Restez vigilant sur Qbot et les autres logiciels malveillants en cours

Photo de Philipp Katzenberger sur Unsplash

Mémoire de l'éditeur: Le COVID-19 La saga se poursuit et s'aggrave non seulement sur les problèmes de santé dans le monde, mais également sur la cybersécurité. Dans une crise mondiale, en particulier une crise économique mondiale, des millions d'emplois perdus, des dettes et un sous-emploi croissant, il y aura des gens qui pourraient se tourner vers la criminalité. La cybercriminalité est donc l'une de ces tendances émergentes dans le monde. Qbot, un cheval de Troie bancaire apparu pour la première fois en 2008, qui fonctionne comme une «porte dérobée» sur les ordinateurs des utilisateurs, peut voler des informations sensibles et personnelles et d'autres activités malveillantes malveillantes. Le rapport mensuel de Check Point Software met en évidence cette menace de cybersécurité continue. Le communiqué de presse du fournisseur est ci-dessous.


Malware le plus recherché d'août 2020: le cheval de Troie Qbot évolué se classe pour la première fois sur la liste des logiciels malveillants

Les chercheurs de Check Point découvrent qu'une nouvelle variante dangereuse de Qbot se propage via des campagnes de malspam pour exécuter le vol d'informations d'identification, l'installation de ransomwares et les transactions bancaires non autorisées

SINGAPOUR, @mcgallen #microwireinfo, 10 septembre 2020 - Check Point Research, la branche Threat Intelligence de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs de solutions de cybersécurité au niveau mondial, a publié son dernier indice mondial des menaces pour août 2020. Les chercheurs ont constaté que le cheval de Troie Qbot, également connu sous le nom de Qakbot et Pinkslipbot, est entré dans le top dix des indices de malwares pour le premier. temps, se classant au 10e rang des logiciels malveillants les plus répandus en août, tandis que le cheval de Troie Emotet reste au premier rang pour un deuxième mois, affectant 1% des organisations dans le monde.

Apparu pour la première fois en 2008, Qbot a été continuellement développé et utilise désormais des techniques sophistiquées de vol d'informations d'identification et d'installation de ransomwares, ce qui en fait l'équivalent de malware d'un couteau suisse selon les chercheurs. Qbot dispose désormais d'une nouvelle fonctionnalité dangereuse: un module de collecte d'e-mails spécialisé qui extrait les fils d'e-mails du client Outlook de la victime et les télécharge sur un serveur distant externe. Cela permet à Qbot de détourner les conversations par e-mail légitimes d'utilisateurs infectés, puis de se spammer en utilisant ces e-mails piratés pour augmenter ses chances de tromper d'autres utilisateurs afin qu'ils soient infectés. Qbot peut également permettre des transactions bancaires non autorisées, en permettant à son contrôleur de se connecter à l'ordinateur de la victime.

Les chercheurs de Check Point ont trouvé plusieurs campagnes en utilisant la nouvelle souche de Qbot entre mars et août 2020, qui incluait Qbot distribué par le cheval de Troie Emotet. Cette campagne a eu un impact 5% des organisations dans le monde en Juillet 2020.

«Les acteurs de la menace cherchent toujours des moyens de mettre à jour les formes existantes et éprouvées de logiciels malveillants et ils ont clairement investi massivement dans le développement de Qbot pour permettre le vol de données à grande échelle auprès des organisations et des individus. Nous avons vu des campagnes actives de malspam distribuant directement Qbot, ainsi que l'utilisation d'infrastructures d'infection tierces comme celle d'Emotet pour propager encore plus la menace. Les entreprises devraient envisager de déployer des solutions anti-malware qui peuvent empêcher ce contenu d'atteindre les utilisateurs finaux et conseiller aux employés d'être prudents lors de l'ouverture des e-mails, même lorsqu'ils semblent provenir d'une source fiable », a déclaré Maya Horowitz, directrice, Threat Intelligence & Research , Produits à Check Point.

L'équipe de recherche prévient également que «la divulgation des informations du référentiel Git exposée par le serveur Web» est la vulnérabilité exploitée la plus courante, affectant 47% des organisations dans le monde, suivie de «l'exécution de code à distance MVPower DVR» qui a touché 43% des organisations dans le monde. «Dasan GPON Router Authentication Bypass (CVE-2018-10561)» occupe la troisième place, avec un impact global de 37%.

