciter les nouvelles victimes à ouvrir des pièces jointes malveillantes. La majorité de ces pièces jointes étaient des documents Microsoft Word contenant une macro malveillante pour insérer un programme d'installation d'IcedID. Une fois installé, le Trojan tente de voler des informations sur les comptes, des informations de paiement et d'autres informations sensibles sur les PC des utilisateurs. IcedID utilise également d'autres malwares pour se propager et est exploité comme étape initiale de l’infection dans des opérations de ransomware.
« IcedID existe depuis quelques années déjà, mais a récemment été utilisé à grande échelle, ce qui montre que les cybercriminels continuent d'adapter leurs techniques pour exploiter les entreprises en se servant de la pandémie comme d'un prétexte », déclare Xavier Duros, CTO de Check Point Software France. « IcedID est un Trojan particulièrement évasif qui utilise toute une série de techniques pour voler des données financières. Les entreprises doivent donc s'assurer qu'elles disposent de systèmes de sécurité robustes pour empêcher que leurs réseaux ne soient compromis et minimiser les risques. Il est indispensable que les employés reçoivent une formation complète, comme toujours, pour être capables d’identifier les types d’emails malveillants qui répandent IcedID et d'autres malwares. »
Check Point Research avertit également que « HTTP Headers Remote Code Execution (CVE-2020-13756) » est la vulnérabilité exploitée la plus courante, touchant 45% des entreprises dans le monde, suivie de « MVPower DVR Remote Code Execution » qui touche 44% d’entre elles. « Dasan GPON Router Authentication Bypass (CVE-2018-10561) » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 44%.
Top des familles de logiciels malveillants
* Les flèches indiquent le changement de position par rapport au mois précédent.
Ce mois-ci, Dridex est le malware le plus populaire avec un impact global de 16% des entreprises, suivi de IcedID et Lokibot qui touchent respectivement 11% et 9% des entreprises dans le monde.
1. ↑ Dridex -Dridex est un cheval de Troie qui cible la plateforme Windows et qui serait téléchargé via la pièce jointe d'un spam. Dridex contacte un serveur distant et envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires reçus du serveur distant.
2. ↑ IcedID – IcedID est un cheval de Troie bancaire qui se propage par le biais de campagnes de spams et utilise des techniques d'évasion telles que l'injection de processus et la stéganographie[1] pour voler les données financières des utilisateurs.
3. ↑ Lokibot – Lokibot est un voleur d'informations distribué principalement via des emails de phishing et utilisé pour voler diverses données telles que les identifiants de messagerie, ainsi que les mots de passe des portefeuilles de CryptoCoin et des serveurs FTP.
Principales vulnérabilités exploitées
Ce mois-ci, « HTTP Headers Remote Code Execution (CVE-2020-13756) » est la vulnérabilité exploitée la plus courante, affectant 45 % des entreprises dans le monde, suivie de « MVPower DVR Remote Code Execution » qui touche 44 % d’entre elles. « Dasan GPON Router Authentication Bypass (CVE-2018-10561) » occupe la troisième place avec un impact global de 44%.
1. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
2. ↑ MVPower DVR Remote Code Execution – vulnérabilité d'exécution de code à distance qui existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – vulnérabilité de contournement d'authentification qui existe dans les routeurs GPON de Dasan. L'exploitation réussie de cette vulnérabilité permettrait à des attaquants à distance d'obtenir des informations sensibles et un accès non autorisé au système concerné.
Top des malwares mobiles
Ce mois-ci, Hiddad occupe la première place des malwares mobiles les plus répandus, suivi de xHelper et FurBall.
1. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d'afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d'exploitation.
2. xHelper - application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs et de se réinstaller en cas de désinstallation.
3. FurBall - FurBall est un MRAT (Mobile Remote Access Trojan) Android déployé par APT-C-50, un groupe APT lié au gouvernement iranien. Ce malware a été utilisé dans de multiples campagnes remontant à 2017, et est toujours actif aujourd'hui. Parmi les fonctionnalités de FurBall, citons le vol de messages SMS et de journaux d'appels mobiles, l'enregistrement des appels et de l'environnement, la collecte de fichiers multimédias, la localisation, etc.
Source : Check Point Research
Et vous ?
Que pouvez-vous nous dire sur ce classement des malwares ? Comment avez-vous géré une attaque par l'un ou l'autre de ces malwares ?Voir aussi :
La nouvelle plateforme DoControl aide les entreprises à prévenir les violations des applications SaaS GitHub est une véritable mine d'or pour les cybercriminels, selon GitGuardian, qui a détecté plus de 2 millions de "secrets" sur la plateforme en 2020, en hausse de 20 % 97 % des entreprises ont subi une attaque de malware mobile au cours de l'année écoulée, d'après le rapport 2021 sur la sécurité mobile de Check Point Software