Classement Top Malware Check Point - Octobre 2024
novembre 2024 par Check Point Research (CPR)
Check Point® Software Technologies Ltd. publie l’édition d’octobre de son classement Top Malware. Il en ressort une tendance inquiétante qui se dessine dans le paysage de la cybersécurité : la recrudescence des infostealers et la sophistication des modes d’attaque des cybercriminels.
Le mois dernier, des chercheurs ont découvert une chaîne d’infection. De fausses pages CAPTCHA servaient à distribuer le malware Lumma Stealer, qui se hisse à la 4e place du classement mensuel des principaux malwares. Cette campagne se démarque par son envergure mondiale, puisqu’elle frappe plusieurs pays via deux vecteurs d’infection principaux. Le premier utilise des URL de téléchargement de jeux piratés. Quant au second, ce sont des e-mails de phishing qui ciblent les utilisateurs de GitHub. Le processus d’infection incite les victimes à exécuter un script malveillant inséré dans leur presse-papiers. C’est bien là la preuve de la recrudescence des infostealers, outil désormais privilégié des cybercriminels pour exfiltrer les identifiants et les données sensibles des systèmes compromis.
Dans la sphère des malwares mobiles, la nouvelle version de Necro s’est imposée comme une menace majeure en se classant au 2e rang des malwares mobiles. Necro a infecté plusieurs applications très populaires, et notamment des mods de jeux disponibles sur Google Play, soit une audience cumulée de plus de 11 millions d’appareils Android. Le logiciel malveillant s’appuie sur des techniques d’obscurcissement pour contourner les mécanismes de détection et sur la stéganographie, une méthode qui consiste à dissimuler des informations au sein d’un autre message ou objet pour masquer ses charges utiles. Une fois activé, il ouvre des fenêtres publicitaires invisibles, communique avec elles et peut même abonner des victimes à des services payants.
Maya Horowitz, vice-présidente de la recherche chez Check Point Software, évoque le paysage actuel des menaces en ces termes : « La prolifération des infostealers complexes révèle une réalité particulièrement alarmante. Les cybercriminels adaptent constamment leurs méthodes et exploitent désormais de nouveaux vecteurs d’attaque. Pour lutter efficacement contre ces menaces récurrentes, les entreprises doivent aller au-delà des approches de défense classique et mettre en place des stratégies de sécurité proactives et évolutives capables d’anticiper les nouvelles menaces ».
Top des familles de logiciels malveillants
* Les flèches indiquent le changement de position par rapport au mois précédent.
FakeUpdates était le malware le plus répandu le mois dernier avec un impact de 6 % sur les entreprises du monde entier, suivi par Androxgh0st avec un impact global de 5 % , et AgentTesla avec un impact global de 4 %.
↔ Fakeupdates– Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
↔ Androxgh0st - Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.
↑ Agent Tesla– Agent Tesla est un RAT avancé fonctionnant comme un enregistreur de frappe et un voleur d’informations, capable de surveiller et de collecter les saisies du clavier de la victime, le clavier du système, de faire des captures d’écran et d’exfiltrer les informations d’identification de divers logiciels installés sur la machine de la victime (comme Google Chrome, Mozilla Firefox et le client e-mail Microsoft Outlook).
↑ Lumma Stealer - Lumma Stealer, également appelé LummaC2, est un malware infostealer lié à la Russie qui fonctionne comme une plateforme de Malware-as-a-Service (MaaS) depuis 2022. Découvert à la mi-2022, l’évolution de ce malware est continue. Il est activement distribué sur des forums de langue russe. C’est un infostealer classique. LummaC2 vise essentiellement les données des systèmes infectés, dont les identifiants des navigateurs et les informations concernant les comptes de crypto-monnaies.
↓ Formbook - Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
↑ NJRat – NJRat est un cheval de Troie d’accès à distance qui vise principalement les administrations et les entreprises du Moyen-Orient. Le cheval de Troie est apparu pour la première fois en 2012 et possède des fonctionnalités multiples : capturer les frappes au clavier, accéder à la caméra de la victime, voler les identifiants stockés dans les navigateurs, charger et télécharger des fichiers, procéder à des manipulations de processus et de fichiers, et afficher le bureau de la victime. NJRat infecte les victimes via des attaques de phishing et téléchargements « drive-by », et se propage par des clés USB infectées ou des lecteurs en réseau, avec le soutien du logiciel serveur Command & Control.
↑ AsyncRat - Asyncrat est un cheval de Troie qui cible la plate-forme Windows. Ce malware envoie des informations concernant le système ciblé à un serveur distant. Il reçoit des instructions du serveur pour télécharger et exécuter des plugins, éliminer des processus, se désinstaller/se mettre à jour et faire des captures d’écran du système infecté.
