Vulnérabilités dans le cryptomining, le DVR et ce ravageur xHelper

20160817_chkp_graphic

Note de l'éditeur: les logiciels malveillants de cryptomining abondent, en particulier lorsque l'argent bon marché ou «gratuit» incite des personnes sans scrupules à exploiter les ressources CPU de certaines personnes. De même, si vous avez téléchargé un logiciel Android et que vous avez beaucoup de popups insensés, vous pouvez avoir une infection xHelper. Cependant, ce ravageur est persistant et presque impossible à éliminer. Heureusement, il existe des moyens de supprimer le malware xHelper maintenant. La mise à jour mensuelle régulière des logiciels malveillants de Check Point Software est utile si vous êtes en cybersécurité et avez besoin d'un bref aperçu. Le communiqué de presse du fournisseur se trouve ci-dessous.

Malwares les plus recherchés de mars 2020: le cheval de Troie Dridex Banking se classe pour la première fois sur la liste des malwares
Les chercheurs de Check Point constatent que Dridex a été mis à jour et diffusé via plusieurs campagnes de spam pour fournir un ransomware ciblé, augmentant le risque du cheval de Troie établi de longue date

SINGAPOUR, @mcgallen #microwireinfo, 13 avril 2020 - Check Point Research, la branche Threat Intelligence de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son dernier indice mondial des menaces pour mars 2020. Le cheval de Troie bancaire bien connu Dridex, apparu pour la première fois en 2011, est entré dans la liste des dix premiers logiciels malveillants. temps, en tant que troisième malware le plus répandu en mars. Dridex a été mis à jour et est maintenant utilisé dans les premières étapes d'attaque pour télécharger des ransomwares ciblés, tels que BitPaymer et DoppelPaymer.

La forte augmentation de l'utilisation de Dridex est due à plusieurs campagnes de spam contenant un fichier Excel malveillant qui télécharge le malware Dridex dans l'ordinateur de la victime. Cette recrudescence des malwares Dridex met en évidence la rapidité avec laquelle les cybercriminels modifient les thèmes de leurs attaques pour essayer de maximiser les taux d'infection. Dridex est une souche sophistiquée de logiciels malveillants bancaires qui cible la plate-forme Windows, diffusant des campagnes de spam pour infecter les ordinateurs et voler les informations d'identification bancaires et d'autres informations personnelles pour faciliter les transferts d'argent frauduleux. Le malware a été systématiquement mis à jour et développé au cours de la dernière décennie.

XMRig reste à la 1ère place dans l'Index des principales familles de logiciels malveillants, affectant 5% des organisations dans le monde, suivi de Jsecoin et Dridex qui ont respectivement impacté 4% et 3% des organisations dans le monde.

«L'apparition de Dridex pour la première fois comme l'une des principales familles de logiciels malveillants montre à quelle vitesse les cybercriminels peuvent changer leurs méthodes», a déclaré Maya Horowitz, directrice, Threat Intelligence & Research, Products chez Check Point. «Ce type de logiciel malveillant peut être très lucratif pour les criminels étant donné sa sophistication, et est maintenant utilisé comme un téléchargeur de ransomware, ce qui le rend encore plus dangereux que les variantes précédentes. Ainsi, les individus doivent se méfier des e-mails contenant des pièces jointes, même s'ils semblent provenir d'une source fiable - en particulier avec l'explosion du travail à domicile au cours des dernières semaines. Les organisations doivent informer leurs employés sur la manière d’identifier les spams malveillants et de déployer des mesures de sécurité qui aident à protéger leurs équipes et leurs réseaux contre ces menaces. »

L'équipe de recherche avertit également que «MVPower DVR Remote Code Execution» est resté la vulnérabilité exploitée la plus courante, affectant 30% des organisations dans le monde, suivi de près par «PHP php-cgi Query String Parameter Code Execution» avec un impact global de 29%, suivi par «OpenSSL TLS DTLS Heartbeat Information Disclosure» touchant 27% des entreprises dans le monde.

Principales familles de logiciels malveillants

* Les flèches correspondent au changement de rang par rapport au mois précédent.
Ce mois-ci XMRig reste au premier rang, impactant 1% des organisations dans le monde, suivi par Jsecoin et Dridex touchant respectivement 4% et 3% des organisations dans le monde.

