L'idée de n'importe quel malware destiné aux entreprises dépasserait le cadre. Ici, Varonis Threat Labs présente 9 variantes importantes de logiciels malveillants qui ont été particulièrement ciblées sur les informations des entreprises ces dernières années - principalement des chevaux de Troie d'accès à distance (RAT), des voleurs d'informations ou des chevaux de Troie bancaires.
En plus d'une tendance claire vers des ransomwares hautement individualisés, les Varonis Threat Labs ont également remarqué une propagation croissante de ce que l'on appelle les "malwares de base" au cours de l'année dernière. Ce terme fait référence à des logiciels malveillants disponibles à l'achat ou en téléchargement gratuit à grande échelle, qui ne sont pas personnalisés pour des victimes individuelles et qui sont utilisés par une variété d'attaquants différents. Selon les observations des chercheurs en sécurité, parmi le nombre énorme de variantes de logiciels malveillants disponibles, les neuf suivantes en particulier jouent un rôle de premier plan.
njRAT - Cheval de Troie d'accès à distance (RAT)
Observé pour la première fois fin 2012/début 2013, njRAT est un cheval de Troie d'accès à distance (RAT) répandu, développé à l'origine par le gang de cybercriminalité Sparclyheason. Le code source de ce RAT a déjà été publié en mai 2013. En conséquence, il est principalement utilisé par les cybercriminels moins avertis. De nombreux guides et tutoriels sur son utilisation ont été publiés sur des forums underground et sur YouTube. njRAT est encore très répandu et est principalement distribué via des campagnes de spam. On le trouve également dans les versions « trojanisées » d'applications légitimes téléchargées à partir de sources suspectes et de sites Web de partage de fichiers.
Semblable à d'autres programmes RAT populaires, njRAT offre des capacités de contrôle et de surveillance à distance, ainsi que la possibilité de transférer et d'exécuter des fichiers, de manipuler le registre et d'accéder à un shell distant. De plus, le RAT peut enregistrer de l'audio et de la vidéo à distance via des microphones et des webcams connectés, ainsi qu'utiliser des fonctions d'enregistrement de frappe et de vol de mot de passe.
Carnet de formulaires (XLoader)
Formbook a été observé pour la première fois au début de 2016 et renommé XLoader en 2020. Formbook est disponible en tant que malware-as-a-service sur des forums clandestins et est couramment utilisé par des attaquants moins qualifiés pour voler des informations d'identification ou d'autres données aux victimes.
La diffusion de Formbook a continué d'augmenter en 2021, sans doute en raison de sa disponibilité, de son faible coût et de sa facilité d'utilisation. À l'origine, Formbook n'était destiné qu'à Windows. Cependant, depuis l'introduction de XLoader, Apple macOS est également pris en charge. En plus de ses capacités de vol d'informations d'identification, Formbook inclut également certaines fonctionnalités de type RAT, telles que la possibilité de transférer et d'exécuter des charges utiles, et de forcer un redémarrage ou l'arrêt du système. À cet égard, Formbook convient également comme point d'entrée pour diffuser des charges utiles malveillantes et également pour atteindre d'autres objectifs au-delà du vol de données.
NanoCore - Cheval de Troie d'accès à distance (RAT)
NanoCore a été découvert pour la première fois en 2013 et pouvait être acheté pour environ 25 $. Les versions "craquées" sont désormais également répandues dans le milieu de la cybercriminalité. Le malware offre des fonctions RAT typiques qui peuvent être complétées par une architecture modulaire. Les plugins peuvent être utilisés pour étendre considérablement les fonctionnalités. Grâce à la disponibilité de versions fissurées et présentant des fuites, NanoCore est encore largement utilisé aujourd'hui. La distribution se fait généralement via des e-mails de phishing et des copies piratées infectées.
Lokibot - Voleur d'informations
Lokibot (également connu sous le nom de Loki et LokiPWS) est un voleur d'informations qui est apparu pour la première fois à la mi-2015 et a été initialement vendu sur des forums de cybercriminalité jusqu'à 400 $ avant que son code source ne soit divulgué. Il prend en charge des modules supplémentaires comme un enregistreur de frappe et des fonctionnalités de vol de portefeuille de crypto-monnaie. Plus récemment, il a souvent été observé dans le cadre de campagnes de phishing COVID-19.