↑ Remcos - Remcos est un RAT qui est apparu pour la première fois dans la nature en 2016. Remcos se propage via des documents Microsoft Office malveillants, joints à des e-mails de SPAM, et est conçu pour contourner la sécurité UAC de Microsoft Windows et exécuter des malwares avec des privilèges de haut niveau.
↔ Glupteba - Connu depuis 2011, Glupteba est un backdoor qui a progressivement mûri pour devenir un botnet. En 2019, il comprenait un mécanisme de mise à jour des adresses C&C qui passait par des listes publiques de BitCoin, une capacité de voler intégralement un navigateur et un exploitant de routeur.
↓ Vidar - Vidar est un malware infostealer qui fonctionne comme un malware-as-a-service et qui a été découvert pour la première fois dans la nature à la fin de l’année 2018. Ce malware s’exécute sous Windows et est capable de récupérer toute une série de données sensibles depuis les navigateurs et les portefeuilles numériques. Plus encore, le malware sert de téléchargeur pour les ransomwares.
Top des familles de logiciels malveillants pour la France
↔ Fakeupdates– Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
↔ Androxgh0st - Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.
↔ Glupteba - Connu depuis 2011, Glupteba est un backdoor qui a progressivement mûri pour devenir un botnet. En 2019, il comprenait un mécanisme de mise à jour des adresses C&C qui passait par des listes publiques de BitCoin, une capacité de voler intégralement un navigateur et un exploitant de routeur.
Top des vulnérabilités les plus exploitées
↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Différents serveurs web présentent une vulnérabilité de traversée de répertoire. Cette vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
↓ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible.
↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) - Une vulnérabilité d’injection de commande existe dans Zyxel ZyWALL. L’exploitation réussie de cette vulnérabilité pourrait permettre un attaquant distant d’exécuter un code arbitraire sur le système affecté.
Top des malwares mobiles
En octobre, Joker est arrivé à la première place du classement des malwares mobiles les plus courants, suivi de Necro et d’Anubis.
↔ Joker - Un logiciel espion Android dans Google Play, conçu pour voler des messages SMS, des listes de contacts et des informations sur les appareils. Le malware inscrit aussi discrètement la victime à des services premium sur des sites internet publicitaires.
↑ Necro - Necro est un cheval de Troie Android. Il est capable de télécharger d’autres malwares, d’afficher des publicités intempestives et de voler de l’argent en prélevant des abonnements payants.
↓ Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
Top des industries les plus attaquées dans le monde
En octobre, le secteur de la recherche et de l’éducation reste la première des industries les plus attaquées dans le monde, suivi par le secteur du gouvernement/militaire et celui des communications.
Éducation/Recherche
Services publics/militaire
Communications
Top des groupes de ransomware
Les données proviennent des observations des « sites de la honte » gérés par des groupes de ransomwares à double extorsion qui publient des informations sur leurs victimes. RansomHub est le groupe de ransomware le plus répandu en octobre. Il est responsable de 17 % des attaques enregistrées et est suivi de Play avec 10 % et de Meow avec 5 %.
1. RansomHub - RansomHub est une opération de Ransomware-as-a-Service (RaaS) qui a émergée sous la forme d’une version relookée du ransomware initialement connu sous le nom de Knight. Apparu au début de l’année 2024 sur des forums clandestins de cybercriminalité, RansomHub s’est rapidement fait connaître grâce à ses campagnes agressives contre divers systèmes, notamment Windows, macOS, Linux et, plus particulièrement, les environnements VMware ESXi. Ce malware est réputé pour recourir à des méthodes de chiffrement sophistiquées.
Play - Play Ransomware, également appelé PlayCrypt, est un groupe de ransomwares apparu pour la première fois en juin 2022. Ce ransomware a ciblé un large éventail d’entreprises et d’infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe, affectant environ 300 entités avant octobre 2023. Le ransomware Play accède généralement aux réseaux via des comptes actifs compromis ou en exploitant des vulnérabilités non corrigées, comme celles des VPN SSL de Fortinet. Une fois à l’intérieur, il a recours à des techniques telles que l’utilisation de binaires hors sol (LOLBins) pour des tâches comme l’exfiltration de données et le vol d’identifiants
Meow - le ransomware Meow est une variante dérivée du ransomware Conti, réputé pour chiffrer un nombre important de fichiers sur les systèmes compromis et y apposer l’extension " .MEOW ". Il laisse une note de rançon intitulée « readme.txt », demandant aux victimes de contacter les attaquants par e-mail ou Telegram pour négocier le paiement de la rançon. Le ransomware Meow se propage via différents vecteurs, parmi lesquels des configurations RDP non protégées, des e-mails malveillants et des téléchargements malveillants, et utilise l’algorithme de chiffrement ChaCha20 pour chiffrer les fichiers, hormis les fichiers « .exe » et les fichiers texte.