Most Wanted : Classement Top Malware Check Point – Mai 2023

0
258

Le malware le plus recherché en mai 2023 : la nouvelle version de Guloader, un téléchargeur d’applications largement répandu, fournit des charges utiles chiffrées basées sur le cloud.

Le Check Point’s Global Threat Index révèle l’existence de malwares innovants, chiffrés et basés sur le cloud donc moins détectable ; le secteur de l’éducation et de la recherche reste très vulnérable.

Tribune – Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de solutions de cybersécurité dans le monde a publié son classement de menace globale pour le mois de mai 2023. Les chercheurs ont récemment identifié une nouvelle version du téléchargeur GuLoader, basée sur un shellcode, qui a été classé comme le quatrième malware le plus répandu le mois dernier. La dernière variante du téléchargeur GuLoader présente des caractéristiques telles que des charges utiles entièrement chiffrées et des techniques anti-analyse, ce qui lui permet de se dissimuler dans des services de cloud public bien connus, tels que Google Drive, sans être détectée. Pendant cette période, Qbot et Anubis se sont hissés en tête de leurs listes respectives en termes de propagation de malwares, tandis que l’industrie de l’éducation/recherche est restée la plus ciblée et exploitée par les cybercriminels.

Le malware GuLoader, qui est fréquemment utilisé par les cybercriminels pour échapper à la détection des antivirus, a subi des modifications significatives récemment. La dernière version utilise une technique sophistiquée de substitution de code au sein d’un processus légitime, ce qui lui permet de contourner plus efficacement les outils de sécurité qui surveillent les processus. Les charges utiles sont complètement chiffrées et stockées de manière non détectable dans des services de cloud public bien connus, tels que Google Drive. Cette combinaison unique de chiffrement, de format binaire brut et de séparation du chargeur rend les charges utiles invisibles pour les programmes antivirus, ce qui constitue une menace significative pour les utilisateurs et les entreprises à l’échelle mondiale.

Le mois dernier, Qbot et Anubis ont également occupé la première place de leurs listes respectives. Malgré les efforts déployés pour ralentir la diffusion des malwares par le blocage des macros dans les fichiers Office, les opérateurs de Qbot n’ont pas tardé à adapter leur distribution et leur diffusion. Récemment, il a été constaté que le malware GuLoader exploitait une vulnérabilité de détournement de bibliothèque de liens dynamiques (DLL) dans le programme WordPad de Windows 10 pour infecter des ordinateurs.

« Les outils et services publics sont de plus en plus exploités par les cybercriminels pour diffuser et stocker des campagnes de malwares. La fiabilité d’une source ne garantit plus une sécurité totale », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software. Cela met en évidence la nécessité urgente d’une plus grande sensibilisation visant à identifier les activités suspectes. Nous déconseillons vivement de divulguer des informations personnelles ou de télécharger des pièces jointes, à moins que l’authenticité et la nature bénigne de la demande n’aient été confirmées. De plus, il est crucial de mettre en place des solutions de sécurité avancées comme Check Point Horizon XDR/XPR, qui peuvent identifier efficacement si un comportement censé être bénin est en réalité malveillant, ce qui offre une couche de protection supplémentaire contre les menaces sophistiquées. »

Le secteur de l’éducation et de la recherche reste l’industrie la plus ciblée par les cybercriminels dans le monde, selon le classement de Check Point. Le rapport a également révélé que le « Web Servers Malicious URL Directory Traversal » était la vulnérabilité la plus exploitée, touchant 49% des entreprises dans le monde. Elles sont suivies de près par les vulnérabilités « Apache Log4j Remote Code Execution » et « HTTP Headers Remote Code Execution », qui affectent respectivement 45 % et 44 % des entreprises dans le monde.

Principales familles de malware

Qbot était le malware le plus répandu le mois dernier avec un impact de 6% sur les entreprises du monde entier, suivi par Formbook avec un impact global de 5% et AgentTesla avec un impact global de 3%.

En France :

* Les flèches indiquent le changement de position par rapport au mois précédent.

  1. Emotet – Emotet, qui conserve la première position comparé au mois dernier, est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme d’autres malwares ou de campagnes malveillantes. Pour éviter d’être détecté, il utilise plusieurs méthodes de maintien de la persistance ainsi que des techniques d’évasion. Il a également la capacité de se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.
  2. Qbot – Qbot ou Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants bancaires et les frappes au clavier d’un utilisateur. Souvent diffuse via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection.
  3. Guloader entre au top 3 des malwares à fort impact en France et détrône Kryptik. Guloader est un téléchargeur largement utilisé depuis décembre 2019. Lorsqu’il est apparu, GuLoader était utilisé pour télécharger Parallax RAT, mais il a été appliqué à d’autres trojans d’accès à distance et à des voleurs d’informations (infostealers) tels que Netwire, FormBook et Agent Tesla.

Les secteurs les plus attaquées dans le monde

Ce mois-ci, le secteur de la recherche et de l’éducation reste en tête des industries les plus attaquées au niveau mondial, suivi par le secteur du gouvernement/militaire et celui des soins de santé.

  1. Education/Recherche
  2. Services publics/militaire
  3. Les soins de santé

Principales vulnérabilités exploitées

Ce mois -ci, « Web Server Exposed Git Repository Information Disclosure » est la vulnérabilité exploitée la plus, affectant 49% des organisations dans le monde, suivie de « Apache Log4j Remote Code Exécution » qui touche 45% des organisations dans le monde. « HTTP Remote Code Execution » reste à la troisième place dans la des vulnérabilités les plus exploitées, avec un impact global de 44%.

  1. ↔ Web Servers Malicious URL Directory Traversal – Il existe une vulnérabilité de traversée de répertoire sur différents serveurs web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur web qui ne nettoie pas correctement l’URL pour les motifs de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
  2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Une vulnérabilité d’exécution de code à distance existe dans Apache Log4j. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.
  3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

Top des malwares mobiles

Le mois dernier, Anubis a été classé en tête du classement des malwares mobiles les plus répandus, suivi d’AhMyth et d’Hiddad.

  1. Anubis – Anubis est un cheval de Troie bancaire conçu pour les téléphones mobiles Android. Depuis sa découverte, il a acquis des fonctions supplémentaires, notamment celle de cheval de Troie d’accès à distance (RAT), d’enregistreur de frappe, de capacité d’enregistrement audio et diverses fonctions de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
  2. AhMyth – AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android que l’on peut trouver sur les magasins d’applications et sur divers sites internet. Lorsqu’un utilisateur installe l’une de ces applications infectées, le malware peut collecter des informations sensibles sur l’appareil et exécuter des actions telles que l’enregistrement de touches, la collecte de captures d’écran, l’envoi de SMS et l’activation de la caméra, qui sont généralement utilisées pour voler des informations sensibles.
  3. Hiddad – Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.

Le Global Threat Impact Index de Check Point et son ThreatCloud Map sont alimentés par ThreatCloud AI de Check Point. ThreatCloud AI fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. Cette intelligence est enrichie de plus de 40 technologies d’IA et d’apprentissage automatique qui identifient et bloquent les menaces émergentes, et de données de recherche exclusives de Check Point Research, la branche intelligence et recherche de Check Point Software Technologies. 

La liste complète des 10 principales familles de logiciels malveillants en mai est disponible sur le blog de Checkpoint.