Le maliciel le plus recherché en avril 2020 : le cheval de Troie d’accès à distance Agent Tesla se propage largement via des campagnes de pourriels ayant trait au coronavirus
Check Point Research, la division Analyse des menaces de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), éminent fournisseur international de solutions de cyber-sécurité, publie la dernière édition en date de son Indice international des Menaces pour le mois d’avril 2020. Les chercheurs ont relevé plusieurs campagnes de pourriels ayant trait au coronavirus (Covid-19) qui diffusent une nouvelle variante du cheval de Troie d’accès à distance Agent Tesla, ce qui le classe en troisième position de l’Indice, pour un taux d’impact atteignant 3% du nombre d’entreprises et d’organisations dans le monde.
La nouvelle variante d’Agent Tesla a été modifiée de telle sorte à dérober des mots de passe Wi-Fi en plus d’autres types d’informations — tels que des identifiants de courriel Outlook — sur les ordinateurs personnels visés. Pendant le mois d’avril, Agent Tesla a été distribué sous forme de pièce jointe lors de différentes campagnes malveillantes de pourriels liées au Covid-19 et qui tentent de pousser la victime à télécharger des fichiers malveillants sous prétexte de leur procurer des informations intéressantes au sujet de la pandémie. L’une de ces campagnes était prétendument envoyée par l’Organisation mondiale de la santé et avait pour intitulé “URGENT INFORMATION LETTER: FIRST HUMAN COVID-19 VACCINE TEST/RESULT UPDATE”. Cela illustre combien les hackers sont désireux d’exploiter l’actualité de la planète et les inquiétudes du public pour augmenter le taux de réussite de leurs attaques.
Le très célèbre cheval de Troie bancaire Dridex, qui a pour la première fois fait son entrée dans le top 10 de l’Indice des menaces en mars, a eu un impact encore plus grand en avril. Il est passé de la troisième place, qui était la sienne le mois dernier, à la première du classement, touchant 4% des organisations à travers le monde. XMRig, le maliciel le plus répandu en mars, a reculé d’une place, se situant désormais en deuxième position.
« Les campagnes de pourriels Agent Tesla auxquelles on a assisté en avril soulignent simplement à quel point les cybercriminels peuvent faire preuve d’agilité lorsqu’il s’agit d’exploiter l’actualité et de duper des victimes peu méfiantes pour les amener à cliquer sur un lien infecté », déclare Maya Horowitz, directrice Threat Intelligence & Research, en charge des produits, chez Check Point. « Avec Agent Tesla et Dridex figurant tous deux dans le trio de tête de l’Indice des menaces, les criminels se concentrent sur le vol des données personnelles et professionnelles des utilisateurs et de leurs identifiants en vue de les monétiser. Il est dès lors crucial que les organisations adoptent une démarche volontariste et dynamique dans la formation des utilisateurs, qu’elles tiennent leurs équipes informées des derniers outils et techniques, en particulier à l’heure où une partie plus importante de leurs effectifs travaillent désormais à partir de leur domicile. »
L’équipe de recherche alerte également sur le fait que “MVPower DVR Remote Code Execution” confirme son statut de vulnérabilité la plus communément exploitée, alors même que son impact s’est accentué, la faisant toucher 46% des organisations à travers le monde. Elle est suivie de près par “OpenSSL TLS DTLS Heartbeat Information Disclosure”, qui a affiché un impact global de 41%, et “Command Injection Over HTTP Payload”, qui a touché 40% des organisations de par le monde.
Principales familles de maliciels
*Les flèches font référence à l’évolution du classement par comparaison au mois précédent.
En avril, Dridex s’est hissé à la première place, touchant 4% des organisations à l’échelle mondiale, suivi par XMRig et Agent Tesla, qui ont respectivement touché 4% et 3% des organisations à travers le monde.
