Classement Top Malware Check Point – Novembre 2023 : découverte de AsyncRAT, un cheval de Troie enregistreur de frappe et voleur de mot de passe

Les chercheurs Check Point ont signalé une nouvelle campagne AsyncRAT qui utilise des fichiers HTML malveillants pour diffuser le malware furtif éponyme. Dans le même temps, le téléchargeur FakeUpdates est passé directement à la deuxième place après être sorti du classement des principaux malwares mondiaux pendant deux mois.

Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de solutions de cybersécurité dans le monde a publié son classement de la menace mondial du mois de novembre 2023. Sur cette période, des chercheurs ont découvert une nouvelle campagne AsyncRAT dans laquelle des fichiers HTML malveillants étaient utilisés pour diffuser le malware clandestin du même nom. Le téléchargeur de JavaScript FakeUpdates s’est quant à lui hissé à la deuxième place après deux mois d’absence dans le classement et l’éducation est restée le secteur le plus touché au niveau mondial.

AsyncRAT est un cheval de Troie d’accès à distance (RAT) connu pour sa capacité à surveiller et à contrôler à distance des systèmes informatiques sans être détecté. Le malware, qui figurait à la sixième place du top 10 du mois dernier, fait appel à divers formats de fichiers tels que PowerShell et BAT pour effectuer des injections de processus. Dans la campagne de novembre, les destinataires ont reçu un e-mail avec un lien intégré. Cliquer sur le lien déclenchait le téléchargement d’un fichier HTML malveillant, qui provoquait ensuite une séquence d’événements permettant au malware de se faire passer pour une application de confiance lui évitant ainsi d’être détecté.

Entre-temps, le téléchargeur FakeUpdates a réintégré la liste des principaux malwares après une pause de deux mois. Écrit en JavaScript, le cadre de distribution du malware déploie des sites internet compromis pour inciter les utilisateurs à effectuer de fausses mises à jour de leur navigateur. Il a provoqué d’autres compromissions par le biais de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.

« Les cybermenaces du mois de novembre montrent comment les acteurs de la menace utilisent des méthodes en apparence sans danger pour s’infiltrer dans les réseaux. Le succès de la campagne AsyncRAT et la résurgence des FakeUpdates illustrent une tendance où les cybercriminels jouent la carte de la tromperie et de la simplicité pour contourner les défenses traditionnelles. Selon Maya Horowitz, vice-présidente de la recherche chez Check Point Software, « les entreprises doivent donc adopter une approche de sécurité à plusieurs niveaux qui ne se contente pas de détecter les menaces connues, mais qui soit capable d’identifier, de prévenir et de répondre aux nouveaux vecteurs d’attaque avant qu’ils ne causent des dégâts. »

L’équipe CPR (Check Point Research) a également révélé que « Command Injection Over HTTP » était la vulnérabilité la plus exploitée, impactant 45% des organisations au niveau mondial, suivie par « Web Servers Malicious URL Directory Traversal » avec 42%. « Zyxel ZyWALL Command Injection (CVE-2023-28771) » arrive en troisième place avec un impact global de 41%.

Le top des familles de logiciels malveillants dans le monde

* Les flèches indiquent le changement de position par rapport au mois précédent.

Formbook était le malware le plus répandu le mois dernier avec un impact de 3% sur les entreprises du monde entier, suivi par FakeUpdates avec un impact global de 2%, et Remcos avec un impact global de 1%.

1. ↔ Formbook – Formbook est un Infostealer ciblant le système d’exploitation Windows OS et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) sur les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
2. ↑ Fakeupdates– Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
3. ↔ Remcos– Remcos est un RAT qui est apparu pour la première fois dans la nature en 2016. Remcos se propage via des documents Microsoft Office malveillants qui sont joints à des e-mails de SPAM, et est conçu pour contourner la sécurité UAC de Microsoft Windows et exécuter des malware avec des privilèges de haut niveau.

Le top des familles de logiciels malveillants en France

* Les flèches indiquent le changement de position par rapport au mois précédent.

