Classement Top malware Check Point février 2024 : Découverte d’une nouvelle campagne de FakeUpdates ciblant les sites internet WordPress

 Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de solutions de cybersécurité dans le monde a publié son classement de la menace mondial a publié son Classement mondial de la menace pour le mois de février 2024. Le mois dernier, des chercheurs ont découvert une nouvelle campagne de FakeUpdates qui avait pour objectif de compromettre des sites internet WordPress.

• Les chercheurs ont découvert une nouvelle campagne de FakeUpdates, également connu sous le nom de SocGolish, qui cible et compromet les sites internet WordPress en piratant les comptes administrateur.
• Parallèlement, Play est entré dans le top trois des groupes de ransomware les plus recherchés.
• Le secteur de l’éducation reste le secteur le plus attaqué dans le monde.

Tribune CheckPoint – Ces sites ont été infectés par le biais de comptes administrateurs wp-admin piratés. Le malware a adapté ses tactiques pour infiltrer les sites internet à l’aide d’éditions modifiées de plugins WordPress authentiques et pour inciter les internautes à télécharger un cheval de Troie d’accès à distance. Même après avoir été démantelé à la fin du mois de février, Lockbit3 est resté le groupe de ransomwares le plus couramment utilisé, responsable de 20 % des attaques. L’éducation quant à elle est restée le secteur d’activité le plus touché au niveau mondial. 

FakeUpdates, également connu sous le nom de SocGholish, et actif depuis au moins 2017, utilise un malware JavaScript pour cibler les sites internet, notamment ceux dotés d’un système de gestion de contenu. Souvent classé comme le malware le plus répandu dans l’index des menaces (Threat Index) de Check Point, le malware FakeUpdates vise à inciter les utilisateurs à télécharger des logiciels malveillants. Malgré les efforts déployés pour le stopper, il reste une menace importante pour la sécurité des sites internet et les données des utilisateurs. Cette variante sophistiquée de malware est déjà associée au groupe cybercriminel russe connu sous le nom d’Evil Corp. Compte tenu de son fonctionnement de téléchargeur, on pense que le groupe monétise le malware en vendant l’accès aux systèmes qu’il infecte, entraînant ainsi d’autres infections de malwares si le groupe fournit l’accès à plusieurs clients.

« Les sites internet sont es vitrines numériques de nombreuses activités, ils sont indispensables à la communication, au commerce et à la connexion », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Pour les protéger des cybermenaces, sauvegarder le code ne suffit pas. Nous devons protéger notre présence en ligne et les fonctions essentielles de notre société interconnectée. Si les cybercriminels décident de les exploiter pour diffuser des malwares en toute discrétion, la génération de revenus futurs et la réputation d’une entreprise pourraient s’en trouver affectées. Il est donc vital de mettre en place des mesures préventives et d’adopter une culture de tolérance zéro pour garantir une protection absolue contre les menaces. »

Le Threat Index de Check Point contient également des informations sur quelque 200 « sites de la honte » gérés par des groupes de ransomware à double extorsion. D’ailleurs, 68 d’entre eux ont publié cette année des informations sur les victimes pour faire pression sur les cibles qui se refusaient à payer. Lockbit3 a de nouveau pris la tête du classement le mois dernier, puisqu’il est à l’origine de 20 % des incidents signalées, suivi de Play (8 %) et de 8base (7 %). Play, qui entre dans le trio de tête pour la première fois, a revendiqué la responsabilité d’une récente cyberattaque contre la ville d’Oakland.

Le mois dernier, la vulnérabilité la plus exploitée était « Web Servers Malicious URL Directory Traversal », qui a touché 51 % des entreprises dans le monde, suivie par « Command Injection Over http » et « Zyxel ZyWALL Command Injection », avec 50 % respectivement.

Top des familles de logiciels malveillants dans le monde

* Les flèches indiquent le changement de position par rapport au mois précédent.

FakeUpdates était le malware le plus répandu le mois dernier dans le monde avec un impact de 5% sur les entreprises du monde entier, suivi par Qbot avec un impact global de 3%, et Formbook avec un impact global de 2%.