- Dridex – Dridex est un cheval de Troie bancaire qui vise la plate-forme Windows et se diffuse apparemment par le biais d’une pièce jointe annexée à un pourriel. Dridex établit un contact avec un serveur à distance et envoie les informations concernant le système infecté. Il est également capable de télécharger et d’exécuter des modules arbitraires réceptionnés à partir du serveur à distance.
- XMRig – XMRig est un logiciel open source de minage de CPU utilisé pour le processus de minage de la crypto-monnaie Monero ; il a été repéré pour la première fois en mai 2017.
- Agent Tesla – Agent Tesla est un RAT (outil d’accès à distance) évolué qui fonctionne à la manière d’un capteur de frappes et de voleur d’informations, capable de surveiller et de capter les saisies de la victime au clavier, les entrées du clavier système, en prenant des captures d’écran et en exfiltrant les identifiants de divers logiciels installés sur l’équipement de la victime (y compris Google Chrome, Mozilla Firefox et le module client Microsoft Outlook).
Principales vulnérabilités exploitées
En avril, “MVPower DVR Remote Code Execution” fut la vulnérabilité la plus communément exploitée, touchant 46% des organisations à l’échelle de la planète, suivie par “OpenSSL TLS DTLS Heartbeat Information Disclosure”, qui a affiché un impact global de 41%. En troisième position, la vulnérabilité “Command Injection Over HTTP Payload” a touché 40% des organisations de par le monde et a essentiellement été repérée dans des attaques exploitant une vulnérabilité Jour-Zéro sur dispositifs de commutation et routeurs “DrayTek” (CVE-2020-8515).
- MVPower DVR Remote Code Execution – Une vulnérabilité d’exécution de code à distance existant au sein de dispositifs DVR MVPower. Un pirate, opérant à distance, peut exploiter cette faille afin d’exécuter du code arbitraire dans le routeur infecté au moyen d’une requête spécifique.
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Une vulnérabilité de type divulgation d’information qui existe au sein d’OpenSSL. La vulnérabilité est due à une erreur dans le traitement de paquets de pulsation TLS/DTLS. Un pirate peut tirer parti de cette vulnérabilité afin de divulguer le contenu de la mémoire d’un serveur ou d’un client connecté.
- Command Injection Over HTTP Payload – Un pirate opérant à distance peut exploiter cette faille en envoyant à la victime une requête spécialement conçue à cet effet. En cas d’exploitation réussie, un pirate pourrait avoir la possibilité d’exécuter du code arbitraire sur le système de la victime.
Principales familles de mailiciels – Mobiles
En avril, xHelper a continué d’occuper la première place parmi les maliciels mobiles les plus répandus, suivi par Lotoor et AndroidBauts.
- xHelper – Une application malveillante observée sur la Toile depuis mars 2019 et utilisée pour le téléchargement d’autres applis malveillantes et pour l’affichage de publicités. L’application est capable de se dissimuler aux yeux de l’utilisateur et se réinstalle si on la désinstalle.
- Lotoor – Lotoor est un outil de piratage qui exploite des vulnérabilités existant dans le système d’exploitation Android afin d’obtenir des privilèges root sur les équipements mobiles compromis.
- AndroidBauts – AndroidBauts est un publiciel qui vise les utilisateurs Android. Il exfiltre des informations IMEI, IMSI, de localisation GPS ou autres informations concernant les dispositifs mobiles et permet l’installation d’applis tierces et de raccourcis sur des équipements mobiles.
L’Indice international d’Impact des Menaces de Check Point et sa carte ThreatCloud sont alimentés par les analyses ThreatCloud de Check Point, le plus important réseau collaboratif dédié à la lutte contre la cyber-criminalité qui procure des données sur les menaces et les tendances de piratage repérées par un réseau international de capteurs de menaces. Chaque jour, la base de données ThreatCloud inspecte plus de 2,5 milliards de sites Internet et 500 millions de fichiers et identifie plus de 250 millions d’activités malveillantes.
La liste complète des 10 principales familles de maliciels pour le mois d’avril est disponible sur le blog de Check Point.