Principales familles de logiciels malveillants

* Les flèches correspondent au changement de rang par rapport au mois précédent

Ce mois-ci Emotet reste le malware le plus populaire avec un impact mondial de 14% des entreprises, suivi de près par Agent Tesla et Formbook affectant 3% des organisations chacune.

  1. ↔ Emotet - Emotet est un cheval de Troie avancé, auto-propagatif et modulaire. Emotet était à l'origine un cheval de Troie bancaire, mais est récemment utilisé comme distributeur d'autres programmes malveillants ou campagnes malveillantes. Il utilise plusieurs méthodes pour maintenir la persistance et les techniques d'évasion pour éviter la détection. De plus, il peut se propager par le biais de spams de phishing contenant des pièces jointes ou des liens malveillants.
  2. ↑ Agent Tesla - L'agent Tesla est un RAT avancé fonctionnant comme un enregistreur de frappe et un voleur d'informations, capable de surveiller et de collecter l'entrée du clavier de la victime, le presse-papiers du système, de prendre des captures d'écran et d'exfiltrer les informations d'identification appartenant à une variété de logiciels installés sur la machine d'une victime (y compris Google Chrome , Mozilla Firefox et le client de messagerie Microsoft Outlook).
  3. ↑ Formbook - Formbook est un voleur d'informations qui collecte les informations d'identification de divers navigateurs Web, collecte des captures d'écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers en fonction de ses commandes C&C.

Principales vulnérabilités exploitées

Ce mois-ci "Divulgation des informations du référentiel Git exposées par le serveur Web" est la vulnérabilité exploitée la plus courante, affectant 47% des organisations dans le monde, suivie par «Exécution de code à distance MVPower DVR» qui a touché 43% des organisations dans le monde. «Contournement de l'authentification du routeur Dasan GPON (CVE-2018-10561)» est en troisième position, avec un impact global de 37%.

  1. Divulgation des informations du référentiel Git sur le serveur Web - Une vulnérabilité de divulgation d'informations qui a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité pourrait permettre une divulgation involontaire d'informations de compte.
  2. Exécution de code à distance MVPower DVR - Une vulnérabilité d'exécution de code à distance qui existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
  3. Contournement d'authentification de routeur Dasan GPON (CVE-2018-10561) - Une vulnérabilité de contournement d'authentification qui existe dans les routeurs Dasan GPON. Une exploitation réussie de cette vulnérabilité permettrait aux attaquants distants d’obtenir des informations sensibles et d’obtenir un accès non autorisé au système affecté.

Principales familles de malwares mobiles

Ce mois-ci xHelper est le malware mobile le plus populaire, suivi de Necro et Hiddad.

  1. xHelper - Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d'autres applications malveillantes et afficher des publicités. L'application peut se cacher de l'utilisateur et se réinstaller au cas où elle aurait été désinstallée.
  2. Necro - Necro est un Trojan Dropper Android. Il peut télécharger d'autres logiciels malveillants, afficher des publicités intrusives et voler de l'argent en facturant des abonnements payants.
  3. Hiddad - Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d'afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d'exploitation.

L'indice mondial d'impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l'intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et des tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 2.5 milliards de sites Web et 500 millions de fichiers par jour, et identifie plus de 250 millions d'activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en août se trouve sur le Blog de Check Point. Les ressources de prévention des menaces de Check Point sont disponibles sur http://www.checkpoint.com/threat-prevention-resources/index.html

À propos de Check Point Research
Check Point Research fournit des renseignements de pointe sur les cybermenaces aux clients de Check Point Software et à l'ensemble de la communauté du renseignement. L'équipe de recherche recueille et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Les solutions de Check Point protègent les clients contre les cyberattaques de 5e génération avec un taux de capture de logiciels malveillants, de ransomwares et de menaces ciblées avancées. Check Point propose une architecture de sécurité à plusieurs niveaux, «Infinity Total Protection with Gen V Advanced Threat Prevention», cette architecture de produit combinée défend le cloud, le réseau et les appareils mobiles d'une entreprise. Check Point fournit le système de gestion de la sécurité à un point de contrôle le plus complet et le plus intuitif. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###