ChromeLoader est un pirate de navigateur persistant initialement identifié en 2022 et qui cible spécifiquement les utilisateurs du navigateur Google Chrome. Classé 10ème dans le top mondial des familles de malwares du mois dernier, ChromeLoader a été créé dans le but d’installer discrètement des extensions malveillantes en exploitant de fausses publicités sur les navigateurs web. Dans le cas de la campagne « Shampoo », la victime est incitée à exécuter des fichiers VBScript qui installent des extensions Chrome malveillantes. Une fois installées, elles peuvent collecter des données personnelles et perturber la navigation en diffusant des publicités indésirables.

En août dernier, le FBI a annoncé le succès de son opération internationale de lutte contre le Qbot (alias Qakbot). Dans le cadre de l’opération « Duck Hunt », le FBI a pris le contrôle du botnet, supprimé le malware des appareils infectés et identifié un nombre important d’appareils touchés. Qbot a évolué vers un service de livraison de malware utilisé pour diverses activités cybercriminelles, dont des attaques par ransomware. Il se propage généralement par le biais de campagnes de phishing et communique avec d’autres acteurs de la menace. Bien qu’il soit resté le malware le plus répandu en août, Check Point a néanmoins constaté une baisse significative de son impact après l’opération.

Au mois d’août, le secteur des communications a également pris la deuxième place des industries les plus touchées dans le monde, dépassant le secteur de la santé pour la première fois en 2023. Les exemples d’entreprises du secteur confrontées à des cyberattaques se multiplient cette année. En mars, le groupe de cyberespionnage APT41, soutenu par l’État chinois, a été repéré alors qu’il ciblait le secteur des télécommunications au Moyen-Orient. Les acteurs de la menace ont infiltré des serveurs Microsoft Exchange sur Internet pour exécuter des commandes, mener des opérations de reconnaissance, voler des identifiants et réaliser des mouvements latéraux et des activités d’exfiltration de données.

« Le démantèlement de QBot constitue une avancée significative dans la lutte contre la cybercriminalité. Cependant, nous ne pouvons pas nous reposer sur nos lauriers, car dès que l’un d’entre eux disparaît, un autre le remplace », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Nous devons tous rester vigilants, travailler ensemble et continuer à appliquer une bonne hygiène de sécurité à tous les vecteurs d’attaque. »

L’équipe CPR a également révélé ce mois-ci que « HTTP Headers Remote Code Execution » était la vulnérabilité la plus exploitée avec un impact sur 40% des entreprises dans le monde, suivie par « Command Injection Over http» avec un impact de 38%. « MVPower CCTV DVR Remote Code Execution » occupait la troisième place avec un impact global de 35%.

Le top des familles de logiciels malveillants dans le monde

* Les flèches indiquent le changement de position par rapport au mois précédent (juillet).

Qbot était le malware le plus répandu le mois dernier avec un impact de 5% sur les entreprises du monde entier, suivi par Formbook avec un impact global de 4%, et Fakeupdates avec un impact global de 3%.

↔ Qbot - Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer d’autres malwares. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection. Apparu en 2022, il s’est imposé comme l’un des chevaux de Troie les plus répandus.
↔ Formbook - Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
↑ Fakeupdates - Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.

Le top des familles de logiciels malveillants en France

* Les flèches indiquent le changement de position par rapport au classement local précédent de juin.

↔ Qbot - Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer d’autres malwares. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection. Apparu en 2022, il s’est imposé comme l’un des chevaux de Troie les plus répandus.
↑ Fakeupdates - Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
↔ Emotet - Emotet est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme d’autres logiciels malveillants ou de campagnes malveillantes. Pour éviter d’être détecté, il utilise plusieurs méthodes de maintien de la persistance ainsi que des techniques d’évasion. De plus, il peut se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.

Les secteurs les plus attaquées dans le monde

Le mois dernier, le secteur de l’éducation et de la recherche restait le plus attaqué au niveau mondial, suivi par les secteurs des communications et des services publics/militaires.

Éducation/Recherche
Communications
Services publics/militaire

Les secteurs les plus attaquées en France

Ce mois-ci, le secteur des loisirs/hôtellerie & restauration remonte en tête des industries les plus attaquées en France, suivi par le secteur des éditeurs de logiciels et celui des communications.

Loisirs et hôtellerie/restauration
Editeurs de logiciels
Communications

Principales vulnérabilités exploitées dans le monde

Ce mois-ci, « HTTP Headers Remote Code Execution » est la vulnérabilité la plus exploitée, affectant 40% des entreprises dans le monde, suivie de « Command Injection Over HTTP » avec un impact de 38%. « MVPower CCTV DVR Remote Code Execution » reste à la troisième place des vulnérabilités les plus exploitées, avec un impact global de 35%.

↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la ’ machine de la victime.

2. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible.

3. ↑ MVPower CCTV DVR Remote Code Execution (CVE-2016-20016) - une vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower CCTV DVR. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.

Top des malwares mobiles dans le monde

Le mois dernier, Anubis est arrivé en tête du classement des malwares mobiles les plus répandus, suivi d’AhMyth et de SpinOk.

Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
AhMyth - AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Lorsqu’un utilisateur installe l’une de ces applications infectées, le malware peut collecter des informations sensibles sur l’appareil et exécuter des actions telles que l’enregistrement de touches, la collecte de captures d’écran, l’envoi de SMS et l’activation de la caméra, qui sont généralement utilisées pour voler des informations sensibles.
SpinOk - SpinOk est un module logiciel Android qui fonctionne comme un spyware. Il collecte des informations sur les fichiers stockés sur les appareils et est capable de les transférer à des acteurs de menaces malveillants. Le module malveillant a été détecté et présent dans plus de 100 applications Android et téléchargé plus de 421 000 000 fois jusqu’en mai 2023.

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. Ces informations sont enrichies par des moteurs basés sur l’IA et des données de recherche exclusives de Check Point Research, l’organe de renseignement et de recherche de Check Point Software Technologies.