Check Point Research (CPR), la branche de renseignement sur les menaces de Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, publie son Classement des menaces pour le mois de juin 2022. Au niveau global, CPR signale l’apparition d’un nouveau logiciel malveillant bancaire Android, baptisé MaliBot. Il voit le jour après le démantèlement de FluBot à la fin du mois de mai.
Ce mois-ci également, le célèbre logiciel malveillant Emotet reste le plus répandu. Les chercheurs ont également signalé un nouveau variant d’Emotet en juin, qui permet de voler des cartes de crédit et cible les utilisateurs du navigateur Chrome.
« Même s’il est toujours satisfaisant de voir les forces de l’ordre réussir à faire tomber des groupes cybercriminels ou des malwares comme FluBot, il n’a malheureusement pas fallu longtemps pour qu’un nouveau malware mobile prenne sa place », déclare Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Les cybercriminels sont bien conscients du rôle central que jouent les appareils mobiles dans la vie quotidienne. Ils adaptent et améliorent constamment leurs tactiques en conséquence. Le paysage des menaces évolue rapidement et les malwares mobiles représentent un danger important pour la sécurité des particuliers et des entreprises. Jamais il n’a été aussi important de se munir d’une solution fiable pour contrer les menaces mobiles. »
Ce mois-ci, en France, Emotet est le malware le plus populaire avec un impact global de 14 % des entreprises, suivi par Remcos et Formbook qui touchent tous les deux 3 % des entreprises dans le monde.
1. Emotet : Emotet est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme distributeur d’autres logiciels malveillants ou de campagnes malveillantes. Il a recours à de multiples méthodes pour garantir la persistance et à des techniques d’évasion pour éviter de se faire repérer. De plus, il peut se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.
2. Remcos : Remcos est un RAT qui a fait sa première apparition en 2016. Remcos se propage par le biais de documents Microsoft Office malveillants, qui sont joints à des SPAM. Il est conçu pour contourner la sécurité UAC de Microsoft Windows et exécuter le malware avec des privilèges de haut niveau.
3. Formbook : Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé comme logiciel malveillant en tant que service (MaaS) dans les forums de piratage clandestins pour ses solides techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
La liste complète des 10 principales familles de logiciels malveillants en juin, dans le monde, est disponible sur le blog de Checkpoint.
Ce mois-ci, les secteurs les plus attaqués en France sont les suivants :
1. Loisirs / Hôtellerie
2. Enseignement & Recherche
3. Communication / Telco
A l’échelle mondiale :
Ce mois-ci, à l’échelle mondiale, « Apache Log4j Remote Code Execution » est la vulnérabilité exploitée la plus courante, affectant 43% des organisations dans le monde, suivie de « Web Server Exposed Git Repository Information Disclosure » qui a un impact global de 42,3 %. « Web Servers Malicious URL Directory Traversal » occupe la troisième place avec un impact global de 42,1%.
1. Apache Log4j Remote Code Execution (CVE-2021-44228) - Une vulnérabilité d’exécution de code à distance existe dans Apache Log4j. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.
2. Web Server Exposed Git Repository Information Disclosure – Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
3. Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
1. AlienBot : La famille de malwares AlienBot est un Malware-as-a-Service (MaaS) pour les appareils Android qui permet à un attaquant distant, dans un premier temps, d’injecter du code malveillant dans des applications financières légitimes. L’attaquant obtient l’accès aux comptes des victimes, et finit par contrôler complètement leur dispositif.
2. Anubis : Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
3. MaliBot : Malibot est un malware bancaire Android qui a été identifié et qui cible des utilisateurs en Espagne et en Italie. La banque se déguise en applications de crypto mining sous différents noms et se concentre sur le vol d’informations financières, de portefeuilles de crypto et de données plus personnelles.
L’indice mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’indice mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point.
La liste complète des 10 principales familles de logiciels malveillants en juin est disponible sur le blog de Checkpoint.