Qbot, le cheval de Troie bancaire le plus diffusé en février en France.

A LA UNE

Thierry Burlot (Nous la Bretagne) : « Les Bretonnes et Bretons furent probablement celles et ceux qui furent les plus migrants il y a...

Alors qu'un sondage Odoxa-Le Télégramme donne la liste Nous la Bretagne de Thierry Burlot, investit par LREM, en tête...

Renaud Camus : « Il n’y a d’issue sérieuse que la remigration, la décolonisation, le retour chez lui, contractuel ou forcé, de l’occupant »...

Notre quotidien occidental en est la preuve : Le Grand Remplacement n’est ni une théorie ni un complot. C’est...

Loi Molac : Jean-Michel Blanquer est un mauvais perdant

Il faut se méfier de ce que raconte Jean-Michel Blanquer. En paroles, il est favorable à la langue bretonne....

Covid-19. La situation s’améliore partout dans le monde, à l’exception de l’Asie de l’Ouest

Après avoir plafonné dans la semaine du 24 avril au 1er mai, les nombres hebdomadaires de contamination (-5%) et...

Irlande du Nord. 3 200 meurtres liés aux Troubles pourraient être prescrits judiciairement

Le gouvernement britannique envisage de modifier un élément de la législation de l'Accord du Vendredi Saint afin de protéger...

Des analystes ont découvert que le cheval de Troie Trickbot commençait à être l’une des armes les plus utilisées par les pirates informatiques à travers le monde tandis qu’en France, c’est Qbot qui fait des ravages.

Après le démantèlement du botnet Emotet en janvier, les chercheurs informent que les groupes cybercriminels utilisent désormais de nouvelles techniques avec des malwares tels que Trickbot pour poursuivre leurs activités malveillantes. En février, Trickbot a été diffusé par le biais d’une campagne malveillante de spams visant à inciter les utilisateurs des secteurs juridiques et de l’assurance à télécharger un fichier .zip sur leur PC, contenant un fichier JavaScript malveillant. Une fois ce fichier ouvert, il tente de télécharger une autre charge utile malveillante depuis un serveur distant.

Trickbot était le quatrième logiciel malveillant le plus répandu dans le monde en 2020, impactant 8 % des organisations.  Il a joué un rôle clé dans l’une des cyberattaques les plus médiatisées et les plus coûteuses de 2020 et qui a touché Universal Health Services (UHS), l’un des principaux fournisseurs de soins de santé aux États-Unis. UHS a été touché par le logiciel rançonneur Ryuk, et a déclaré que l’attaque lui avait coûté 67 millions de dollars en pertes de revenus et en frais. Les attaquants se sont servis de Trickbot pour détecter et récolter les données des systèmes d’UHS, pour ensuite transmettre la charge utile du logiciel rançonneur.

« Les criminels utiliseront toujours les menaces et les outils à leur disposition. Trickbot est populaire car il est polyvalent et qu’il a permis des attaques réussies dans le passé », déclare Maya Horowitz de chez Check Point, qui a rédigé le rapport de sécurité évoquant ces problèmes . « Comme on peut s’y attendre, même si on élimine une menace majeure, de nombreuses autres présenteront toujours un risque élevé sur les réseaux du monde entier. Les organisations doivent donc s’assurer qu’elles disposent de systèmes de sécurité puissants pour empêcher que leurs réseaux ne soient compromis et minimiser les risques. Une formation complète des employés est indispensable, comme toujours, pour pouvoir identifier les types d’e-mails malveillants qui répandent Trickbot et d’autres logiciels malveillants. » 

Check Point Research avertit également que l’« exécution de code à distance MVPower DVR » est la vulnérabilité exploitée la plus courante, touchant 48% des organisations mondiales, suivie par l’ « exécution de code à distance des en-têtes HTTP (CVE-2020-13756)» qui touche 46% des organisations dans le monde. L’« exécution de code à distance MVPower DVR» occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 45 %.

