En août, l’équipe de chercheurs a constaté l’accélération d’une nouvelle variante du botnet Mirai, qui a lancé des attaques généralisées contre un ensemble d’objets connectés. Découvert en mai 2019, Echobot exploite plus de 50 vulnérabilités différentes, ce qui a entraîné une forte augmentation des exploitations de vulnérabilités de « commande d’injection sur HTTP » qui a touché 34 % des entreprises dans le monde.
L’infrastructure offensive du botnet Emotet est redevenue active en août suite à la fermeture de ses services il y a deux mois. Emotet était le plus grand botnet au premier semestre 2019. Bien qu’aucune campagne majeure n’ait encore été observée, il est probable qu’il sera utilisé pour lancer des campagnes de spam dans un avenir proche.
Top 10 des logiciels malveillants « les plus recherchés » en août 2019 :
* Les flèches indiquent le changement de position par rapport au mois précédent.
Ce mois-ci, XMRig reste en tête de la liste des principaux logiciels malveillants, suivi de JSEcoin, avec un impact global de 7 %. Dorkbot est en troisième place, touchant 6 % des entreprises dans le monde.
- ↔ XMRig – Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie Monero. Il a été découvert en mai 2017.
- ↔ JSEcoin – Un extracteur de cryptomonnaie en JavaScript qui peut être intégré dans des sites web. Avec JSEcoin, il est possible d’exécuter directement l’extracteur dans un navigateur en échange d’une navigation sans publicité, de la monnaie dans des jeux et d’autres avantages.
- ↔ Dorkbot – Un ver IRC conçu pour exécuter du code à distance et télécharger des logiciels malveillants supplémentaires sur les systèmes infectés.
- ↑ Trickbot – Un cheval de Troie bancaire très répandu, constamment mis à jour et doté de nouveaux moyens, de nouvelles fonctionnalités et de vecteurs de diffusion différents. Ce logiciel malveillant flexible et personnalisable peut être diffusé via des campagnes à objectifs multiples.
- ↑ AgentTesla – Un outil avancé d’accès à distance servant à enregistrer les frappes au clavier et dérober des mots de passe. Il est en mesure de surveiller et collecter les frappes au clavier, le contenu du presse-papiers, d’effectuer des captures d’écran et d’exfiltrer les identifiants de différents logiciels installés sur la machine de la victime (y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook).
- ↑ Ramnit – Un cheval de Troie bancaire dérobant les informations d’identification de sites bancaires, mots de passe FTP, cookies de session et données personnelles.
- ↓ Emotet – Un cheval de Troie avancé, autonome et modulaire. Auparavant un cheval de Troie bancaire, il est actuellement utilisé pour diffuser d’autres logiciels malveillants ou mener d’autres campagnes malveillantes. Il utilise plusieurs techniques de persistance et d’évasion pour échapper à toute détection, et peut être transmis via des emails de spam et de phishing contenant des pièces jointes ou des liens malveillants.
- ↑ Cryptoloot – Un extracteur de cryptomonnaie utilisant le processeur central ou le processeur graphique, et les ressources existantes de la victime, ajoutant des transactions à la blockchain et émettant de nouvelles unités de monnaie. Il s’agissait d’un concurrent de Coinhive, qui tentait de le devancer en demandant un pourcentage moins élevé des revenus générés à partir des sites web.
- ↔ Formbook – Un logiciel malveillant de vol d’informations qui collecte des identifiants dans différents navigateurs web, effectue des captures d’écran, surveille et enregistre les frappes au clavier, et télécharge et exécute des fichiers en fonction des ordres reçus depuis un serveur de commande et de contrôle.
- ↑ Lokibot – Un voleur d’informations diffusé principalement par email de phishing. Il sert à dérober différentes données telles que des identifiants de comptes de messagerie, ainsi que les mots de passe de portefeuilles de cryptomonnaie et de serveurs FTP.
