MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Check Point® Software Technologies Ltd., principal fournisseur de solutions de cybersécurité basées sur l’IA et délivrées dans le cloud, a publié son Global Threat Index pour avril 2025.
FakeUpdates reste le logiciel malveillant le plus répandu ce mois-ci, affectant 6 % des organisations dans le monde, suivi de près par Remcos et AgentTesla.
Ce mois-ci, les chercheurs ont découvert une campagne sophistiquée en plusieurs étapes diffusant AgentTesla, Remcos et Xloader (une évolution de FormBook). L’attaque débute par des courriels de phishing se faisant passer pour des confirmations de commande, incitant les victimes à ouvrir une archive 7-Zip malveillante. Celle-ci contient un fichier JScript encodé (.JSE) lançant un script PowerShell encodé en Base64, qui exécute un exécutable .NET ou AutoIt de seconde étape. Le logiciel malveillant final est injecté dans des processus Windows légitimes tels que RegAsm.exe ou RegSvcs.exe, augmentant considérablement la furtivité et l’évasion des mécanismes de détection.
Ces résultats illustrent une tendance marquante de la cybercriminalité : la convergence entre malwares génériques et techniques avancées. Des outils autrefois vendus à bas prix, comme AgentTesla et Remcos, sont désormais intégrés à des chaînes de livraison complexes imitant les tactiques des acteurs étatiques, estompant la frontière entre motivations financières et politiques.
Lotem Finkelstein, Directeur de l’intelligence sur les menaces chez Check Point Software, commente « Cette campagne illustre la complexité croissante des cybermenaces. Les attaquants empilent scripts encodés, processus légitimes et chaînes d’exécution obscures pour passer inaperçus. Ce que nous considérions naguère comme des malwares de bas niveau est désormais militarisé dans des opérations sophistiquées. Les organisations doivent adopter une approche axée sur la prévention, intégrant renseignement en temps réel, IA et analyses comportementales. »
FakeUpdates : Aussi appelé SocGholish, ce téléchargeur de malwares, découvert en 2018, est diffusé via des téléchargements furtifs depuis des sites compromis ou malveillants, incitant les utilisateurs à installer une fausse mise à jour de navigateur. Associé au groupe russe Evil Corp, il sert à déployer diverses charges utiles secondaires après l’infection initiale. (Impact : 6 %)
Remcos : Cheval de Troie d’accès à distance (RAT) observé pour la première fois en 2016, souvent diffusé par des documents malveillants dans des campagnes de phishing. Il contourne les mécanismes de sécurité de Windows, comme le contrôle de compte utilisateur (UAC), pour exécuter du code avec privilèges élevés. (Impact : 3 %)
AgentTesla : RAT avancé fonctionnant comme enregistreur de frappe et voleur de mots de passe. Actif depuis 2014, il collecte les frappes clavier, le presse-papiers, prend des captures d’écran et exfiltre les identifiants saisis dans divers logiciels (Google Chrome, Firefox, Microsoft Outlook, etc.). Vendu légalement entre 15 et 69 dollars par licence utilisateur. (Impact : 3 %). En France, ce sont FakeUpdates, Androxgh0st et Remcos qui se trouvent sur le podium.
Données issues des « sites de honte » utilisés par les groupes de ransomware à double extorsion. Akira domine avec 11 % des attaques publiées, suivi de SatanLock et Qilin avec 10 % chacun.
Akira : Apparue début 2023, cette souche cible Windows et Linux. Elle utilise une cryptographie symétrique basée sur CryptGenRandom() et Chacha 2008, rappelant le ransomware Conti v2. Diffusée via pièces jointes infectées et failles VPN, elle chiffre les données, ajoute l’extension « .akira » et exige une rançon.
SatanLock : Opération récente, active publiquement depuis début avril. Elle a publié 67 victimes, dont plus de 65 % avaient déjà été répertoriées par d’autres groupes.
Qilin : Aussi appelée Agenda, cette opération criminelle de type Ransomware-as-a-Service cible les grandes entreprises, notamment dans la santé et l’éducation. Développée en Golang, elle se propage par phishing et liens malveillants, puis exfiltre et chiffre les données sensibles.
Anubis : Cheval de Troie bancaire sur Android, il intercepte les codes OTP MFA, enregistre les frappes, le son, et intègre des fonctions de ransomware. Diffusé via des applications malveillantes sur Google Play.
AhMyth : RAT Android se faisant passer pour des applications légitimes. Accède aux identifiants bancaires, portefeuilles crypto, codes MFA, permet l’écoute, l’enregistrement d’écran, la capture d’image et l’interception de SMS.
Hydra : Cheval de Troie bancaire demandant aux victimes des autorisations dangereuses lors de l’ouverture d’applications bancaires.
Pour le troisième mois consécutif, l’éducation reste le secteur le plus ciblé, suivi par les administrations et les télécoms. Ces secteurs présentent souvent des défenses plus faibles.
1. Éducation
2. Gouvernement
3. Télécommunications
Et en France, les secteurs les plus touchés sont les mêmes que le mois dernier :
1. Gouvernement
2. Télécommunications
3. Business Services
Les données d’avril révèlent une généralisation des campagnes furtives multi-étapes, et une concentration persistante sur des secteurs à la cybersécurité plus fragile. Avec FakeUpdates toujours en tête et l’émergence de nouveaux groupes comme SatanLock, les organisations doivent privilégier une stratégie de sécurité multicouche et proactive.