  1. ↔ XMRig - XMRig est un logiciel d'exploitation de CPU open source utilisé pour le processus d'extraction de la crypto-monnaie Monero, vu pour la première fois à l'état sauvage en mai 2017.
  2. ↑ Jsecoin - Jsecoin est un cryptominer basé sur le Web, conçu pour effectuer une extraction en ligne de la crypto-monnaie Monero lorsqu'un utilisateur visite une page Web particulière. Le JavaScript implanté utilise une grande quantité des ressources de calcul de l'utilisateur final pour extraire des pièces de monnaie, ce qui a un impact sur les performances du système.
  3. ↑ Dridex - Dridex est un cheval de Troie bancaire qui cible la plate-forme Windows, et est livré par des campagnes de spam et des kits d'exploitation, qui s'appuient sur WebInjects pour intercepter et rediriger les informations d'identification bancaires vers un serveur contrôlé par un attaquant. Dridex contacte un serveur distant, envoie des informations sur le système infecté et peut également télécharger et exécuter des modules supplémentaires pour le contrôle à distance.

Principales vulnérabilités exploitées

Ce mois-ci, le "Exécution de code à distance MVPower DVR"Reste la vulnérabilité exploitée la plus courante, touchant 30% des organisations dans le monde, suivie de près par"Exécution de code de paramètre de chaîne de requête PHP php-cgi”Avec un impact global de 29%. À la 3e place "Divulgation d'informations sur les pulsations OpenSSL TLS DTLS»Affecte 27% des organisations dans le monde. <

1. ↔ MVPower DVR Remote Code Exécution - Une vulnérabilité d'exécution de code à distance qui existe dans les appareils MVPower DVR. Un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.

2. ↑ Exécution de code de paramètre de chaîne de requête PHP php-cgi - Une vulnérabilité d'exécution de code à distance qui a été signalée en PHP. La vulnérabilité est due à une analyse et un filtrage incorrects des chaînes de requête par PHP. Un attaquant distant peut exploiter ce problème en envoyant des requêtes HTTP spécialement conçues. Une exploitation réussie permet à un attaquant d'exécuter du code arbitraire sur la cible.

3. ↓ Divulgation d'informations OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346) - Une vulnérabilité de divulgation d'informations qui existe dans OpenSSL. La vulnérabilité est due à une erreur lors de la gestion des paquets de pulsation TLS / DTLS. Un attaquant peut exploiter cette vulnérabilité pour divulguer le contenu de la mémoire d'un client ou d'un serveur connecté.

Principales familles de logiciels malveillants - Mobile

Ce mois-ci xHelper a conservé la 1ère place parmi les malwares mobiles les plus répandus, suivi par AndroidBauts et Lotoor.

1. xHelper - Une application malveillante vue dans la nature depuis mars 2019, utilisée pour télécharger d'autres applications malveillantes et afficher des publicités. L'application peut se cacher de l'utilisateur et se réinstaller en cas de désinstallation.

2. AndroidBauts - Adware ciblant les utilisateurs d'Android qui exfiltre les informations de localisation IMEI, IMSI, GPS et autres appareils et permet l'installation d'applications et de raccourcis tiers sur les appareils mobiles.

3. Lotoor - Un outil de piratage qui exploite les vulnérabilités des systèmes d'exploitation Android pour obtenir des privilèges root sur les appareils mobiles compromis.

L'indice mondial d'impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l'intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et des tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 2.5 milliards de sites Web et 500 millions de fichiers par jour, et identifie plus de 250 millions d'activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en février est disponible sur le blog Check Point. Les ressources de prévention des menaces de Check Point sont disponibles sur: http://www.checkpoint.com/threat-prevention-resources/index.html

À propos de Check Point Research
Check Point Research fournit des renseignements de pointe sur les cybermenaces aux clients de Check Point Software et à l'ensemble de la communauté du renseignement. L'équipe de recherche recueille et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Les solutions de Check Point protègent les clients des cyberattaques de 5e génération avec un taux de capture de logiciels malveillants, de ransomwares et de menaces ciblées avancées. Check Point propose une architecture de sécurité à plusieurs niveaux, «Infinity Total Protection with Gen V Advanced Threat Prevention», cette architecture de produit combinée défend le cloud, le réseau et les appareils mobiles d'une entreprise. Check Point fournit le système de gestion de la sécurité à un point de contrôle le plus complet et intuitif. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###