Le maliciel le plus recherché en mars 2020 : le cheval de Troie bancaire Dridex fait son entrée sur la liste des maliciels

Check Point Research signale par ailleurs que “MVPower DVR Remote Code Execution” demeure la vulnérabilité la plus fréquemment exploitée, touchant, le mois dernier, 30% des entreprises dans le monde.

Check Point Research, la division Analyse des menaces de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), éminent fournisseur international de solutions de cyber-sécurité, publie la dernière édition en date de son Indice international des Menaces pour le mois de mars 2020.

Le mois de mars a vu Dridex, un cheval de Troie bancaire bien connu qui avait fait son apparition en 2011, se hisser pour la première fois dans le classement des principaux maliciels, soulignant ainsi la rapidité avec laquelle les cyber-criminels adaptent les thématiques de leurs attaques afin d’optimiser les taux d’infection. Dridex est une engeance sophistiquée de maliciels bancaires qui prend pour cible la plate-forme Windows, diffusant des campagnes de pourriels à destination des ordinateurs infectés et dérobant les identifiants bancaires et autres données personnelles afin de se ménager potentiellement un accès à d’autres informations financières. Le maliciel a bénéficié de développements et de mises à jour systématiques tout au long de ces dix dernières années.

 

La recrudescence du maliciel Dridex a été provoquée par plusieurs campagnes de pourriels incluant une pièce jointe Excel malveillante qui télécharge Dridex sur l’ordinateur de la victime. XMRig conserve pour sa part sa première place dans le classement, touchant 5% des entreprises à travers le monde, suivi par Jsecoin et Dridex, qui ont respectivement touché 4% et 3% des entreprises dans le monde.

 

« L’apparition, pour la première fois, de Dridex parmi les principales familles de maliciels illustre la vitesse avec laquelle les cyber-criminels peuvent modifier leurs méthodes », déclare Maya Horowitz, directrice Threat Intelligence & Research, en charge des produits, chez Check Point. « Ce type de maliciels peut s’avérer très lucratif pour des criminels en raison de son caractère sophistiqué. Les utilisateurs doivent dès lors se méfier de courriels comportant des fichiers joints, même lorsqu’ils semblent émaner d’une source fiable – en particulier compte tenu de l’essor qu’a connu le télétravail ces dernières semaines. Les entreprises doivent sensibiliser leurs employés à la manière d’identifier des pourriels malveillants. Elles doivent par ailleurs déployer des moyens afin de protéger leurs équipes et leurs réseaux contre ce genre de menaces. »

 

L’équipe de chercheurs met également en garde contre le fait que “MVPower DVR Remote Code Execution” demeure la vulnérabilité la plus exploitée, affectant 30% des entreprises et organisations à travers le monde, suivie de près par “PHP php-cgi Query String Parameter Code Execution”, qui affiche un score d’impact mondial de 29%, et ensuite par “OpenSSL TLS DTLS Heartbeat Information Disclosure”, qui a touché 27% des entreprises de par le monde.

 

Classement des principales familles de maliciels
*Les flèches font référence à l’évolution du classement par comparaison au mois précédent

En mars, XMRig conserve sa première place, affectant 5% des entreprises à travers le monde, suivi par Jsecoin et Dridex, qui ont respectivement touché 4% et 3% des entreprises dans le monde.

  1. ↔ XMRig – XMRig est un logiciel open source de minage de CPU utilisé pour le processus de minage de la crypto-monnaie Monero ; il a été repéré pour la première fois en mai 2017.
  2. ↑Jsecoin – Jsecoin est un crypto-mineur Internet, conçu pour procéder à du minage en-ligne de la crypto-monnaie Monero lorsqu’un utilisateur visite une page Web déterminée. Le code JavaScript implanté utilise une quantité importante de ressources de calcul de l’utilisateur final afin de miner de la monnaie, affectant ainsi les performances système.
  3. ↑ Dridex – Dridex est un cheval de Troie bancaire qui vise la plate-forme Windows et se diffuse par le biais de campagnes de pourriels et de kits d’exploitation de vulnérabilités. Il s’appuie sur des WebInjects afin d’intercepter et de détourner des identifiants bancaires vers un serveur contrôlé par un pirate. Dridex établit un contact avec un serveur à distance, envoie des informations concernant le système infecté et peut également télécharger et exécuter des modules supplémentaires afin de rendre possible un contrôle à distance.

 Les principales vulnérabilités exploitées

En mars, “MVPower DVR Remote Code Execution” a confirmé son statut de vulnérabilité la plus exploitée, touchant 30% des entreprises à l’échelle de la planète, suivi de près par “PHP php-cgi Query String Parameter Code Execution” dont l’impact global s’est fixé à 29%.  En troisième position, “OpenSSL TLS DTLS Heartbeat Information Disclosure” a touché 27% des entreprises dans le monde.

  1. ↔ MVPower DVR Remote Code Execution – Une vulnérabilité d’exécution de code à distance existant au sein de dispositifs DVR MVPower. Un pirate, opérant à distance, peut exploiter cette faille afin d’exécuter du code arbitraire dans le routeur infecté au moyen d’une requête spécifique.
  2. ↑ PHP php-cgi Query String Parameter Code Execution – Une vulnérabilité d’exécution de code à distance repérée dans PHP. La vulnérabilité est due à une opération incorrecte d’analyse et de filtrage de chaînes de requêtes par PHP. Un pirate, opérant à distance, peut exploiter cette faille en envoyant des requêtes HTTP spécifiques. En cas d’exploitation réussie, le pirate a la possibilité d’exécuter du code arbitraire sur le système visé.
  3. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Une vulnérabilité de type divulgation d’information qui existe au sein d’OpenSSL. La vulnérabilité est due à une erreur dans le traitement de paquets de pulsation TLS/DTLS. Un pirate peut tirer parti de cette vulnérabilité afin de divulguer le contenu de la mémoire d’un serveur ou d’un client connecté.

Les principales familles de mailiciels mobiles

En mars, xHelper a conservé sa première place dans le classement des maliciels mobiles dominants, suivi par AndroidBauts et Lotoor.

  1. xHelper – Une application malveillante observée sur la Toile depuis mars 2019 et utilisée pour le téléchargement d’autres applis malveillantes et l’affichage de publicités. L’application est capable de se dissimuler aux yeux de l’utilisateur et de se réinstaller si on le désinstalle.
  2. AndroidBauts – Un publiciel qui vise les utilisateurs Android, exfiltre des informations IMEI, IMSI, de localisation GPS ou autres informations concernant les dispositifs mobiles et permet l’installation d’applis tierces et de raccourcis sur des équipements mobiles.
  3. Lotoor – Un outil de piratage qui exploite des vulnérabilités existant dans les systèmes d’exploitation Android afin d’obtenir des privilèges root sur les équipements mobiles compromis.

L’Indice international d’Impact des Menaces de Check Point et sa carte ThreatCloud sont alimentés par les analyses ThreatCloud de Check Point, le plus important réseau collaboratif dédié à la lutte contre la cyber-criminalité qui procure des données sur les menaces et les tendances de piratage repérées par un réseau international de capteurs de menaces. Chaque jour, la base de données ThreatCloud inspecte plus de 2,5 milliards de sites Internet et 500 millions de fichiers et identifie plus de 250 millions d’activités malveillantes.

La liste complète des 10 principales familles de maliciels pour le mois de mars est disponible sur le blog de Check Point

Les ressources Prévention des menaces de Check Point sont disponibles ici