Le mois dernier, des cybercriminels ont utilisé le malware Qbot lors d’une attaque de phishing ciblée à petite échelle contre des entreprises du secteur de l’hôtellerie et de la restauration. Dans le cadre de cette campagne, les chercheurs ont découvert que les pirates se faisaient passer pour l’IRS et envoyaient des e-mails malveillants avec des pièces jointes PDF contenant des URL intégrées, liées à un programme d’installation de Microsoft. Une fois activé, ce programme déclenchait une version invisible de Qbot qui exploitait une bibliothèque de liens dynamiques (DLL) intégrée. Avant son démantèlement en août, Qbot occupait une position de choix dans le classement des menaces, figurant parmi les trois malwares les plus répandus pendant dix mois d’affilée. Bien qu’il ne soit plus présent actuellement, les mois à venir seront décisifs pour déterminer s’il retrouvera la notoriété qu’il avait précédemment.

FakeUpdates a également poursuivi son ascension après être réapparu à la fin de l’année 2023, pour prendre la première place avec un impact global de 2 %. Nanocore a maintenu sa position dans le top 5 pendant six mois consécutifs et s’est hissé à la troisième place en décembre. On note que Ramnit et Glupteba ont fait leur entrée dans le classement.

« Moins de quatre mois après le démantèlement de son infrastructure de distribution, la réapparition de Qbot met en lumière la remarquable capacité des cybercriminels à s’adapter aux avancées technologiques, même face à nos tentatives de perturbation de leurs activités malveillantes. Cela souligne leur agilité persistante, malgré nos efforts pour contrarier leurs opérations, et témoigne de leur capacité à s’ajuster rapidement », a déclaré Maya Horowitz, VP Research chez Check Point Software. « C’est pourquoi les entreprises sont encouragées à adopter une approche préventive de la sécurité des terminaux et à effectuer un contrôle préalable des origines et de l’intention d’un e-mail. »

CPR a également révélé que « Apache Log4j Remote Code Execution (CVE-2021-44228) » et « Web Servers Malicious URL Directory Traversal » étaient les vulnérabilités les plus exploitées, lesquelles affectent 46 % des entreprises dans le monde. « Zyxel ZyWALL Command Injection (CVE-2023-28771) » les suit de près avec un impact global de 43%.

Top des familles de logiciels malveillants
* Les flèches indiquent le changement de position par rapport au mois précédent.

FakeUpdates et Formbook ont été les malware les plus répandus le mois dernier avec des répercussions de plus de 2 % sur les entreprises dans le monde entier, suivis par Nanocore avec un impact mondial de 1 %.

1. ↑ FakeUpdates - FakeUpdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
2. ↓ Formbook - Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
3. ↑ Nanocore - NanoCore est un cheval de Troie d’accès à distance qui cible les utilisateurs du système d’exploitation Windows et a été observé pour la première fois dans la nature en 2013. Toutes les versions du RAT contiennent des plugins de base et des fonctionnalités telles que la capture d’écran, le minage de crypto-monnaies, le contrôle à distance du bureau et le vol de sessions webcam.

Principales vulnérabilités exploitées
Le mois dernier, « Apache Log4j Remote Code Execution (CVE-2021-44228) » et « Web Servers Malicious URL Directory Traversal » étaient les vulnérabilités les plus exploitées. Elles ont ainsi impacté 46 % des entreprises dans le monde et étaient suivies par « Zyxel ZyWALL Command Injection (CVE-2023-28771) » dont l’impact global s’élevait à 43 %.
1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) - Une vulnérabilité d’exécution de code à distance existe dans Apache Log4j. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.
2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
3. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) - Une vulnérabilité d’injection de commande existe dans Zyxel ZyWALL. L’exploitation réussie de cette vulnérabilité pourrait permettre un attaquant distant d’exécuter un code arbitraire sur le système affecté.
Top des malwares mobiles
Le mois dernier, Anubis est arrivé en tête du classement des malwares mobiles les plus répandus, suivi d’AhMyth et de Hiddad.

1. Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.

2. AhMyth - AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Quand un utilisateur installe l’une de ces applications compromises, le logiciel malveillant est capable de recueillir des données sensibles à partir de l’appareil et d’effectuer diverses actions telles que la capture de frappes, la collecte de captures d’écran, l’envoi de messages SMS et l’activation de la caméra. Ces actions sont habituellement entreprises dans le but de voler des informations sensibles.

3. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.

Les industries les plus attaquées dans le monde

Le mois dernier, le secteur de l’éducation et de la recherche restait le plus attaqué au niveau mondial, suivi par les secteurs des communications et des services publics/militaires.

1. Éducation/Recherche
2. Communications
3. Services publics/militaire
Les industries les plus attaquées en France
1. Loisirs
2. Hôtellerie
3. Gouvernement / militaire

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point . ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’intelligence est enrichie par des moteurs basés sur l’IA et des données de recherche exclusives de Check Point Research, l’organe de renseignement et de recherche de Check Point Software Technologies.