Top malware report de mars 2022 : Check Point Research révèle qu’Emotet reste le n°1 des logiciels malveillants

Par
UnderNews
-
0
210

Le malware le plus recherché en mars 2022 : Dans certains pays, les campagnes de phishing liées Pâques, contribuent à asseoir la domination d’Emotet. Check Point Research révèle qu’Emotet reste le numéro un des logiciels malveillants les plus répandus, tandis qu’Agent Tesla passe de la quatrième à la deuxième place après plusieurs campagnes de mal-spam. En Europe, les secteurs les plus touchés sont l’éducation, la recherche ainsi que les organisations étatiques, militaires.

Check Point Research (CPR), la branche de Threat Intelligence de Check Point® Software Technologies Ltd.(NASDAQ : CHKP), un des principaux fournisseurs de solutions de cybersécurité dans le monde, publie son Classement de menace globale pour le mois de mars 2022. Les chercheurs signalent qu’Emotet reste le logiciel malveillant le plus populaire, avec un impact sur 10 % des organisations dans le monde, soit le double de février.

Emotet est un cheval de Troie avancé, auto-propagateur et modulaire qui utilise de multiples méthodes pour maintenir la persistance et des techniques d’évasion pour ne pas être détecté. Depuis son retour en novembre dernier et la publication récente de la fermeture de Trickbot, Emotet consolide sa position de malware le plus répandu. Cela s’est encore accentué ce mois-ci, car de nombreuses campagnes de messagerie agressives ont diffusé le botnet, notamment diverses arnaques de phishing sur le thème de Pâques exploitant le buzz des festivités. Ces e-mails ont été envoyés à des victimes dans le monde entier. L’un d’entre eux avait pour objet « buona pasqua, happy easter », mais un fichier XLS malveillant était joint à l’e-mail pour diffuser Emotet.

Ce mois-ci, Agent Tesla, le RAT avancé qui fonctionne comme un enregistreur de frappe et un voleur d’informations, est le deuxième malware le plus répandu, après avoir figuré en quatrième position du classement du mois dernier. La montée en puissance d’Agent Tesla est due à plusieurs nouvelles campagnes de spam malveillant diffusant le RAT via des fichiers xlsx/pdf malveillants dans le monde entier. Certaines de ces campagnes ont exploité la guerre entre la Russie et l’Ukraine pour attirer les victimes.

« La technologie a progressé ces dernières années à un point tel que les cybercriminels doivent de plus en plus compter sur la confiance des gens pour avoir accès à un réseau d’entreprise. En organisant leurs e-mails de phishing autour de fêtes traditionnelles telles que Pâques, ils peuvent exploiter l’effervescence des festivités et inciter les victimes à télécharger des pièces jointes malveillantes contenant des malwares comme le programme Emotet. À l’approche du week-end de Pâques, nous nous attendons à voir davantage de ces scams et demandons aux utilisateurs de faire très attention, même si l’e-mail semble provenir d’une source fiable. Pâques n’est pas l’unique jour férié et les cybercriminels continueront à déployer les mêmes tactiques pour nuire », déclare Maya Horowitz, VP Recherche chez Check Point Software. « Ce mois-ci, nous avons également observé qu’Apache Log4j était redevenu la vulnérabilité numéro un la plus exploitée. Même après toutes les discussions autour de cette vulnérabilité à la fin de l’année dernière, elle continue de nuire plusieurs mois après avoir été détectée. Les organisations doivent prendre des mesures immédiates pour empêcher que ces attaques ne se produisent. »

CPR a également révélé ce mois-ci qu’à l’échelle mondiale, le secteur de l’éducation/recherche reste le plus attaqué, suivi du secteur gouvernemental/militaire et des fournisseurs de services Internet/fournisseurs de services gérés (ISP/MSP). « Web Server Exposed Git Repository Information Disclosure » est désormais la seconde vulnérabilité exploitée la plus courante, affectant 26% des organisations dans le monde, alors que « Apache Log4j Remote Code Execution » prend la première place et touche 33% des entreprises. « HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) » conserve la troisième place avec un impact global de 26 %.

Top des familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Emotet est le malware le plus populaire avec un impact global de 10% des entreprises, suivi par Agent Tesla and XMRig qui touchent tous les deux 2% des entreprises dans le monde.

  1. ↔ Emotet – Emotet est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme distributeur d’autres logiciels malveillants ou de campagnes malveillantes. Il a recours à de multiples méthodes pour garantir la persistance et à des techniques d’évasion pour éviter de se faire repérer. De plus, il peut se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.
  2. ↑ Agent Tesla – Agent Tesla est un RAT avancé fonctionnant comme un enregistreur de frappe et un voleur d’informations, capable de surveiller et de collecter les saisies du clavier de la victime, le clavier du système, de faire des captures d’écran et d’exfiltrer les informations d’identification de divers logiciels installés sur la machine de la victime, comme Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook).
  3. ↑ – XMRig est un logiciel de minage de CPU open-source utilisé sur la crypto-monnaie Monero et apparu la première fois en mai 2017.

Les industries les plus attaquées dans le monde

Ce mois-ci, l’enseignement/recherche est le secteur le plus attaqué dans le monde, suivi du secteur de l’administration/militaire et ISP/MSP

  1. Enseignement/Recherche
  2. Services gouvernementaux/armée
  3. ISP/MSP

 Principales vulnérabilités exploitées

Ce mois-ci, « Apache Log4j Remote Code Execution » est la vulnérabilité exploitée la plus courante, affectant 33% des organisations dans le monde, suivie de « Web Server Exposed Git Repository Information Disclosure » qui est passé de la première à la deuxième place et affecte 26% des organisations dans le monde. « HTTP Headers Remote Code Execution » reste à la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 26%.

  1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Une vulnérabilité d’exécution de code à distance existe dans Apache Log4j. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter un code arbitraire sur le système affecté.
  2. ↓ Web Server Exposed Git Repository Information Disclosure – Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
  3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

Top des malwares mobiles

Ce mois-ci, AlienBot est le malware mobile le plus répandu, suivi de xHelper et FluBot.

  1. AlienBot – La famille de malwares AlienBot est un Malware-as-a-Service (MaaS) pour les appareils Android qui permet à un attaquant distant, dans un premier temps, d’injecter du code malveillant dans des applications financières légitimes. L’attaquant obtient l’accès aux comptes des victimes, et finit par contrôler complètement leur dispositif.
  2. xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.
  3. FluBot – FluBot est un botnet Android distribué via des SMS de phishing (Smishing), le plus souvent en se faisant passer pour des marques de livraison logistique. Une fois que l’utilisateur a cliqué sur le lien contenu dans le message, il est redirigé vers le téléchargement d’une fausse application contenant FluBot. Une fois installé, le malware dispose de diverses capacités pour récolter des identifiants et participer à l’opération de Smishing elle-même, dont le téléchargement de listes de contacts, ainsi que l’envoi de messages SMS vers d’autres numéros de téléphone.

L’indice mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’indice mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point.

Une fois que l’utilisateur clique sur le lien contenu dans le message, FluBot est installé et a accès à toutes les informations sensibles du téléphone.

La liste complète des 10 principales familles de logiciels malveillants en mars est disponible sur le blog de Checkpoint.