Qbot, cheval de Troie bancaire numéro un en France

Qbot, alias Qakbot, est un cheval de Troie bancaire apparu en 2008, conçu pour dérober les informations d’identification bancaires et les frappes au clavier des utilisateurs. Souvent distribué par le biais de spams, Qbot se sert de plusieurs techniques anti-VM, anti-débogage et anti-sandbox, pour entraver l’analyse et ne pas être détecté. Mais il n’est pas le seul à faire de gros dégâts en France :

Détecté pour la première fois en 2016, FormBook est un InfoStealer qui cible le système d’exploitation Windows. Il est commercialisé en tant que MaaS dans les forums de piratage clandestins pour ses solides techniques d’évasion et son prix relativement bas. FormBook recueille les informations d’identification de divers navigateurs Web, fait des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.

D’autres logiciels dangereux comme Smokeleader, Dridex, Ramnit, Xmrig, Ryuk ou encore Arkei figurent parmi les menaces pour les internautes français.

Principales familles de logiciels malveillants

Ce mois-ci, Trickbot est le logiciel malveillant le plus populaire, touchant 3 % des entreprises au niveau mondial, suivi de près par XMRig et Qbot, qui touchent chacun 3 % des entreprises.

 Trickbot – Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.

XMRig – XMRig est un logiciel de minage de CPU open-source utilisé sur la crypto-monnaie Monero et apparu la première fois en mai 2017.

Qbot – Qbot est un cheval de Troie bancaire apparu en 2008, conçu pour voler les informations d’identification bancaires et les frappes des utilisateurs. Souvent diffusé via spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection.

Principales vulnérabilités exploitées

Ce mois-ci, la « Récupération d’informations sur le référentiel Git d’un serveur web exposé » est la plus couramment exploitée, touchant 48% des organisations dans le monde, suivie de près par l’ « exécution de code à distance des en-têtes HTTP (CVE-2020-13756) » qui touche 46% des entreprises dans le monde. L’ « exécution de code à distance MVPower DVR » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 45 %.

 Récupération d’informations sur le référentiel Git d’un serveur web exposé – Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.

Exécution de code à distance des en-têtes HTTP (CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

Exécution de code à distance MVPower DVR – Une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette faiblesse pour exécuter du code arbitraire dans le routeur concerné via une requête spécialement conçue.

Principales familles de logiciels malveillants mobiles

Ce mois-ci, Hiddad occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de xHelper et FurBall.

Hiddad – Un logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Il a pour principale fonction d’afficher des publicités, mais peut également accéder aux informations de sécurité clés intégrés dans le système d’exploitation.

xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller en cas de désinstallation.

 FurBall – FurBall est un MRAT (cheval de Troie d’accès à distance mobile) Android déployé par APT-C-50, un groupe APT iranien lié au gouvernement iranien. Ce malware a été utilisé dans de multiples campagnes remontant à 2017, et est toujours actif aujourd’hui. Les capacités de FurBall incluent le vol de SMS, l’historique des appels, l’enregistrement surround, l’enregistrement d’appels, la collecte de fichiers multimédias, le suivi de localisation, etc.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.

Crédit photo : DR
[cc] Breizh-info.com, 2021, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine

.
- Je soutiens BREIZH-INFO -

Isabelle Le Callennec (LR) : « Jersey, Saint-Brieuc… ou l’échec de la méthode »

Isabelle Le Callennec, tête de liste Les Républicains à l'occasion des élections régionales de juin 2021, vient d'adresser à...

François Boulo : « Il y aura une révolution en France ! »

François Boulo : « Il y aura une révolution en France ! ». François Boulo, né en 1986, est...

Articles liés

Achats en ligne : redoublez de vigilance !

Avec la crise sanitaire et l’adoption massive du télétravail, les opportunités d’achat en ligne se sont démultipliées, tout comme les actes cyber malveillant. Voici...

Sécurité informatique. Simplifier et renforcer la gestion de vos mots de passe, est-ce possible ?

Le point commun de la quasi-totalité des sites, outils et applications que vous utilisez quotidiennement ? Ils vous identifient via un mot de passe associé...

Informatique. Seul 1 Français sur 3 change régulièrement ses mots de passe

Après une année 2020 très riche en matière de numérique, et des risques qui vont avec, les Français vont-ils intégrer la cyber-hygiène à leurs...

Sécurité informatique. Google corrige quatre failles majeurs dans Chrome

La semaine dernière, Google a lancé une mise à jour de son navigateur web Chrome qui corrige une série de failles de sécurité, dont...