1. ↔ Fakeupdates– Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
2. ↔ Qbot – Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer d’autres malwares. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection. Apparu en 2022, il s’est imposé comme l’un des chevaux de Troie les plus répandus.
3. ↔ Formbook – Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.

Top des familles de logiciels malveillants en France

1. ↑  Fakeupdates – Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
2. ↑ Jorik est un programme malveillant de type backdoor qui cible la plateforme Windows. Ce programme malveillant est conçu pour permettre à des utilisateurs malveillants de prendre le contrôle à distance d’un ordinateur infecté.
3. ↓ Qbot – Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants des utilisateurs, enregistrer les frappes au clavier, voler les cookies des navigateurs, espionner les activités bancaires et déployer d’autres malwares. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection. Apparu en 2022, il s’est imposé comme l’un des chevaux de Troie les plus répandus.

Principales vulnérabilités exploitées 

Le mois dernier, la vulnérabilité « Web Servers Malicious URL Directory Traversal » a été la plus exploitée, avec une incidence sur 51 % des entreprises dans le monde, suivie par « Command Injection Over http » et « Zyxel ZyWALL Command Injection », avec un impact mondial de 50 % respectivement.

1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)  – Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
2. ↓ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible. 
3. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Une vulnérabilité d’injection de commande existe dans Zyxel ZyWALL. L’exploitation réussie de cette vulnérabilité pourrait permettre un attaquant distant d’exécuter un code arbitraire sur le système affecté.

Top des malwares mobiles

Le mois dernier, Anubis est arrivé en tête du classement des malwares mobiles les plus répandus, suivi d’AhMyth et de Hiddad.

1. Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
2. AhMyth – AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Quand un utilisateur installe l’une de ces applications compromises, le logiciel malveillant est capable de recueillir des données sensibles à partir de l’appareil et d’effectuer diverses actions telles que la capture de frappes, la collecte de captures d’écran, l’envoi de messages SMS et l’activation de la caméra. Ces actions sont habituellement entreprises dans le but de voler des informations sensibles.
3. Hiddad – Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.

Les secteurs d’activités les plus attaqués dans le monde

Le mois dernier, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/militaire et celui des soins de santé.

1. Éducation/Recherche
2. Services publics/militaire
3. Santé

Les secteurs d’activités les plus attaqués en France

Principaux groupes de ransomwares
Cette rubrique présente des informations tirées de près de 200 « sites de la honte » de ransomwares exploités par des groupes de ransomwares à double extorsion. Les cybercriminels ont recours à ces sites pour faire pression sur les victimes qui ne paient pas tout de suite la rançon. Les données de ces sites de la honte véhiculent leurs propres biais, mais apportent tout de même des informations précieuses sur l’écosystème des ransomwares qui représentent actuellement la principale menace pour les entreprises.

C’est LockBit3 qui a été le groupe de ransomware le plus répandu le mois dernier. Il est à l’origine de 20 % des attaques publiées, suivi de Play avec 8 % et de 8base avec 7 %.

1. LockBit3 – LockBit3 est un ransomware qui fonctionne dans un modèle RaaS et a été signalé pour la première fois en septembre 2019. LockBit cible les grandes entreprises et les organismes gouvernementaux de divers pays mais ne vise pas les particuliers en Russie ni dans la Communauté des États Indépendants.
2. Play – Play est le nom d’un programme de type ransomware. Les malwares catégorisés comme tels opèrent en chiffrant les données et exigent des rançons pour le déchiffrement.
3. 8base – Le groupe de menace 8Base est un gang de ransomware actif depuis au moins mars 2022. Il a acquis une notoriété importante au milieu de l’année 2023 en raison d’une augmentation sensible de ses activités. Ce groupe utilise diverses variantes de ransomware, parmi lesquelles Phobos est une caractéristique commune. 8Base fonctionne avec un niveau de sophistication, démontré par l’application de techniques avancées dans ses logiciels de rançon. Les méthodes du groupe comprennent notamment une double tactique d’extorsion.

La liste complète des dix premières familles de malwares du mois de février est disponible sur le site du blog de Check Point.