Check Point® Software Technologies Ltd. (Code NASDAQ : CHKP), l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son classement des menaces dans le monde (« Global Threat Impact Index ») pour le mois de mars 2023. Le mois dernier, des chercheurs ont découvert une nouvelle campagne utilisant le logiciel malveillant de type cheval de Troie Emotet, lequel se hisse au deuxième rang des malwares les plus répandus.

Comme signalé plus tôt cette année, les attaquants d’Emotet ont exploré d’autres moyens de distribuer des fichiers malveillants depuis que Microsoft a annoncé qu’il bloquerait les macros dans les fichiers bureautiques. Dans leur dernière campagne, le groupe d’attaquants a adopté une nouvelle stratégie consistant à envoyer des e-mails malveillants contenant un fichier OneNote malveillant. Une fois ouvert, un message frauduleux s’affiche pour inciter la victime à cliquer sur le document, ce qui a pour effet de télécharger le virus Emotet. Une fois installé, le malware peut recueillir les données de l’e-mail de l’utilisateur, telles que les identifiants de connexion et les coordonnées. Les attaquants se servent ensuite des informations recueillies pour élargir la portée de la campagne et préparer de nouvelles attaques.

« Bien que les grandes entreprises technologiques fassent de leur mieux pour couper l’herbe sous le pied des cybercriminels, il est pratiquement impossible de bloquer toutes les attaques susceptibles de contourner les mesures de sécurité. Nous savons qu’Emotet est un cheval de Troie sophistiqué et il n’est pas surprenant de voir comment il a réussi à contourner les récentes parades de Microsoft. La principale mesure à prendre est de s’assurer que la sécurité des e-mails est bien en place, d’éviter de télécharger des fichiers suspects et de rester prudent quant à l’origine des e-mails et à leur contenu », a déclaré Maya Horowitz, vice-présidente chargée de la recherche chez Check Point Software.

L’équipe CPR a également révélé que « Apache Log4j Remote Code Execution » était la vulnérabilité la plus exploitée, avec un impact de 44 % sur les entreprises dans le monde, suivie de « HTTP Headers Remote Code Execution » et « MVPower DVR Remote Code Execution » avec un impact de respectivement 43 % et 40 % sur les entreprises au niveau monde.

En mars, Qbot a été le malware le plus répandu avec un impact de plus de 10 % sur les entreprises du monde entier, suivi par Emotet et Formbook avec pour chacun, un impact de 4 % au niveau monde.

Principales familles de malware en France

* Les flèches indiquent le changement de position par rapport au mois précédent.

– ↑ Qbot - Qbot ou Qakbot qui prend la tête du classement des malware les plus recherchés en France en mars, est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants bancaires ou les frappes au clavier d’un utilisateur et est souvent distribué sous forme de spams. Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection.

– ↑ Emotet – Emotet, qui remonte en 2ème position comparé au mois dernier, est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme d’autres malwares ou de campagnes malveillantes. Pour éviter d’être détecté, il utilise plusieurs méthodes de maintien de la persistance ainsi que des techniques d’évasion. Il a également la capacité de se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.

– ↑ Kryptik - Kryptik, qui entre au top 3 des malwares à fort impact en France, est un cheval de Troie qui cible la plateforme Windows. Il collecte des informations sur le système et les envoie à un serveur distant. Il peut télécharger et exécuter d’autres fichiers malveillants sur un système infecté.

Les secteurs les plus attaquées dans le monde

Le mois dernier, le secteur de la formation/la recherche était le plus attaqué dans le monde, suivi du secteur de l’administration/militaire et la santé.

– Formation/Recherche
– Gouvernement/militaire
– Les soins de santé

Principales vulnérabilités exploitées

Le mois dernier, la vulnérabilité « Apache Log4j Remote Code Execution » a été la plus exploitée, avec un impact sur 44 % sur les entreprises dans le monde, suivie de « HTTP Headers Remote Code Execution » et « MVPower DVR Remote Code Execution » avec un impact de respectivement 43 % et 40 % sur les entreprises au niveau monde.

– ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) - Une vulnérabilité d’exécution de code à distance existe dans Apache Log4j. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.

– ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

– ↑ MVPower DVR Remote Code Execution - Une vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.

Top des malwares mobiles

Le mois dernier Ahmyth a été classé en tête du classement des malwares mobiles les plus répandus dans le monde, suivi d’Anubis et d’Hiddad.

1. AhMyth - AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Lorsqu’un utilisateur installe l’une de ces applications infectées, le malware peut collecter des informations sensibles sur l’appareil et exécuter des actions telles qu’enregistrer des frappes au clavier, prendre des captures d’écran, envoyer des SMS et activer la caméra.

2. Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.

3. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’intelligence est enrichie par des moteurs basés sur l’IA et des données de recherche exclusives de Check Point Research, l’organe de renseignement et de recherche de Check Point Software Technologies.

La liste des 10 principales familles de logiciels malveillants en mars est disponible sur le blog de Checkpoint.