Les chercheurs de Check Point publient le malware le plus recherché d'avril 2020

20160817_chkp_graphic

Note de l'éditeur: Encore un mois s'est écoulé, et alors que le monde est aux prises avec le virus SRAS-CoV-2 qui a détruit non seulement des décès malheureux, mais surtout une dépression économique colossale, des effondrements d'entreprises, des industries entières en panne et des pertes d'emplois majeures s'élevant à des centaines de millions. à l'échelle mondiale. Au milieu de cette catastrophe mondiale, il y a toujours des problèmes de cybersécurité partout, avec le piratage, les intrusions et le vol continus. Les chercheurs de Check Point publient régulièrement chaque mois de brèves mises à jour sur les pires auteurs de malwares. Le communiqué de presse du fournisseur se trouve ci-dessous.

Malware le plus recherché d'avril 2020: le cheval de Troie d'accès à distance de l'agent Tesla se propage largement COVID-19 Campagnes de spam associées

Les chercheurs de Check Point constatent une forte augmentation des attaques utilisant la nouvelle version de l'agent Tesla capable de voler des mots de passe Wi-Fi, tandis que le cheval de Troie bancaire Dridex est la menace la plus courante

SINGAPOUR, @mcgallen #microwireinfo, 12 mai 2020 - Check Point Research, la branche Threat Intelligence de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs de solutions de cybersécurité au niveau mondial, a publié son dernier indice mondial des menaces pour avril 2020. Les chercheurs ont vu plusieurs COVID-19 campagnes de spam associées distribuant une nouvelle variante du cheval de Troie d'accès à distance Agent Tesla, le faisant passer à la 3e place de l'Index, touchant 3% des organisations dans le monde.

La nouvelle variante de l'agent Tesla a été modifiée pour voler les mots de passe Wi-Fi en plus d'autres informations - telles que les informations d'identification de messagerie Outlook - des PC cibles. En avril, l'agent Tesla a été distribué en tant que pièce jointe dans plusieurs COVID-19 campagnes de spam connexes, qui tentent d’inciter la victime à télécharger des fichiers malveillants sous couvert de fournir des informations intéressantes sur la pandémie. L'une de ces campagnes a prétendu avoir été envoyée par l'Organisation mondiale de la Santé avec pour objet `` LETTRE D'INFORMATION URGENTE: PREMIER HUMAIN COVID-19 TEST VACCIN / MISE À JOUR DES RÉSULTATS. » Cela montre comment les pirates vont exploiter les actualités mondiales et les préoccupations du public pour augmenter leurs taux de réussite d'attaques.

Le cheval de Troie bancaire bien connu Dridex, qui est entré dans le top dix de l'indice des menaces pour la première fois en mars, a eu un impact encore plus important en avril. Il est passé à la première place de l'indice par rapport à la troisième le mois dernier, touchant 1% des organisations dans le monde. XMRig, le malware le plus répandu de mars, est tombé à la deuxième place.

«Les campagnes anti-spam de l'agent Tesla que nous avons vues en avril soulignent à quel point les cybercriminels peuvent être agiles lorsqu'il s'agit d'exploiter des événements d'actualité et de tromper des victimes sans méfiance pour qu'elles cliquent sur un lien infecté», a déclaré Maya Horowitz, directrice, Threat Intelligence & Research, Products chez Check Point. «Avec l'agent Tesla et Dridex dans les trois premiers de l'indice des menaces, les criminels se concentrent sur le vol des données et des informations d'identification personnelles et professionnelles des utilisateurs afin qu'ils puissent les monétiser. Il est donc essentiel que les organisations adoptent une approche proactive et dynamique de la formation des utilisateurs, en tenant leur personnel informé des derniers outils et techniques, d'autant plus que de plus en plus d'employés travaillent désormais à domicile.

L'équipe de recherche avertit également que «MVPower DVR Remote Code Execution» est resté la vulnérabilité exploitée la plus courante, bien que son impact ait augmenté pour couvrir 46% des organisations dans le monde. Cela a été suivi de près par «OpenSSL TLS DTLS Heartbeat Information Disclosure» avec un impact global de 41%, suivi par «Command Injection Over HTTP Payload» touchant 40% des organisations dans le monde.

