Les chercheurs de Check Point constatent que Dridex a été mis à jour et diffusé via de multiples campagnes de spam pour fournir des ransomwares ciblés, ce qui augmente le risque du cheval de Troie établi de longue date
Notre dernier Global Threat Index pour mars 2020 montre que le cheval de Troie bancaire bien connu Dridex, qui est apparu pour la première fois en 2011, est entré dans le top 10 des malwares pour la première fois, en tant que troisième malware le plus répandu en mars. Dridex a été mis à jour et est maintenant utilisé dans les premiers stades d’attaque pour télécharger des ransomwares ciblés, tels que BitPaymer et DoppelPaymer.
La forte augmentation de l’utilisation de Dridex a été motivée par plusieurs campagnes de spam contenant un fichier Excel malveillant qui télécharge le malware Dridex dans l’ordinateur de la victime. Cette recrudescence du malware Dridex souligne à quel point les cybercriminels changent rapidement les thèmes de leurs attaques pour tenter de maximiser les taux d’infection.
Dridex est une souche sophistiquée de malware bancaire qui cible la plateforme Windows, diffusant des campagnes de spam pour infecter les ordinateurs et voler les identifiants bancaires et autres informations personnelles afin de faciliter les transferts d’argent frauduleux. Ce malware a été systématiquement mis à jour et développé au cours de la dernière décennie. XMRig reste à la 1ère place de l’Index des principales familles de logiciels malveillants, impactant 5% des organisations dans le monde, suivi par Jsecoin et Dridex qui ont impacté respectivement 4% et 3% des organisations dans le monde.
Dridex peut être très lucratif pour les criminels étant donné sa sophistication, et est maintenant utilisé comme un téléchargeur de ransomware, ce qui le rend encore plus dangereux que les variantes précédentes. Les particuliers doivent se méfier des courriels contenant des pièces jointes, même s’ils semblent provenir d’une source fiable, surtout avec l’explosion du travail à domicile au cours des dernières semaines. Les organisations doivent éduquer leurs employés sur la façon d’identifier les spams malveillants, et déployer des mesures de sécurité qui aident à protéger leurs équipes et leurs réseaux contre de telles menaces.
Le rapport de mars prévient également que « l’exécution de code à distance de MVPower DVR » est restée la vulnérabilité exploitée la plus courante, impactant 30 % des organisations dans le monde, suivie de près par « l’exécution de code de paramètre de chaîne de requête PHP php-cgi » avec un impact mondial de 29 %, puis par « la divulgation d’informations OpenSSL TLS DTLS Heartbeat » impactant 27 % des organisations dans le monde.
Principales familles de malwares
*Les flèches concernent le changement de classement par rapport au mois précédent.
Ce mois-ci, XMRig reste en 1ère position, impactant 5% des organisations dans le monde, suivi de Jsecoin et Dridex impactant respectivement 4% et 3% des organisations dans le monde.
- ↔ XMRig – XMRig est un logiciel de minage de CPU open-source utilisé pour le processus de minage de la cryptocurrency Monero, vu pour la première fois dans la nature en mai 2017.
- Jsecoin – Jsecoin est un cryptomineur basé sur le web, conçu pour effectuer le minage en ligne de la cryptocurrency Monero lorsqu’un utilisateur visite une page web particulière. Le JavaScript implanté utilise une grande partie des ressources informatiques de l’utilisateur final pour miner des pièces de monnaie, ce qui a un impact sur les performances du système.
- Dridex – Dridex est un cheval de Troie bancaire qui cible la plateforme Windows, et est diffusé par des campagnes de spam et des kits d’exploitation, qui s’appuient sur WebInjects pour intercepter et rediriger les informations d’identification bancaires vers un serveur contrôlé par l’attaquant. Dridex contacte un serveur distant, envoie des informations sur le système infecté et peut également télécharger et exécuter des modules supplémentaires pour le contrôle à distance.
- ↔ Trickbot – Trickbot est un cheval de Troie bancaire dominant constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Cela permet à Trickbot d’être un malware flexible et personnalisable qui peut être distribué dans le cadre de campagnes à buts multiples.
- ↓ Emotet – Emotet est un cheval de Troie avancé, auto-propagateur et modulaire. Emotet était autrefois employé comme cheval de Troie bancaire, et est récemment utilisé comme distributeur d’autres logiciels malveillants ou de campagnes malveillantes. Il utilise de multiples méthodes pour maintenir sa persistance et des techniques d’évasion pour éviter la détection. En outre, il peut être diffusé par le biais d’e-mails de spam de phishing contenant des logiciels malveillants.
- ↔ Agent Tesla – Agent Tesla est un RAT avancé, fonctionnant comme un enregistreur de frappe et un voleur de mots de passe. Agent Tesla est capable de surveiller et de collecter les entrées clavier de la victime, le presse-papiers du système, de prendre des captures d’écran et d’exfiltrer
les informations d’identification d’une variété de logiciels installés sur la machine de la victime (notamment Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook). - Formbook – Formbook est un Info Stealer qui récolte des informations d’identification à partir de divers navigateurs Web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon ses ordres C&C.
