Publié le

Note de l'éditeur: C'est à nouveau cette période du mois, lorsque le fournisseur de cybersécurité Check Point publie son rapport mensuel sur les programmes malveillants, pour novembre 2020. Le rapport mentionne une recrudescence des attaques utilisant le botnet Phorpiex, qui délivre ensuite des ransomwares dans des campagnes de spam malveillant. La version du fournisseur est ci-dessous.

Malware le plus recherché de novembre 2020: le célèbre botnet Phorpiex revient comme l'infection la plus impactante

Check Point Research signale une nouvelle vague d'attaques utilisant le botnet Phorpiex qui fournit le ransomware Avaddon dans des campagnes de spam malveillantes

SINGAPOUR, @mcgallen #microwireinfo, 10 décembre 2020 - Check Point Research, la branche Threat Intelligence deCheck Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs mondiaux de solutions de cybersécurité, a publié son dernier Indice mondial des menaces pour novembre 2020, montrant une nouvelle vague d'infections par le célèbre botnet Phorpiex qui en a fait le malware le plus répandu du mois, touchant 4% des entreprises dans le monde. Phorpiex a été vu pour la dernière fois dans le top 10 de l'indice des menaces en juin de cette année.

Le botnet Phorpiex a été signalé pour la première fois en 2010 et, à son apogée, contrôlait plus d'un million d'hôtes infectés. Connu pour distribuer d'autres familles de logiciels malveillants via le spam et alimenter à grande échelle Campagnes de spam "sextorsion" et le cryptomining, Phorpiex a de nouveau distribué le ransomware Avaddon, comme les chercheurs de Check Point à l'origine rapporté plus tôt cette année. Avaddon est une variante relativement nouvelle de Ransomware-as-a-Service (RaaS), et ses opérateurs ont de nouveau recruté des affiliés pour distribuer le ransomware pour une réduction des bénéfices. Avaddon a été distribué via des fichiers JS et Excel dans le cadre de campagnes anti-spam et est capable de crypter un large éventail de types de fichiers.

«Phorpiex est l'un des botnets les plus anciens et les plus persistants, et est utilisé par ses créateurs depuis de nombreuses années pour distribuer d'autres charges utiles de logiciels malveillants tels que les ransomwares GandCrab et Avaddon, ou pour des escroqueries par sextorsion. Cette nouvelle vague d'infections propage maintenant une autre campagne de ransomwares, qui montre à quel point l'outil Phorpiex est efficace », a déclaré Maya Horowitz, directrice, Threat Intelligence & Research, Products chez Check Point. «Les organisations doivent informer les employés sur la manière d'identifier un malspam potentiel et se méfier de l'ouverture de pièces jointes inconnues dans les e-mails, même si elles semblent provenir d'une source fiable. Ils doivent également veiller à déployer une sécurité qui les empêche activement d'infecter leurs réseaux. »

L'équipe de recherche avertit également que «l'exécution de code à distance des en-têtes HTTP (CVE-2020-13756)» est la vulnérabilité exploitée la plus courante, affectant 54% des organisations dans le monde, suivie de «l'exécution de code à distance MVPower DVR» qui a touché 48% des organisations dans le monde et «Le contournement d'authentification de routeur Dasan GPON (CVE-2018-10561) a affecté 44% des entreprises dans le monde.

Principales familles de logiciels malveillants

* Les flèches correspondent au changement de rang par rapport au mois précédent

Ce mois-ci, Phorpiex est le malware le plus populaire avec un impact mondial de 4% des organisations, suivi de près par Dridex et Hiddad qui ont tous deux touché 3% des organisations dans le monde.

  1. ↑ Phorpiex - Phorpiex est un botnet connu pour distribuer d'autres familles de malwares via des campagnes de spam ainsi que pour alimenter des campagnes de Sextorsion à grande échelle.
  2. ↑ Dridex - Dridex est un cheval de Troie qui cible la plate-forme Windows et serait téléchargé via une pièce jointe de courrier indésirable. Dridex contacte un serveur distant et envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires reçus du serveur distant.
  3. ↔ Hiddad - Hiddad est une infection malveillante Android qui reconditionne les applications mobiles légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d'afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d'exploitation.

Principales vulnérabilités exploitées

Ce mois-ci, «HTTP Headers Remote Code Execution (CVE-2020-13756)» est la vulnérabilité exploitée la plus courante, affectant 54% des organisations dans le monde, suivi de «MVPower DVR Remote Code Execution» qui a touché 48% des organisations dans le monde et de «Dasan GPON Router Le contournement d'authentification (CVE-2018-10561) a touché 44% des organisations dans le monde.

  1. ↑ Exécution de code à distance des en-têtes HTTP (CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter du code arbitraire sur la machine victime.
  2. Exécution de code à distance MVPower DVR - Une vulnérabilité d'exécution de code à distance existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
  3. Contournement d'authentification de routeur Dasan GPON (CVE-2018-10561) - Une vulnérabilité de contournement d'authentification qui existe dans les routeurs Dasan GPON. Une exploitation réussie de cette vulnérabilité permettrait aux attaquants distants d’obtenir des informations sensibles et d’obtenir un accès non autorisé au système affecté.

Top Malwares mobiles

Ce mois-ci, Hiddad reste le malware mobile le plus répandu, suivi de xHelper et Lotoor.

  1. Hiddad - Hiddad est une infection malveillante Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d'afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d'exploitation.
  2. xHelper - xHelper est une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d'autres applications malveillantes et afficher des publicités. L'application est capable de se cacher de l'utilisateur et de se réinstaller au cas où elle serait désinstallée.
  3. Lotoor - Lotoor est un outil de piratage qui exploite les vulnérabilités du système d'exploitation Android afin d'obtenir les privilèges root sur les appareils mobiles compromis.

L'indice mondial d'impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l'intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et des tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 2.5 milliards de sites Web et 500 millions de fichiers par jour, et identifie plus de 250 millions d'activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en novembre se trouve sur le Blog de Check Point.

À propos de Check Point Research 

Check Point Research fournit des informations de pointe sur les cybermenaces Check Point Software clients et la communauté du renseignement dans son ensemble. L'équipe de recherche collecte et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

À propos Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Les solutions de Check Point protègent les clients contre les cyberattaques de 5e génération avec un taux de capture de logiciels malveillants, de ransomwares et de menaces ciblées avancées. Check Point propose une architecture de sécurité à plusieurs niveaux, «Infinity Total Protection with Gen V Advanced Threat Prevention», cette architecture de produit combinée défend le cloud, le réseau et les appareils mobiles d'une entreprise. Check Point fournit le système de gestion de la sécurité à un point de contrôle le plus complet et le plus intuitif. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###