Classement Top Malware Check Point - septembre 2024 : De nouvelles techniques basées sur l’IA
octobre 2024 par Check Point®
Check Point® Software Technologies Ltd. a publié son ’Global Threat Index’, son classement mondial mensuel des menaces pour septembre 2024. Selon le rapport, l’émergence de malwares automatisés par l’IA semble marquer un tournant dans le domaine de la cybersécurité. Il met également en avant la persistance des menaces de type ransomware.
En septembre, les chercheurs ont découvert que les acteurs de la menace se sont probablement servis de l’IA pour développer un script qui distribue le malware AsyncRAT lequel figure désormais parmi les 10 malwares les plus répandus. Le mode opératoire utilisé repose sur une technique de contrebande de fichiers HTML. Un fichier ZIP, protégé par un mot de passe, est envoyé à la victime. Ce fichier contient un script VBScript malveillant, conçu pour lancer une chaîne d’infection sur l’appareil cible. La bonne structure du code et le fait qu’il soit accompagné de commentaires laissent supposer l’intervention d’une intelligence artificielle. Une fois entièrement exécuté, AsyncRAT est installé et permet à l’attaquant d’enregistrer les frappes au clavier, de contrôler à distance l’appareil infecté et de déployer d’autres malwares. Les auteurs de cette découverte pointent une tendance en forte augmentation : les cybercriminels dont les compétences techniques sont limitées se tournent vers l’IA pour créer des malwares plus facilement.
Maya Horowitz, vice-présidente de la recherche chez Check Point Software, explique cette tendance en précisant que : « Le fait que les cybercriminels intègrent l’IA générative dans leurs infrastructures d’attaque montre à quel point les tactiques de cyberattaques continuent d’évoluer rapidement. Ils utilisent de plus en plus les technologies à leur disposition pour améliorer l’efficacité de leurs attaques. Face à cette évolution, les entreprises doivent absolument réagir et adopter des stratégies de sécurité proactives. Cela signifie l’intégration de méthodes de prévention avancée et une formation exhaustive des équipes pour mieux identifier et neutraliser les menaces. »
En septembre, Joker reste le malware mobile le plus répandu. RansomHub, quant à lui garde sa place de groupe principal de ransomwares. Les deux conservent leur position par rapport au mois précédent. Ces résultats montrent à quel point ces entités malveillantes restent des menaces persistantes dans un paysage de la cybersécurité en constante évolution.
Top des familles de logiciels malveillants
* Les flèches indiquent le changement de position par rapport au mois précédent.
FakeUpdates était le malware le plus répandu en septembre avec un impact de 7% sur les entreprises du monde entier, suivi par Androxgh0st avec un impact global de 6% et Formbook avec un impact global de 4%.
↔ Fakeupdates – Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
↔ Androxgh0st - Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.
↑ Formbook - Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
↔ Qbot - Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer d’autres malwares. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection. Apparu en 2022, il s’est imposé comme l’un des chevaux de Troie les plus répandus.
↔ Agent Tesla– Agent Tesla est un RAT avancé fonctionnant comme un enregistreur de frappe et un voleur d’informations, capable de surveiller et de collecter les saisies du clavier de la victime, le clavier du système, de faire des captures d’écran et d’exfiltrer les informations d’identification de divers logiciels installés sur la machine de la victime (comme Google Chrome, Mozilla Firefox et le client e-mail Microsoft Outlook).
↓ Phorpiex - Phorpiex est un botnet connu pour distribuer d’autres familles de malware via des campagnes de spam et pour alimenter des campagnes de sextorsion à grande échelle.
↑ Vidar - Vidar est un malware infostealer qui fonctionne comme un malware-as-a-service et qui a été découvert pour la première fois fin 2018. Ce malware fonctionne sous Windows et peut collecter un large éventail de données sensibles depuis les navigateurs et les portefeuilles numériques Le malware est en plus utilisé comme téléchargeur pour les ransomwares.
↑ NJRat - NJRat est un cheval de Troie d’accès à distance, qui cible essentiellement les agences gouvernementales et les entreprises du Moyen-Orient. Le cheval de Troie est apparu pour la première fois en 2012 et possède des fonctionnalités multiples : capturer les frappes au clavier, accéder à la caméra de la victime, voler les identifiants stockés dans les navigateurs, charger et télécharger des fichiers, procéder à des manipulations de processus et de fichiers, et afficher le bureau de la victime. NJRat infecte les victimes par le biais d’attaques de phishing et de téléchargements " drive-by ", et se propage via des clés USB infectées ou des lecteurs en réseau, avec le soutien du logiciel serveur Command & Control.
↑ Glupteba - Connu depuis 2011, Glupteba est un backdoor qui a progressivement mûri pour devenir un botnet. En 2019, il comprenait un mécanisme de mise à jour des adresses C&C qui passait par des listes publiques de BitCoin, une capacité de voler intégralement un navigateur et un exploitant de routeur.
↑ AsyncRat - Asyncrat est un cheval de Troie qui cible la plate-forme Windows. Ce malware envoie des informations concernant le système ciblé à un serveur distant. Il reçoit des instructions du serveur pour télécharger et exécuter des plugins, éliminer des processus, se désinstaller/se mettre à jour et faire des captures d’écran du système infecté.
Top 3 des familles de logiciels malveillants en France
↑ Androxgh0st - Androxgh0st est un botnet qui cible les plateformes Windows, Mac et Linux. Pour la contamination initiale, Androxgh0st exploite de nombreuses vulnérabilités, et cible en particulier PHPUnit, Laravel Framework et le serveur Web Apache. Le malware vole des informations sensibles telles que les informations du compte Twilio, les identifiants SMTP, la clé AWS, etc. Il récupère les fichiers de Laravel pour collecter des informations sur le serveur Apache. Il présente plusieurs variantes qui recherchent des informations différentes.
↓ Fakeupdates – Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
↑ Formbook - Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
Top des vulnérabilités les plus exploitées
1. ↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) - Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible.
2. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
Top des malwares mobiles
Ce mois-ci, Joker est arrivé à la première place du classement des malwares mobiles les plus répandus, suivi d’Anubis et de Hiddad.
↔ Joker - Un logiciel espion Android dans Google Play, conçu pour voler des messages SMS, des listes de contacts et des informations sur les appareils. Le malware inscrit aussi discrètement la victime à des services premium sur des sites internet publicitaires.
↔ Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
↑ Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.
Top des industries les plus attaqués dans le monde
Le mois dernier, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/militaire et celui de la santé.
Éducation/Recherche
Gouvernement/militaire
Santé
En France
Loisirs/tourisme
Éducation/Recherche
Gouvernement/militaire
Top des groupes de ransomware
Les données proviennent des observations des « sites de la honte » gérés par des groupes de ransomwares à double extorsion, qui publient des informations sur leurs victimes. RansomHub est le groupe de ransomware le plus répandu ce mois-ci, responsable de 17 % des attaques publiées, suivi de Play avec 10 % et de Qilin avec 5 %.
RansomHub - RansomHub est une opération de Ransomware-as-a-Service (RaaS) qui a émergée sous la forme d’une version relookée du ransomware initialement connu sous le nom de Knight. Apparu au début de l’année 2024 sur des forums clandestins de cybercriminalité, RansomHub s’est rapidement fait connaître grâce à ses campagnes agressives contre divers systèmes, notamment Windows, macOS, Linux et, plus particulièrement, les environnements VMware ESXi. Ce malware est réputé pour recourir à des méthodes de chiffrement sophistiquées.
Play - Play Ransomware, également appelé PlayCrypt, est un groupe de ransomwares apparu pour la première fois en juin 2022. Ce ransomware a ciblé un large éventail d’entreprises et d’infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe, affectant environ 300 entités avant octobre 2023. Le ransomware Play accède généralement aux réseaux via des comptes actifs compromis ou en exploitant des vulnérabilités non corrigées, comme celles des VPN SSL de Fortinet. Une fois à l’intérieur, il a recours à des techniques telles que l’utilisation de binaires hors sol (LOLBins) pour des tâches comme l’exfiltration de données et le vol d’identifiants
Qilin - Qilin, également appelé Agenda, est une exploitation criminelle de ransomware-as-a-service qui collabore avec des partenaires affiliés pour chiffrer, exfiltrer les données des entreprises compromises, et demander par la suite une rançon. Cette variante de ransomware a été détectée pour la première fois en juillet 2022 et est développée en Golang. Agenda est connu pour cibler les grandes entreprises et les entreprises de grande valeur, avec un intérêt particulier pour les secteurs de la santé et de l’éducation. Qilin s’infiltre généralement auprès des victimes via des e-mails de phishing truffés de liens malveillants pour établir un accès à leurs réseaux et exfiltrer des informations sensibles. Une fois à l’intérieur, Qilin se déplace généralement latéralement dans l’infrastructure de la victime, à la recherche de données critiques à chiffrer.