Formbook était le malware le plus répandu en octobre avec un impact en France de 1,40% sur les entreprises, suivi par Emotet avec un impact de 1,10%, et Remcos avec un impact global de 0,90%.

1. ↔ Formbook – Formbook est un Infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses excellentes techniques d’évasion et son prix relativement bas. FormBook récolte les informations d’identification de divers navigateurs Web, collecte les captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
2. ↑ Fakeupdates– Fakeupdates (AKA SocGholish) est un téléchargeur écrit en JavaScript. Il écrit les charges utiles sur le disque avant de les lancer. Fakeupdates a permis de compromettre de nombreux autres malwares, parmi lesquels GootLoader, Dridex, NetSupport, DoppelPaymer et AZORult.
3. ↑ AgentTesla  – AgentTesla est un RAT (cheval de Troie d’accès à distance) avancé qui fonctionne comme un enregistreur de frappe et un voleur de mot de passe. Actif depuis 2014, AgentTesla peut surveiller et collecter les saisies clavier et le presse-papiers de la victime, enregistrer des captures d’écran et exfiltrer les informations d’identification saisies pour divers logiciels installés sur la machine de la victime (notamment Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook). AgentTesla est ouvertement vendu comme un RAT légitime, les clients payant entre 15 et 69 dollars pour les licences d’utilisation.

Les secteurs les plus attaqués dans le monde

En novembre, le secteur de l’éducation / recherche est resté le plus attaqué au niveau mondial, suivi par les secteurs des communications et des services publics/militaires.

1. Éducation/Recherche
2. Communications
3. Services publics/militaire

Les secteurs les plus attaqués en France

En novembre, le secteur de l’édition de logiciels revient en tête des industries les plus attaquées, suivi par le secteur des communications, qui ne bouge pas, puis par celui des loisirs/ hôtellerie restauration reculant de la première à la troisième place.

1. Éditeurs de logiciels
2. Communications
3. Loisirs et hôtellerie/restauration

A titre de comparaison, les secteurs les plus attaqués en Europe étaient :

1. Services publics/militaire
2. Santé
3. Éducation/Recherche

Principales vulnérabilités exploitées

Le mois dernier, « Command Injection Over HTTP » était la vulnérabilité la plus exploitée, impactant 45% des organisations dans le monde, suivie par « Web Servers Malicious URL Directory Traversal » avec 42% des organisations dans le monde. « Zyxel ZyWALL Command Injection (CVE-2023-28771) » occupe la troisième place avec un impact global de 41%.

1. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Une vulnérabilité d’injection de commande sur HTTP a été signalée. Un attaquant à distance peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie devrait permettre à un attaquant d’exécuter un code arbitraire sur la machine cible.
2. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
3. ↓ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Une vulnérabilité d’injection de commande existe dans Zyxel ZyWALL. L’exploitation réussie de cette vulnérabilité pourrait permettre un attaquant distant d’exécuter un code arbitraire sur le système affecté.

Top des malwares mobiles dans le monde

Le mois dernier, Anubis est arrivé en tête du classement des malwares mobiles les plus répandus, suivi d’AhMyth et de SpinOk.

1. Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
2. AhMyth – AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Quand un utilisateur installe l’une de ces applications compromises, le logiciel malveillant est capable de recueillir des données sensibles à partir de l’appareil et d’effectuer diverses actions telles que la capture de frappes, la collecte de captures d’écran, l’envoi de messages SMS et l’activation de la caméra. Ces actions sont habituellement entreprises dans le but de voler des informations sensibles.
3. SpinOk – SpinOk est un module logiciel Android qui fonctionne comme un spyware. Il collecte des informations sur les fichiers stockés sur les appareils et est capable de les transférer à des acteurs de menaces malveillants. Le module malveillant a été détecté et présent dans plus de 100 applications Android et téléchargé plus de 421 000 000 fois jusqu’au 2023 mai.

Le Global Threat Impact Index de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’intelligence est enrichie par des moteurs basés sur l’IA et des données de recherche exclusives de Check Point Research, l’organe de renseignement et de recherche de Check Point Software Technologies.

La liste complète des 10 principales familles de malwares en novembre est disponible sur le blog de Checkpoint.