En septembre dernier, Check Point Research a repéré une importante campagne de phishing qui ciblait plus de 40 entreprises de renom issues de secteurs d’activité multiples en Colombie. Son objectif était d’installer discrètement le RAT Remcos sur les ordinateurs des victimes. Remcos, classé comme le deuxième malware le plus répandu en septembre, est un cheval de Troie d’accès à distance (RAT) sophistiqué et polyvalent, qui octroie un contrôle total sur l’ordinateur infecté et peut être utilisé dans le cadre d’attaques variées. Une infection par Remcos provoque généralement un vol de données, des infections ciblées et la compromission de comptes, entre autres.

Le mois dernier, on note que Qbot a totalement disparu du classement Top malwares depuis l’intervention du FBI, qui a pris le contrôle du réseau de bots au mois d’août. C’est donc la fin de ce long règne puisqu’il a occupé la première place du classement des malwares les plus répandus durant la majeure partie de l’année 2023.

« La campagne que nous avons découverte en Colombie donne un aperçu de l’univers complexe des techniques d’exfiltration auxquelles ont recours les attaquants. Elle démontre également à quel point ces techniques sont invasives et justifie pourquoi il faut avoir recours à la cyber-résilience pour se protéger contre divers types d’attaques », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software.

CPR a également révélé que « Web Servers Malicious URL Directory Traversal » était la vulnérabilité la plus exploitée le mois dernier, avec un impact sur 47% des entreprises dans le monde, suivie par « Command Injection Over HTTP » avec 42% des entreprises dans le monde, et de « Zyxel ZyWALL Command Injection » avec 39%.

Le top des familles de logiciels malveillants dans le monde

* Les flèches indiquent le changement de position par rapport au mois précédent (aout).

Formbook était le malware le plus répandu le mois dernier avec un impact de 3% sur les entreprises du monde entier, suivi par Remcos avec un impact global de 2%, et Emotet avec un impact global de 2%.

1. ↑ Formbook - Formbook est un Infostealer qui vise le système d’exploitation Windows et qui a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.

2. ↑ Remcos – Remcos est un cheval de Troie d’accès à distance (RAT) qui a fait son apparition dans la nature pour la première fois en 2016. Remcos se propage via des documents Microsoft Office malveillants qui sont joints à des e-mails de SPAM, et est conçu pour contourner la sécurité UAC de Microsoft Windows et exécuter des malwares avec des privilèges de haut niveau.

3. ↑ Emotet - Emotet est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme d’autres logiciels malveillants ou de campagnes malveillantes. Pour éviter d’être détecté, il utilise plusieurs méthodes de maintien de la persistance ainsi que des techniques d’évasion. De plus, il peut se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.

Le top des familles de logiciels malveillants en France
* Les flèches indiquent le changement de position par rapport au classement local précédent de juin.

1. ↑ Emotet - Emotet est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme d’autres logiciels malveillants ou de campagnes malveillantes. Pour éviter d’être détecté, il utilise plusieurs méthodes de maintien de la persistance ainsi que des techniques d’évasion. De plus, il peut se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.

2. ↑ Remcos – Remcos est un cheval de Troie d’accès à distance (RAT) qui a fait son apparition dans la nature pour la première fois en 2016. Remcos se propage via des documents Microsoft Office malveillants qui sont joints à des e-mails de SPAM, et est conçu pour contourner la sécurité UAC de Microsoft Windows et exécuter des malwares avec des privilèges de haut niveau.

3. ↓ Fakeupdates - Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.

Les secteurs les plus attaqués dans le monde
Le mois dernier, le secteur de l’éducation et de la recherche restait le plus attaqué au niveau mondial, suivi par les secteurs des communications et des services publics/militaires.

1. Éducation/Recherche
2. Communications
3. Services publics/militaire

Les secteurs les plus attaqués en France
Ce mois-ci, le secteur des loisirs et de l’hôtellerie/restauration reste en tête des industries les plus attaquées au niveau mondial, toujours suivi par le secteur des éditeurs de logiciels et celui des communications.

1. Loisirs et hôtellerie/restauration
2. Editeurs de logiciels
3. Communications

A noter que la France passe de la 92è à la 97è place dans l’indice des menaces par pays qui classe les pays en fonction du niveau de menaces moyen auquel ils sont exposés chaque mois.

Principales vulnérabilités exploitées dans le monde

Le mois dernier, « Web Servers Malicious URL Directory Traversal » était la vulnérabilité la plus exploitée, affectant 47% des entreprises dans le monde, suivie de « Command Injection Over HTTP » avec un impact de 42%. « Zyxel ZyWALL Command Injection » se place à la troisième place des vulnérabilités les plus exploitées, avec un impact global de 39%.

1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
2. ↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible.
3. ↓ PHPUnit Command Injection (CVE-2023-28771) - Une vulnérabilité d’injection de commande existe dans PHPUnit. L’exploitation réussie de cette vulnérabilité pourrait permettre un attaquant distant d’exécuter un code arbitraire sur le système affecté.

Top des malwares mobiles dans le monde
Le mois dernier, Anubis est arrivé en tête du classement des malwares mobiles les plus répandus, suivi d’AhMyth et de SpinOk.

1. Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
2. AhMyth - AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Quand un utilisateur installe l’une de ces applications compromises, le logiciel malveillant est capable de recueillir des données sensibles à partir de l’appareil et d’effectuer diverses actions telles que la capture de frappes, la collecte de captures d’écran, l’envoi de messages SMS et l’activation de la caméra. Ces actions sont habituellement entreprises dans le but de voler des informations sensibles.
3. SpinOk - SpinOk est un module logiciel Android qui fonctionne comme un spyware. Il collecte des informations sur les fichiers stockés sur les appareils et est capable de les transférer à des acteurs de menaces malveillants. Le module malveillant a été détecté dans plus de 100 applications Android et a été téléchargé plus de 421 000 000 fois jusqu’en mai 2023.

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’intelligence est enrichie par des moteurs basés sur l’IA et des données de recherche exclusives de Check Point Research, l’organe de renseignement et de recherche de Check Point Software Technologies.