Malwares : le trojan bancaire IcedID entre à la 2ème place

Malwares : le trojan bancaire IcedID entre à la 2ème place

Après avoir exploité la pandémie de la COVID-19 pour attirer de nouvelles victimes, IcedID fait son entrée dans le classement de Check Point Research
En France, IcediD (86%), Qbot (72%) et Dridex (50%) sont les malwares ayant principalement sévi en mars 2021

Paris – 14 avril 2021 – Check Point Research (CPR), la branche de renseignement sur les menaces de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l’un des principaux fournisseurs de solutions de cybersécurité dans le monde a publié son Classement de menace globale de mars 2021. Les chercheurs signalent que le Trojan IcedID est entré dans le classement pour la première fois, prenant la deuxième place, tandis que Dridex, lui bien établi, est le malware le plus répandu en mars, alors qu’il se situait a la septième place en février.

Apparu pour la première fois en 2017, IcedID s’est propagé rapidement en mars via plusieurs campagnes de spam, touchant 11 % des entreprises dans le monde. Une campagne de grande ampleur s’est servi d’un sujet lié à la COVID-19 pour inciter les nouvelles victimes à ouvrir des pièces jointes malveillantes. La majorité de ces pièces jointes étaient des documents Microsoft Word contenant une macro malveillante pour insérer un programme d’installation d’IcedID. Une fois installé, le Trojan tente de voler des informations sur les comptes, des informations de paiement et d’autres informations sensibles sur les PC des utilisateurs. IcedID utilise également d’autres malwares pour se propager et est exploité comme étape initiale de l’infection dans des opérations de ransomware.

« IcedID existe depuis quelques années déjà mais a récemment été utilisé à grande échelle, ce qui montre que les cybercriminels continuent d’adapter leurs techniques pour exploiter les enteprises en se servant de la pandémie comme d’un prétexte », déclare Xavier Duros, CTO de Check Point Software France. « IcedID est un Trojan particulièrement évasif qui utilise toute une série de techniques pour voler des données financières. Les entreprises doivent donc s’assurer qu’elles disposent de systèmes de sécurité robustes pour empêcher que leurs réseaux ne soient compromis et minimiser les risques. Il est indispensable que les employés reçoivent une formation complète, comme toujours, pour être capable d’identifier les types d’emails malveillants qui répandent IcedID et d’autres malwares. »

Check Point Research avertit également que « HTTP Headers Remote Code Execution (CVE-2020-13756) » est la vulnérabilité exploitée la plus courante, touchant 45% des entreprises dans le monde, suivie de « MVPower DVR Remote Code Execution » qui touche 44% d’entre elles. « Dasan GPON Router Authentication Bypass (CVE-2018-10561) » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 44%.

Top des familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Dridex est le malware le plus populaire avec un impact global de 16% des entreprises, suivi de IcedID et Lokibot qui touchent respectivement 11% et 9% des entreprises dans le monde.

  1. ↑ Dridex -Dridex est un cheval de Troie qui cible la plate-forme Windows et qui serait téléchargé via la pièce jointe d’un spam. Dridex contacte un serveur distant et envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires reçus du serveur distant.
  2. ↑ IcedID – IcedID est un cheval de Troie bancaire qui se propage par le biais de campagnes de spams et utilise des techniques d’évasion telles que l’injection de processus et la stéganographie pour voler les données financières des utilisateurs.
  3. ↑ Lokibot – Lokibot est un voleur d’informations distribué principalement via des emails de phishing et utilisé pour voler diverses données telles que les identifiants de messagerie, ainsi que les mots de passe des portefeuilles de CryptoCoin et des serveurs FTP.

Principales vulnérabilités exploitées

Ce mois-ci, « HTTP Headers Remote Code Execution (CVE-2020-13756) » est la vulnérabilité exploitée la plus courante, affectant 45% des entreprises dans le monde, suivie de « MVPower DVR Remote Code Execution » qui touche 44% d’entre elles. « Dasan GPON Router Authentication Bypass (CVE-2018-10561) » occupe la troisième place avec un impact global de 44%.

  1. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
  2. ↑ MVPower DVR Remote Code Execution – vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
  3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – vulnérabilité de contournement d’authentification qui existe dans les routeurs GPON de Dasan. L’exploitation réussie de cette vulnérabilité permettrait à des attaquants à distance d’obtenir des informations sensibles et un accès non autorisé au système concerné.

Top des malwares mobiles

Ce mois-ci, Hiddad occupe la première place des malwares mobiles les plus répandus, suivi de xHelper et FurBall.

  1. Hiddad – Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.
  2. xHelper – application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs et de se réinstaller en cas de désinstallation.
  3. FurBall – FurBall est un MRAT (Mobile Remote Access Trojan) Android déployé par APT-C-50, un groupe APT lié au gouvernement iranien. Ce malware a été utilisé dans de multiples campagnes remontant à 2017, et est toujours actif aujourd’hui. Parmi les fonctionnalités de FurBall, citons le vol de messages SMS et de journaux d’appels mobiles, l’enregistrement des appels et de l’environnement, la collecte de fichiers multimédias, la localisation, etc.

Le classement mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et les tendances des attaques à partir d’un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en mars est disponible sur le blog de Checkpoint.

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.

Partager cet article

Nos billets d’humeur les plus lus

Cyber sécurité : Sprint final avant le début des JOP 2024

A quelques jours du lancement des Jeux Olympiques et Paralympiques 2024, la situation…

A l’ère du deepfake politique, nos démocraties sont-elles en danger ?

Utilisée par les candidats pour mener leur campagne, ou pour déstabiliser un adversaire,…

Comment réinventer la cybersécurité à l’ère de l’IA ?

Jeux Olympiques, élections... 2024 : une actualité favorable à l'accélération de l’IA.……