Principales familles de logiciels malveillants
* Les flèches correspondent au changement de rang par rapport au mois précédent.

Ce mois-ci, Dridex se hisse à la première place, impactant 1% des organisations dans le monde, suivi par XMRig et Agent Tesla, impactant respectivement 4% et 4% des organisations dans le monde.

  1. ↑ Dridex - Dridex est un cheval de Troie qui cible la plate-forme Windows et qui serait téléchargé via une pièce jointe de spam. Dridex contacte un serveur distant et envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires reçus du serveur distant.
  2. ↓ XMRig - XMRig est un logiciel d'exploitation de CPU open source utilisé pour le processus d'extraction de la crypto-monnaie Monero, vu pour la première fois à l'état sauvage en mai 2017.
  3. ↑ Agent Tesla - L'agent Tesla est un RAT avancé fonctionnant comme un enregistreur de frappe et un voleur d'informations, capable de surveiller et de collecter l'entrée au clavier de la victime, le clavier système, de prendre des captures d'écran et d'exfiltrer les informations d'identification vers une variété de logiciels installés sur la machine d'une victime (y compris Google Chrome , Mozilla Firefox et le client de messagerie Microsoft Outlook).

Principales vulnérabilités exploitées
Ce mois-ci, «MVPower DVR Remote Code Execution» a été la vulnérabilité exploitée la plus courante, affectant 46% des entreprises dans le monde, suivi de «OpenSSL TLS DTLS Heartbeat Information Disclosure» avec un impact global de 41%. À la troisième place, la vulnérabilité «Command Injection Over HTTP Payload» a touché 3% des organisations dans le monde, principalement dans les attaques exploitant une vulnérabilité zero-day dans les routeurs et commutateurs «DrayTek» (CVE-40-2020).

  1. ↔ MVPower DVR Remote Code Exécution - Une vulnérabilité d'exécution de code à distance qui existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
  2. ↑ Divulgation d'informations sur les battements de cœur OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Une vulnérabilité de divulgation d'informations qui existe dans OpenSSL. La vulnérabilité est due à une erreur lors de la gestion des paquets de pulsation TLS / DTLS. Un attaquant peut exploiter cette vulnérabilité pour divulguer le contenu de la mémoire d'un client ou d'un serveur connecté.
  3. ↑ Injection de commandes sur la charge utile HTTP - Un attaquant distant peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie permettrait à un attaquant d'exécuter du code arbitraire sur la machine cible.

Principales familles de logiciels malveillants - Mobile
Ce mois-ci, xHelper occupe toujours la première place en tant que malware mobile le plus répandu, suivi de Lotoor et AndroidBauts.

  1. xHelper - Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d'autres applications malveillantes et afficher des publicités. L'application est capable de se cacher de l'utilisateur et de se réinstaller si elle est désinstallée.
  2. Lotoor - Lotoor est un outil de piratage qui exploite les vulnérabilités du système d'exploitation Android pour obtenir les privilèges root sur les appareils mobiles compromis.
  3. AndroidBauts - AndroidBauts est un adware qui cible les utilisateurs d'Android. Il exfiltre les informations IMEI, IMSI, de localisation GPS et d'autres informations sur les appareils et permet l'installation d'applications et de raccourcis tiers sur les appareils mobiles.

L'indice mondial d'impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l'intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et des tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 2.5 milliards de sites Web et 500 millions de fichiers par jour, et identifie plus de 250 millions d'activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en avril se trouve sur le Blog de Check Point.

À propos de Check Point Research
Check Point Research fournit des renseignements de pointe sur les cybermenaces aux clients de Check Point Software et à l'ensemble de la communauté du renseignement. L'équipe de recherche recueille et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Les solutions de Check Point protègent les clients des cyberattaques de 5e génération avec un taux de capture de logiciels malveillants, de ransomwares et de menaces ciblées avancées. Check Point propose une architecture de sécurité à plusieurs niveaux, «Infinity Total Protection with Gen V Advanced Threat Prevention», cette architecture de produit combinée défend le cloud, le réseau et les appareils mobiles d'une entreprise. Check Point fournit le système de gestion de la sécurité à un point de contrôle le plus complet et intuitif. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###