Les logiciels malveillants « les plus recherchés » en juin 2019 : Emotet fait une pause, mais peut-être pas pour longtemps

Par:
admin

mer, 31/07/2019 - 10:00

Check Point a publié son tout dernier indice des menaces pour juin 2019, via Check Point Research, son équipe dédiée aux renseignements sur les menaces. L’équipe des chercheurs a confirmé qu’Emotet (le plus grand botnet actuellement en exploitation) a cessé ses activités, car aucune nouvelle campagne n’a été observée au cours de la majeure partie du mois de juin. Emotet a figuré dans le top 5 mondial des logiciels malveillants au cours des six premiers mois de 2019 et a été diffusé via des campagnes de spam massives.

Les chercheurs de Check Point estiment que l'infrastructure d'Emotet pourrait être temporairement désactivée pour des opérations de maintenance et de mise à niveau, et que dès que ses serveurs seront à nouveau opérationnels, Emotet sera réactivé avec de nouvelles fonctionnalités améliorées.

« Emotet est un cheval de Troie bancaire qui existe depuis 2014. Il est utilisé depuis 2018 sous forme de botnet dans de grandes campagnes de spam malveillant, et pour diffuser d’autres logiciels malveillants. Même si son infrastructure a été inactive pendant une grande partie de juin 2019, elle figurait toujours au cinquième rang de notre indice mondial des logiciels malveillants, ce qui montre à quel point elle est utilisée. Il est probable qu'elle réapparaisse avec de nouvelles fonctionnalités, » déclare Maya Horowitz, Directrice de la recherche et des renseignements sur les menaces chez Check Point. « Une fois installé sur la machine d’une victime, Emotet peut l’utiliser pour se propager via d’autres campagnes de spam, télécharger d’autres logiciels malveillants (tels que Trickbot, qui infecte l’ensemble du réseau avec le tristement célèbre logiciel rançonneur Ryuk), ou se propager à d’autres appareils sur le réseau. »

Top 3 des logiciels malveillants « les plus recherchés » en juin 2019 :

* Les flèches indiquent le changement de position par rapport au mois précédent.

Parmi les trois principaux extracteurs de cryptomonnaie toujours en tête de liste ce mois-ci, XMRig était le plus important, touchant 4 % des entreprises dans le monde, suivi de près par Jsecoin et Cryptoloot, touchant tous les deux 3 % des entreprises dans le monde.

1.       ↑ XMRig - Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie monero. Il a été découvert pour la première fois en mai 2017.

2.       ↑ JSEcoin - Un extracteur en JavaScript qui peut être intégré dans des sites web. Avec JSEcoin, il est possible d’exécuter directement l’extracteur dans un navigateur en échange d'une navigation sans publicité, de la monnaie dans des jeux et d'autres avantages.

3.       ↓ Cryptoloot - Un extracteur de cryptomonnaie utilisant le processeur central ou le processeur graphique, et les ressources existantes de la victime, ajoutant des transactions à la blockchain et émettant de nouvelles unités de monnaie. Il s'agissait d'un concurrent de Coinhive, qui tentait de le devancer en demandant un pourcentage moins élevé des revenus générés à partir des sites web.

Top 3 des logiciels malveillants mobiles « les plus recherchés » en juin 2019 :

Lotoor reste en tête de la liste des principaux logiciels malveillants mobiles, suivi de Triada et de Ztorg, un nouveau logiciel malveillant dans ce trio.

  1. Lotoor - Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d'applications tierce. Sa fonction principale est l'affichage de publicités, mais il est également en mesure d'accéder aux informations de sécurité intégrées au système d'exploitation, afin de permettre à l'agresseur d'obtenir les données confidentielles des utilisateurs.
  2. Triada - Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Elle insère également de fausses URL dans le navigateur.
  3. Ztorg - Les chevaux de Troie de la famille Ztorg obtiennent des privilèges élevés sur les appareils Android et s’installent dans le répertoire système. Le logiciel malveillant est en mesure d'installer n'importe quelle autre application sur un appareil.

Vulnérabilités les plus exploitées en juin 2019 :

En juin, les techniques d'injection SQL continuent de figurer en tête de la liste des principales vulnérabilités exploitées, avec un impact global de 52 %. La vulnérabilité de récupération d’informations OpenSSL TLS DTLS Heartbeat est la seconde, touchant 43 % des entreprises dans le monde, suivie de près par CVE-2015-8562, touchant 41 % des entreprises dans le monde.

1. ↑ Injection SQL (plusieurs techniques) - Injection de requêtes SQL dans les données fournies par les utilisateurs à des applications, tout en exploitant une faille de sécurité dans ces applications.

2. ↑ Récupération d'informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) - Il existe une vulnérabilité de récupération d'informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d'un client ou d'un serveur connecté.

3. Exécution de commandes à distance par injection d’objets dans Joomla! (CVE-2015-8562) - Une vulnérabilité d'exécution de commandes à distance a été signalée sur les plates-formes Joomla. Cette vulnérabilité est due à un défaut de validation des objets fournis en entrée, pouvant conduire à l'exécution de code à distance. Un pirate distant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP malveillante à une victime. Une exploitation réussie de cette vulnérabilité peut entraîner l'exécution de code arbitraire dans le contexte de l'utilisateur ciblé.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, un grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d'adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement.