Méfiez-vous du malware Valak Variant - conseils des chercheurs de Check Point

shahadat-rahman-BfrQnKBulYQ-unsplash

Note de l'éditeur: des chercheurs de Check Point ont rapporté qu'une variante du malware Valak est apparue dans son rapport de septembre 2020 sur les principaux malwares. La nouvelle variante Valak peut potentiellement voler des informations aux particuliers et aux entreprises, et peut potentiellement affecter les serveurs de messagerie Microsoft Exchange, et également affecter les informations d'identification des utilisateurs et les certificats de domaine. Le communiqué de presse du fournisseur est ci-dessous.

Malwares les plus recherchés de septembre 2020: une nouvelle variante de Valak voleuse d'informations entre pour la première fois dans la liste des 10 meilleurs logiciels malveillants

Les chercheurs de Check Point constatent une forte augmentation des attaques utilisant le nouveau malware Valak, tandis que le cheval de Troie Emotet reste à la 1ère place pour le troisième mois consécutif

SINGAPOUR, @mcgallen #microwireinfo, 8 octobre 2020 - Check Point Research, la branche Threat Intelligence de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs de solutions de cybersécurité au niveau mondial, a publié son dernier indice mondial des menaces pour septembre 2020. Les chercheurs ont découvert qu'une version mise à jour du malware Valak est entrée dans l'Index pour la première fois, se classant au 9e rang malware en septembre.

Observé pour la première fois fin 2019, Valak est une menace sophistiquée qui était auparavant classée comme un chargeur de logiciels malveillants. Ces derniers mois, de nouvelles variantes ont été découvertes avec des changements fonctionnels significatifs qui permettent à Valak de fonctionner comme un voleur d'informations capable de cibler à la fois les particuliers et les entreprises. Cette nouvelle version de Valak est capable de voler des informations sensibles des systèmes de messagerie Microsoft Exchange, ainsi que les informations d'identification des utilisateurs et les certificats de domaine. En septembre, Valak a été largement répandu par des campagnes de malspam contenant des fichiers .doc malveillants.

Le cheval de Troie Emotet reste à la 1ère place de l'Index pour le troisième mois consécutif, touchant 14% des organisations dans le monde. Le cheval de Troie Qbot, qui est entré dans la liste pour la première fois en août, a également été largement utilisé en septembre, passant du 10e au 6e rang de l'indice.

«Ces nouvelles campagnes diffusant Valak sont un autre exemple de la façon dont les acteurs de la menace cherchent à maximiser leurs investissements dans des formes établies et éprouvées de logiciels malveillants. Avec les versions mises à jour de Qbot qui ont émergé en août, Valak est destiné à permettre le vol de données et d'identifiants à grande échelle auprès d'organisations et d'individus. Les entreprises devraient envisager de déployer des solutions anti-malware qui peuvent empêcher ce contenu d'atteindre les utilisateurs finaux, et conseiller à leurs employés d'être prudents lors de l'ouverture d'e-mails, même lorsqu'ils semblent provenir d'une source fiable », a déclaré Maya Horowitz, directrice, Threat Intelligence & Recherche, Produits à Check Point.

L'équipe de recherche prévient également que «MVPower DVR Remote Code Execution» est la vulnérabilité exploitée la plus courante, affectant 46% des organisations dans le monde, suivi de «Dasan GPON Router Authentication Bypass» qui a impacté 42% des organisations dans le monde. «OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)» a eu un impact global de 36%.

Principales familles de logiciels malveillants

* Les flèches correspondent au changement de rang par rapport au mois précédent.

Ce mois-ci, Emotet reste le malware le plus populaire avec un impact global de 14% des organisations, suivi par Trickbot et Dridex impactant respectivement 4% et 3% des organisations dans le monde.

  1. ↔ Emotet - Emotet est un cheval de Troie avancé, auto-propagatif et modulaire. Emotet était à l'origine un cheval de Troie bancaire, mais est récemment utilisé comme distributeur d'autres programmes malveillants ou campagnes malveillantes. Il utilise plusieurs méthodes pour maintenir la persistance et les techniques d'évasion pour éviter la détection. De plus, il peut se propager par le biais de spams de phishing contenant des pièces jointes ou des liens malveillants.
  2. ↑ Trickbot - Trickbot est un cheval de Troie bancaire dominant constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Cela permet à Trickbot d'être un malware flexible et personnalisable qui peut être distribué dans le cadre de campagnes polyvalentes.
  3. ↑ Dridex - Dridex est un cheval de Troie qui cible la plate-forme Windows et qui serait téléchargé via une pièce jointe de spam. Dridex contacte un serveur distant et envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires reçus du serveur distant.

Principales vulnérabilités exploitées

Ce mois-ci, «MVPower DVR Remote Code Execution» est la vulnérabilité exploitée la plus courante, affectant 46% des organisations dans le monde, suivi de «Dasan GPON Router Authentication Bypass» qui a affecté 42% des organisations dans le monde. «OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)» occupe la troisième place, avec un impact global de 36%.

  1. ↑ Exécution de code à distance MVPower DVR - Une vulnérabilité d'exécution de code à distance qui existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
  2. Contournement d'authentification de routeur Dasan GPON (CVE-2018-10561) - Une vulnérabilité de contournement d'authentification qui existe dans les routeurs Dasan GPON. Une exploitation réussie de cette vulnérabilité permettrait aux attaquants distants d’obtenir des informations sensibles et d’obtenir un accès non autorisé au système affecté.
  3. ↑ Divulgation d'informations sur les battements de cœur OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Une vulnérabilité de divulgation d'informations existe dans OpenSSL. La vulnérabilité est due à une erreur lors de la gestion des paquets de pulsation TLS / DTLS. Un attaquant peut exploiter cette vulnérabilité pour divulguer le contenu de la mémoire d'un client ou d'un serveur connecté.

Principales familles de malwares mobiles

Ce mois-ci, xHelper est le malware mobile le plus populaire, suivi de Xafecopy et Hiddad.

  1. xHelper - Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d'autres applications malveillantes et afficher des publicités. L'application peut se cacher de l'utilisateur et se réinstaller au cas où elle aurait été désinstallée.
  2. Xafekopy - Xafecopy Trojan est déguisé en applications utiles comme Battery Master. Le cheval de Troie charge secrètement un code malveillant sur l'appareil. Une fois l'application activée, le logiciel malveillant Xafecopy clique sur des pages Web avec la facturation par protocole d'application sans fil (WAP) - une forme de paiement mobile qui facture les coûts directement sur la facture de téléphone mobile de l'utilisateur.
  3. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d'afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d'exploitation.

L'indice mondial d'impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l'intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et des tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 2.5 milliards de sites Web et 500 millions de fichiers par jour, et identifie plus de 250 millions d'activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en septembre se trouve sur le Blog de Check Point. Les ressources de prévention des menaces de Check Point sont disponibles sur http://www.checkpoint.com/threat-prevention-resources/index.html.

À propos de Check Point Research
Check Point Research fournit des renseignements de pointe sur les cybermenaces aux clients de Check Point Software et à l'ensemble de la communauté du renseignement. L'équipe de recherche recueille et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Les solutions de Check Point protègent les clients des cyberattaques de 5e génération avec un taux de capture de logiciels malveillants, de ransomwares et de menaces ciblées avancées. Check Point propose une architecture de sécurité à plusieurs niveaux, «Infinity Total Protection with Gen V Advanced Threat Prevention», cette architecture de produit combinée défend le cloud, le réseau et les appareils mobiles d'une entreprise. Check Point fournit le système de gestion de la sécurité à un point de contrôle le plus complet et le plus intuitif. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###