La campagne Qbot du mois dernier utilise une nouvelle méthode de diffusion qui consiste à envoyer aux cibles un e-mail avec une pièce jointe contenant des fichiers PDF protégés. Une fois téléchargés, le malware Qbot est installé sur l’appareil. Les chercheurs ont trouvé des cas où le malspam était envoyé dans plusieurs langues différentes. Les entreprises peuvent donc être ciblées dans le monde entier.

Le mois dernier a également vu le retour de Mirai, l’un des malwares IoT les plus populaires. Les chercheurs ont découvert qu’il exploitait une nouvelle vulnérabilité zero-day CVE-2023-1380 pour attaquer les routeurs TP-Link et les ajouter à son botnet, lequel a été utilisé pour faciliter certaines des attaques DDoS distribuées les plus perturbatrices jamais enregistrées Cette dernière campagne fait suite à un rapport détaillé publié par Check Point Research (CPR) sur la fréquence des attaques IOT.

On observe également un changement dans les secteurs touchés, puisque les services de santé ont dépassé le secteur public en avril, devenant ainsi le deuxième secteur le plus exploité. Les attaques contre les établissements de soins de santé sont bien documentées et certains pays continuent d’être confrontés à des agressions constantes. Ainsi, le groupe cybercriminel Medusa a récemment lancé des attaques contre des centres de traitement du cancer en Australie. Le secteur reste une cible lucrative pour les pirates informatiques, car il leur permet d’accéder à des données confidentielles sur les patients et à des informations sur les paiements. Les entreprises pharmaceutiques pourraient en subir les conséquences, car des fuites concernant des essais cliniques ou de nouveaux médicaments et dispositifs médicaux sont à craindre.

« Les cybercriminels travaillent constamment sur de nouvelles méthodes pour contourner les restrictions : ces campagnes prouvent une fois de plus que les malwares s’adaptent pour survivre. La nouvelle offensive de Qbot nous rappelle une fois de plus l’importance de mettre en place une cybersécurité complète et de faire preuve de discernement lorsqu’il s’agit de se fier à l’origine et à l’intention d’un e-mail », déclare Maya Horowitz, vice-présidente chargée de la recherche chez Check Point Software.

CPR a également révélé que la vulnérabilité « Web Servers Malicious URL Directory Traversal » était la plus exploitée, avec un impact sur 48 % des entreprises dans le monde, suivie par « Apache Log4j Remote Code Execution » avec 44 % et « HTTP Headers Remote Code Execution » avec un impact global de 43 %.

Principales familles de malware en France
* Les flèches indiquent le changement de position par rapport au mois précédent.

1. ↑ Emotet – Emotet, qui remonte en 1e position comparé au mois dernier, est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme d’autres malwares ou de campagnes malveillantes. Pour éviter d’être détecté, il utilise plusieurs méthodes de maintien de la persistance ainsi que des techniques d’évasion. Il a également la capacité de se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.

2. ↔ Qbot - Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants bancaires et les frappes au clavier d’un utilisateur. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection.

3. ↔ Kryptik, qui entre au top 3 des malwares à fort impact en France, est un cheval de Troie qui cible la plateforme Windows. Il collecte des informations sur le système et les envoie à un serveur distant. Il peut télécharger et exécuter d’autres fichiers malveillants sur un système infecté.

Dans le monde, AgentTesla était le malware le plus répandu le mois dernier avec un impact de plus de 10 % sur les entreprises mondiales respectivement, suivi par Qbot et Formbook avec un impact mondial de 4 %.

Les secteurs les plus attaquées dans le monde
Le mois dernier, le secteur de l’éducation et de la recherche restait le plus attaqué au niveau mondial, suivi par les secteurs de la santé et des services publics/militaires.

1. Éducation/Recherche
2. Les soins de santé
3. Services publics/militaire

Et en France

1. Loisirs/hôtellerie
2. Fournisseur de logiciels
3. Éducation/Recherche

Principales vulnérabilités exploitées
Le mois dernier, la vulnérabilité « Web Servers Malicious URL Directory Traversal » a été la plus exploitée, avec un impact de 48 % des entreprises au niveau mondial, suivie par « Apache Log4j Remote Code Execution » avec 44 % et « HTTP Headers Remote Code Execution » avec un impact mondial de 43 %.

1. ↑ Web Servers Malicious URL Directory Traversal - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.

2. ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) - Une vulnérabilité d’exécution de code à distance existe dans Apache Log4j. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.

3. ↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

Top des malwares mobiles
Le mois dernier, Ahmyth a été classé en tête du classement des malwares mobiles les plus répandus, suivi d’Anubis et d’Hiddad.

1. AhMyth - AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Lorsqu’un utilisateur installe l’une de ces applications infectées, le malware peut collecter des informations sensibles sur l’appareil et exécuter des actions telles qu’enregistrer des frappes au clavier, prendre des captures d’écran, envoyer des SMS et activer la caméra.

2. Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.

3. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’intelligence est enrichie par des moteurs basés sur l’IA et des données de recherche exclusives de Check Point Research, l’organe de renseignement et de recherche de Check Point Software Technologies.