Mercato du malware : SocGholish rentre dans le top 5 alors qu’Emotet s’essouffle

0
254

Proofpoint, société spécialisée en matière de cybersécurité et de conformité, publie aujourd’hui son rapport annuel The Human Factor 2023, qui analyse les risques cyber auxquels les utilisateurs sont exposés.

Tribune – Cette dernière édition dévoile un tournant dans les techniques utilisées par les cybercriminels en 2022 : SocGholish entre dans le Top 5 des malwares les plus répandus à travers le monde, alors que le malware Emotet et le groupe cybercriminel éponyme montrent des signes de ralentissement.

La raison de la montée en puissance de SocGholish ne vient pas du malware en lui-même, mais de son mode de diffusion et de la nécessité d’adaptation au paysage des menaces post-macro.

Redevenu l’acteur de menace le plus important au monde un an après que les forces de l’ordre aient mis le botnet hors ligne en janvier 2021, la présence d’Emotet a été intermittente malgré l’envoi de plus de 25 millions de messages en 2022, soit plus du double du volume envoyé par le deuxième acteur de la menace le plus important : TA569 – un groupe cybercriminel que certains analystes associent à EvilCorp mais que Proofpoint ne peut pas confirmer avec certitude.

TA569 est aussi derrière l’utilisation massive de SocGholish, déployant une nouvelle méthode de distribution impliquant des téléchargements « drive-by » et de fausses mises à jour de navigateur ; TA569 a aussi été de plus en plus en mesure d’infecter des sites web pour diffuser des logiciels malveillants. Plus besoin de cliquer sur un lien corrompu, le malware se télécharge automatiquement sans le consentement ni la connaissance de l’utilisateur. De nombreux sites hébergeant le malware SocGholish ne savent pas qu’ils l’hébergent, ce qui favorise sa diffusion.

Autres grandes tendances détaillées dans le rapport Human Factor de Proofpoint :

  • La multiplication par 5 des attaques par force brute dans le cloud, passant d’une moyenne mensuelle de 40 millions en 2022 à près de 200 millions début 2023
  • L’explosion de la menace par SMS et de la technique dite du « pig butchering » qui consiste à développer et entretenir une relation conversationnelle avec une victime pour mieux la tromper.
  • Amazon et Microsoft sont les marques les plus exploitées par les cybercriminels

« Alors que les contrôles de sécurité se sont lentement améliorés, les acteurs de la menace ont innové et étendu leurs méthodes de contournement ; autrefois du seul ressort des plus chevronnés, des techniques telles que le contournement du MFA et les attaques par téléphone, par exemple, sont aujourd’hui monnaie courante. » a déclaré Ryan Kalember, vice-président exécutif de la stratégie de cybersécurité de Proofpoint.

Vous pouvez retrouver le communiqué de presse ci-dessous et ci-joint avec plus d’informations, notamment sur :

  • L’utilisation des macros Office s’est effondrée après que Microsoft ait déployé des contrôles pour les bloquer 
  • Les acteurs de la menace ont commencé à associer à leur ingéniosité une précision et une patience nouvelles 
  • Les kits d’hameçonnage de contournement de la MFA sont devenus omniprésents, permettant même à des cybercriminels débutants de lancer une campagne d’hameçonnage de grande ampleur 
  • L’infrastructure de confiance joue un rôle clé dans l’exécution de nombreuses attaques basées sur le cloud, et montre les limites des protections basées sur l’attribution de règles 
  • Abuser de la familiarité et de la confiance envers de grandes marques reconnues est l’une des formes les plus répandues d’ingénierie sociale 
  • Un accès initial réussi peut rapidement conduire à des attaques à l’échelle du domaine, tel que l’infection par un ransomware ou le vol de données 
  • Si la criminalité financière domine largement le paysage des menaces, une seule attaque menée par un acteur de la menace persistante avancée (APT) peut avoir un impact considérable