Top 3 des logiciels malveillants mobiles « les plus recherchés » en août 2019 :
Ce mois-ci, Lotoor est le logiciel malveillant mobile le plus répandu, suivi d’AndroidBauts et de Triada.
- Lotoor – Un outil de piratage ciblant des vulnérabilités des systèmes d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.
- AndroidBauts – Un logiciel publicitaire malveillant ciblant les utilisateurs Android. Il exfiltre les numéros IMEI et IMSI, la localisation GPS et d’autres informations depuis les appareils, et permet l’installation d’applications et de raccourcis tiers sur les appareils mobiles.
- Triada – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Elle insère également de fausses URL dans le navigateur.
Vulnérabilités les plus exploitées en août 2019 :
Ce mois-ci, les techniques d’injection SQL occupent la première place dans la liste des principales vulnérabilités exploitées, suivies de près par la vulnérabilité de divulgation d’informations OpenSSL TLS DTLS Heartbeat, toutes deux touchant 39 % des entreprises dans le monde. À la troisième place, la vulnérabilité d’exécution de code à distance MVPower DVR touche 38 % des entreprises dans le monde.
- ↔ Injection SQL (plusieurs techniques) – Injection de requêtes SQL dans les données fournies par les utilisateurs à des applications, tout en exploitant une faille de sécurité dans ces applications.
- ↔ Récupération d’informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) – Il existe une vulnérabilité de récupération d’informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d’un client ou d’un serveur connecté.
- ↔ Exécution de code à distance MVPower DVR – Une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
- ↑ Injection de commandes sur HTTP – Une vulnérabilité d’injection de commandes sur HTTP a été signalée. Un pirate distant peut exploiter cette vulnérabilité en envoyant une requête spécialement conçue à la victime. Une exploitation réussie de cette vulnérabilité permettrait à un pirate d’exécuter du code arbitraire sur la machine ciblée.
- ↑ Contournement de l’authentification du plug-in phpMyAdmin portable dans WordPress – Il existe une vulnérabilité de contournement de l’authentification du plug-in phpMyAdmin portable dans WordPress. Une exploitation réussie de cette vulnérabilité permettrait à des pirates distants d’obtenir des informations sensibles et un accès non autorisé au système affecté.
- ↓ Exécution de commandes à distance par injection d’objets dans Joomla! (CVE-2015-8562) – Une vulnérabilité d’exécution de commandes à distance a été signalée sur les plates-formes Joomla. Cette vulnérabilité est due à un défaut de validation des objets fournis en entrée, pouvant conduire à l’exécution de code à distance. Un pirate distant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP malveillante à une victime. Une exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire dans le contexte de l’utilisateur ciblé.
- ↓ Récupération d’informations PHP DIESCAN – Une vulnérabilité de récupération d’informations a été signalée dans des pages en PHP. Une exploitation réussie de cette vulnérabilité pourrait entraîner la récupération d’informations sensibles sur le serveur.
- ↓ Récupération d’informations sur le référentiel Git d’un serveur web exposé – Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
- ↑ Fuite d’informations à partir des caméras IP Hikvision – Il existe une vulnérabilité de fuite d’informations à partir des caméras IP Hikvision. Une exploitation réussie de cette vulnérabilité permettrait à des pirates distants d’obtenir des informations sensibles et un accès non autorisé au système affecté.
- ↓ Exécution de commandes à distance sur D-Link DSL-2750B – Une vulnérabilité d’exécution de code à distance a été signalée dans les routeurs D-Link DSL-2750B. Une exploitation réussie de cette vulnérabilité pourrait conduire à l’exécution de code sur les appareils affectés.
La carte ci-dessous présente l’indice de risque global illustrant les principales zones à risque et les points chauds à travers le monde.
Des ressources publiées par Check Point sur la prévention des menaces sont disponibles à l’adresse : http://www.checkpoint.com/threat-prevention-resources/index.html