Multimédia Multimédia

Les logiciels malveillants « les plus recherchés » en juin 2020 : le célèbre botnet phorpiex réémerge et double son impact global sur les entreprises

Bertrand Boudet
13 juillet 2020 13 minutes de lecture

Check Point Research a constaté une forte augmentation du nombre d’attaques utilisant le botnet Phorpiex, qui diffuse le nouveau logiciel rançonneur « Avaddon » via des campagnes de spam

 

SAN CARLOS, Californie – le 10 juillet 2020 – Check Point® Software Technologies Ltd. (code NASDAQ : CHKP), l'un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son tout dernier indice des menaces pour juin 2020, via Check Point Research, son équipe dédiée aux renseignements sur les menaces. Des chercheurs ont découvert le mois dernier que le botnet Phorpiex diffusait le logiciel rançonneur Avaddon, une nouvelle variante de logiciel rançonneur sous forme de services (RaaS) apparue début juin, via des campagnes de spam. Il a ainsi bondi de 13 places, passant en deuxième position dans la liste des principaux logiciels malveillants, et touchant deux fois plus d’entreprises dans le monde entier par rapport au mois de mai.

 

Comme l’ont précédemment signalé les chercheurs de Check Point, Phorpiex diffuse des campagnes de spam de sextorsion à grande échelle, et diffuse d'autres familles de logiciels malveillants. Les récents messages de spam diffusés via Phorpiex tentent d'inciter les destinataires à ouvrir une pièce jointe au format Zip en utilisant l’emoji représentant un clin d'œil dans la ligne d'objet des messages. Lorsqu’un utilisateur ouvre le fichier, le logiciel rançonneur Avaddon s’active et chiffre les données sur l'ordinateur, puis demande une rançon en échange du déchiffrement des fichiers.  Lors d’études menées en 2019, Check Point a découvert plus d'un million d'ordinateurs Windows infectés par Phorpiex. Les chercheurs ont estimé les revenus annuels générés par le botnet Phorpiex à environ 500 000 dollars.

 

Pendant ce temps, le cheval de Troie d’accès à distance et de vol d’informations Agent Tesla a continué d’avoir un impact significatif tout au long du mois de juin, passant de la seconde position en mai à la première position, tandis que l’extracteur de cryptomonnaie XMRig est resté en troisième position pour le deuxième mois consécutif.

 

« Dans le passé, Phorpiex, également appelé Trik, était monétisé par la diffusion d'autres logiciels malveillants tels que GandCrab, Pony ou Pushdo, et l’utilisation de ses hôtes à des fins d’extraction de cryptomonnaie ou de campagnes de sextorsion. Il est désormais utilisé pour diffuser une nouvelle campagne de logiciel rançonneur, » déclare Maya Horowitz, Directrice de la recherche et des renseignements sur les menaces chez Check Point. « Les entreprises devraient enseigner à leurs collaborateurs comment identifier les types de spam qui véhiculent ces menaces, comme par exemple cette campagne ciblant des utilisateurs avec des emails contenant l’emoji représentant un clin d'œil, et veiller à ce qu’elles déploient une sécurité qui empêche activement ces menaces d'infecter leurs réseaux. »

 

L'équipe de recherche prévient également que la récupération d'informations OpenSSL TLS DTLS heartbeat est la vulnérabilité la plus couramment exploitée, touchant 45 % des entreprises dans le monde, suivie de près par la vulnérabilité d’exécution de code à distance MVPower DVR qui touche 44 % des entreprises dans le monde. La vulnérabilité de récupération d'informations sur le référentiel Git d’un serveur web exposé reste en troisième position, avec un impact global de 38 %.

Principales familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Agent Tesla est le logiciel malveillant le plus populaire touchant 3 % des entreprises au niveau mondial, suivi de près par Phorpiex et XMRig qui touchent chacun 2 % des entreprises.

  1. ↑ Agent Tesla – Un outil malveillant d’accès à distance capable de surveiller et de collecter les frappes au clavier et le contenu du presse-papiers, d’effectuer des captures d'écran et d'exfiltrer les identifiants de différents logiciels installés sur la machine de la victime (y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook). 
  2. ↑ Phorpiex – Un botnet qui diffuse d’autres familles de logiciels malveillants via des campagnes de spam, et mène des campagnes de sextortion à grande échelle.
  3. ↔ XMRig – Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie Monero. Il a été découvert pour la première fois en mai 2017.

Principales vulnérabilités exploitées

Ce mois-ci, la récupération d'informations OpenSSL TLS DTLS heartbeat est la vulnérabilité la plus couramment exploitée, touchant 45 % des entreprises dans le monde, suivie de près par la vulnérabilité d’exécution de code à distance MVPower DVR qui touche 44 % des entreprises dans le monde. La vulnérabilité de récupération d'informations sur le référentiel Git d’un serveur web exposé reste en troisième position, avec un impact global de 38 %.

  1. ↑Récupération d'informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) – Il existe une vulnérabilité de récupération d'informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d'un client ou d'un serveur connecté.
  2. ↓ Exécution de code à distance MVPower DVR – Une vulnérabilité d'exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
  3. ↔ Récupération d'informations sur le référentiel Git d’un serveur web exposé – Une vulnérabilité de récupération d'informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d'informations de compte.

Principales familles de logiciels malveillants mobiles

Ce mois-ci, Necro est le logiciel malveillant le plus populaire, suivi de Hiddad et de Lotoor.

1.Necro – Un cheval de Troie de téléchargement de logiciels malveillants sur Android. Il est capable de télécharger d’autres logiciels malveillants, d’afficher des publicités intrusives et de voler de l’argent en facturant des abonnements.

2.Hiddad – Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d'applications tierce. Il a pour principale fonction d'afficher des publicités, mais peut également accéder aux informations de sécurité clés intégrés dans le système d'exploitation

3.Lotoor – Un outil de piratage ciblant des vulnérabilités du système d'exploitation Android afin d'obtenir des privilèges root sur les appareils mobiles compromis.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 2,5 milliards de sites web et 500 millions de fichiers par jour, et identifie plus de 250 millions d'activités de logiciels malveillants chaque jour.

 

La liste complète des 10 principales familles de logiciels malveillants en juin est disponible sur le Blog Check Point.


Source : Communiqué de presse de Check Point.

Vous devez vous connecter pour voter ou dénoncer du contenu.

Il n'y a pas encore de commentaires.
Commentaires (0)

Vous devez vous connecter pour publier un commentaire.

Dossier spécial
Facilotab : une tablette à connaître pour “connecter” les seniors !

Avec 13 millions de personnes victimes de la “fracture numérique”, la dématérialisation des démarches administratives pose problème. Et ce, d’autant plus avec les impôts à déclarer impérativement sur...

11 juin 2020 4 minutes de lecture
d’articles

à lire ce mois-ci