- ↓ Lokibot – Lokibot est un Info Stealer distribué principalement par des emails de phishing et est utilisé pour voler diverses données telles que les identifiants de messagerie, ainsi que les mots de passe des portefeuilles CryptoCoin et des serveurs FTP.
- ↓ Ramnit – Ramnit est un cheval de Troie bancaire qui vole les informations d’identification bancaires, les mots de passe FTP, les cookies de session et les données personnelles.
- RigEK- RigEK délivre des exploits pour Flash, Java, Silverlight et Internet Explorer. La chaîne d’infection commence par une redirection vers une page de destination qui contient du JavaScript qui vérifie les plug-ins vulnérables et délivre l’exploit.
Top vulnérabilités exploitées
Ce mois-ci, la « MVPower DVR Remote Code Execution » reste la vulnérabilité exploitée la plus courante, impactant 30% des organisations dans le monde, suivie de près par « PHP php-cgi Query String Parameter Code Execution » avec un impact global de 29%. En 3ème position, « OpenSSL TLS DTLS Heartbeat Information Disclosure » a un impact sur 27% des organisations dans le monde.
- ↔ MVPower DVR Remote Code Execution – Une vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête trafiquée.
- PHP php-cgi Query String Parameter Code Execution – Une vulnérabilité d’exécution de code à distance qui a été signalée dans PHP. La vulnérabilité est due à l’analyse et au filtrage incorrects des chaînes de requête par PHP. Un attaquant distant peut exploiter ce problème en envoyant des requêtes HTTP modifiées. Une exploitation réussie permet à un attaquant d’exécuter du code arbitraire sur la cible.
- ↓ Divulgation d’informations OpenSSL TLS DTLS Heartbeat (CVE-2014-0160 ; CVE-2014-0346) – Une vulnérabilité de divulgation d’informations qui existe dans OpenSSL. La vulnérabilité est due à une erreur lors du traitement des paquets TLS/DTLS heartbeat. Un attaquant peut tirer parti de cette vulnérabilité pour divulguer le contenu de la mémoire d’un client ou d’un serveur connecté.
- Serveur Web exposé Divulgation d’informations dans Git Repository – Une vulnérabilité de divulgation d’informations a été signalée dans Git Repository. L’exploitation réussie de cette vulnérabilité pourrait permettre une divulgation involontaire d’informations de compte.
- ↓ Contournement d’authentification du routeur GPON de Dasan (CVE-2018-10561) – Une vulnérabilité de contournement d’authentification existe dans les routeurs GPON de Dasan. L’exploitation réussie de cette vulnérabilité permettrait aux attaquants distants d’obtenir des informations sensibles et d’obtenir un accès non autorisé au système affecté.
- Exécution de code à distance du routeur Huawei HG532 – Une vulnérabilité d’exécution de code à distance existe dans les routeurs Huawei HG532. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête élaborée.
- Exécution de commande à distance D-Link DSL-2750B – Une vulnérabilité de contournement d’authentification existe dans le plugin portable-phpMyAdmin de WordPress. Une exploitation réussie de cette vulnérabilité permettrait à des attaquants distants d’obtenir des informations sensibles et d’obtenir un accès non autorisé au système affecté.
- ↓PHP DIESCAN divulgation d’informations – Une vulnérabilité de divulgation d’informations qui a été signalée dans les pages PHP. Une exploitation réussie pourrait conduire à la divulgation d’informations sensibles du serveur.
- ↓SQL Injection (plusieurs techniques) – Insertion d’une injection de requête SQL dans les entrées du client vers l’application, tout en exploitant une vulnérabilité de sécurité dans le logiciel d’une application.
- OpenSSL Padding Oracle Information Disclosure – Une vulnérabilité de divulgation d’informations existe dans l’implémentation AES-NI d’OpenSSL. La vulnérabilité est due à une erreur d’allocation de mémoire lors d’une certaine vérification du padding. Un attaquant distant peut exploiter cette vulnérabilité pour obtenir des informations sensibles en clair via une attaque de type padding-oracle contre une session AES CBC.
Top des familles de malwares – Mobile
Ce mois-ci, xHelper a conservé la 1ère place des malwares mobiles les plus répandus, suivi par AndroidBauts et Lotoor.
- xHelper – Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher de la publicité. L’application peut se cacher de l’utilisateur et se réinstaller en cas de désinstallation.
- AndroidBauts – Adware ciblant les utilisateurs d’Android qui exfiltre l’IMEI, l’IMSI, la localisation GPS et d’autres informations sur les appareils et permet l’installation d’applications et de raccourcis tiers sur les appareils mobiles.
- Lotoor – Un outil de piratage qui exploite les vulnérabilités des systèmes d’exploitation Android pour obtenir des privilèges root sur les appareils mobiles compromis.