Publié le

Note de l'éditeur: selon Check Point Research, IcedID, un cheval de Troie bancaire, a fait son apparition sur la scène des malwares. IcedID se propage à travers des campagnes de spam. Les utilisateurs doivent donc rester attentifs aux e-mails entrants et se souvenir de ne pas cliquer sur les liens dans les e-mails suspects. La version du fournisseur est ci-dessous.

Malware le plus recherché de mars 2021: le cheval de Troie IcedID Banking entre dans le top 10 des campagnes liées à Covid

Check Point Research rapporte qu'IcedID est entré pour la première fois dans l'index mondial des malwares, en deuxième place, après avoir exploité le COVID-19 pandémie pour attirer de nouvelles victimes

SINGAPOUR, @mcgallen #microwireinfo, 14 avril 2021 - Check Point Research (CPR), la branche Threat Intelligence deCheck Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son dernier indice mondial des menaces pour mars 2021. Les chercheurs rapportent que le cheval de Troie bancaire IcedID est entré dans l'indice pour la première fois, prenant la deuxième place, tandis que le Dridex établi Le cheval de Troie était le malware le plus répandu en mars, contre sept en février.

Vu pour la première fois en 2017, IcedID s'est répandu rapidement en mars via plusieurs campagnes de spam, touchant 11% des organisations dans le monde. Une campagne généralisée a utilisé un COVID-19 thème pour inciter de nouvelles victimes à ouvrir des pièces jointes malveillantes; la majorité de ces pièces jointes sont des documents Microsoft Word avec une macro malveillante utilisée pour insérer un programme d'installation pour IcedID. Une fois installé, le cheval de Troie tente alors de voler les détails du compte, les informations d'identification de paiement et d'autres informations sensibles sur les PC des utilisateurs. IcedID utilise également d'autres logiciels malveillants pour proliférer et a été utilisé comme stade initial d'infection dans les opérations de ransomware.

«IcedID existe depuis quelques années maintenant, mais a récemment été largement utilisé, ce qui montre que les cybercriminels continuent d'adapter leurs techniques pour exploiter les organisations, en utilisant la pandémie comme un prétexte», a déclaré Maya Horowitz, directrice, Threat Intelligence & Research. , Produits à Check Point. «IcedID est un cheval de Troie particulièrement évasif qui utilise une gamme de techniques pour voler des données financières, les organisations doivent donc s'assurer qu'elles disposent de systèmes de sécurité robustes pour éviter que leurs réseaux ne soient compromis et minimiser les risques. Une formation complète pour tous les employés est cruciale, afin qu'ils soient dotés des compétences nécessaires pour identifier les types d'e-mails malveillants qui propagent IcedID et d'autres logiciels malveillants. »

CPR avertit également que «HTTP Headers Remote Code Execution (CVE-2020-13756)» est la vulnérabilité exploitée la plus courante, affectant 45% des organisations dans le monde, suivi de «MVPower DVR Remote Code Execution» qui affecte 44% des organisations dans le monde. «Dasan GPON Router Authentication Bypass (CVE-2018-10561)» occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 44%.

Principales familles de logiciels malveillants

* Les flèches correspondent au changement de rang par rapport au mois précédent.

Ce mois-ci, Dridex est le malware le plus populaire avec un impact mondial de 16% des organisations, suivi par IcedID et Lokibot affectant respectivement 11% et 9% des organisations dans le monde.

  1. ↑ Dridex - Dridex est un cheval de Troie qui cible la plate-forme Windows et qui serait téléchargé via une pièce jointe de spam. Dridex contacte un serveur distant et envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires reçus du serveur distant.
  2. IcedID - IcedID est un cheval de Troie bancaire propagé par des campagnes de spam par e-mail et utilise des techniques évasives telles que l'injection de processus et la stéganographie pour voler les données financières des utilisateurs.
  3. ↑ Lokibot - Lokibot est un voleur d'informations distribué principalement par des e-mails de phishing et est utilisé pour voler diverses données telles que les informations d'identification de messagerie, ainsi que les mots de passe des portefeuilles CryptoCoin et des serveurs FTP.

Principales vulnérabilités exploitées

Ce mois-ci, «HTTP Headers Remote Code Execution (CVE-2020-13756)» est la vulnérabilité exploitée la plus courante, affectant 45% des organisations dans le monde, suivi de «MVPower DVR Remote Code Execution» qui affecte 44% des organisations dans le monde. «Dasan GPON Router Authentication Bypass (CVE-2018-10561)» occupe la troisième place avec un impact global de 44%.

  1. ↑ Exécution de code à distance des en-têtes HTTP (CVE-2020-13756) - Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter du code arbitraire sur la machine victime.
  2. ↑ Exécution de code à distance MVPower DVR - Une vulnérabilité d'exécution de code à distance existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
  3. Contournement d'authentification de routeur Dasan GPON (CVE-2018-10561) - Une vulnérabilité de contournement d'authentification existe dans les routeurs Dasan GPON. Une exploitation réussie de cette vulnérabilité permettrait aux attaquants distants d’obtenir des informations sensibles et d’obtenir un accès non autorisé au système affecté.

Principaux malwares mobiles

Hiddad a pris la première place dans l'index de malwares mobiles le plus répandu, suivi de xHelper et FurBall. 

  1. Hiddad - Hiddad est un malware Android, qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d'afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d'exploitation.
  2. xHelper - Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d'autres applications malveillantes et afficher des publicités. L'application est capable de se cacher de l'utilisateur et peut même se réinstaller après avoir été désinstallée.
  3. FurBall - FurBall est un Android MRAT (Mobile Remote Access Trojan) qui est déployé par APT-C-50, un groupe APT iranien connecté au gouvernement iranien. Ce malware a été utilisé dans plusieurs campagnes datant de 2017 et est toujours actif aujourd'hui. Parmi les capacités de FurBall sont: voler des messages SMS et des journaux d'appels mobiles, enregistrer les appels et les environs, collecter des fichiers multimédias, suivre les emplacements, etc.

L'indice mondial d'impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l'intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et des tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites Web et 600 millions de fichiers par jour, et identifie plus de 250 millions d'activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en mars est disponible sur le site Blog de Check Point.

À propos de Check Point Research 

Check Point Research fournit des informations de pointe sur les cybermenaces Check Point Software clients et la communauté du renseignement dans son ensemble. L'équipe de recherche collecte et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

À propos Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Les solutions de Check Point protègent les clients contre les cyberattaques de 5e génération avec un taux de capture de logiciels malveillants, de ransomwares et de menaces ciblées avancées. Check Point propose une architecture de sécurité à plusieurs niveaux, «Infinity Total Protection with Gen V Advanced Threat Prevention», cette architecture de produit combinée défend le cloud, le réseau et les appareils mobiles d'une entreprise. Check Point fournit le système de gestion de la sécurité à un point de contrôle le plus complet et le plus intuitif. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###