Remcos - Cheval de Troie d'accès à distance (RAT)
Remcos est commercialisé comme un outil d'accès à distance commercial "légitime" et est régulièrement mis à jour par ses développeurs. Remcos est l'un des chevaux de Troie d'accès à distance les plus répandus et, comme des outils similaires, s'adresse principalement aux attaquants inexpérimentés qui peuvent en savoir plus sur le logiciel malveillant à partir de nombreux didacticiels YouTube. Cependant, de nombreux attaquants professionnels utilisent également Remcos pour éviter d'avoir à développer leurs propres outils et pouvoir se concentrer sur les autres phases de leur attaque.
En plus des fonctionnalités RAT standard, Remcos propose une fonctionnalité "Remote Scripting" qui permet au code de s'exécuter simultanément sur plusieurs hôtes. De plus, les utilisateurs de Remcos peuvent acheter des services supplémentaires auprès des développeurs, par ex. B. un expéditeur de masse pour l'envoi d'e-mails de phishing et un service DNS dynamique. Cela fournit un nom d'hôte unique qui facilite l'accès à l'hôte de commande et de contrôle (C2) et permet aux attaquants de mettre à jour leur adresse IP sans avoir à mettre à jour le binaire Remcos.
AZORult - Voleur d'informations
Découvert pour la première fois au début de 2016, AZORult est un voleur d'informations qui est souvent distribué via des campagnes de spam qui traitent de problèmes d'actualité ou se déguisent en communications commerciales légitimes. Il distribue principalement des documents Microsoft Office avec des macros malveillantes. Lorsque les victimes activent les macros, l'infrastructure de commande et de contrôle des attaquants télécharge la charge utile malveillante. Il lance ensuite AZORult pour voler des données sensibles, notamment les identifiants de connexion, les détails de la carte de paiement, les données de navigation et les portefeuilles de crypto-monnaie avant de les envoyer au C2 et de se désactiver.
AZORult se produit souvent en conjonction avec d'autres attaques, dont la plupart ont d'autres objectifs. En plus de se déguiser en communications commerciales, la prolifération se produit souvent via des "cracks" infectés ou d'autres contenus douteux, souvent associés à une violation du droit d'auteur.
Netwire - Cheval de Troie d'accès à distance (RAT)
Netwire a été identifié pour la première fois en 2012 et est très répandu. Le cheval de Troie d'accès à distance (RAT) est souvent distribué via des campagnes de phishing qui se présentent comme des confirmations de commande ou des notifications de suivi. En plus des fonctions RAT standard, Netwire dispose depuis 2016 d'une fonction de lecture des cartes de paiement. Cela cible spécifiquement les dispositifs de paiement dans les magasins.
Netwire utilise un cryptage spécial pour son trafic de commande et de contrôle afin d'échapper à la détection et de compliquer les enquêtes. Les données volées sont cryptées avant transmission.
Danabot - Cheval de Troie bancaire
Danabot est un cheval de Troie bancaire modulaire qui était à l'origine utilisé par un seul groupe et qui est maintenant vendu à d'autres cybercriminels sous le nom de Malware-as-a-Service (MaaS). Initialement, Danabot s'est concentré sur le vol d'informations d'identification, de comptes de crypto-monnaie et d'informations d'identification bancaires via des injections Web. Cependant, l'architecture modulaire permet au logiciel malveillant d'être facilement personnalisé et utilisé de différentes manières. Par exemple, les fonctions de cryptage RAT et ransomware sont disponibles.
En octobre 2021, un package NPM pour la populaire bibliothèque JavaScript UAParser.js a été compromis et modifié pour télécharger et exécuter Danabot avec un crypto-mineur. Le package légitime est téléchargé entre XNUMX et XNUMX millions de fois par semaine, démontrant l'énorme impact d'une attaque de la chaîne d'approvisionnement.
Emotet – Malware, Spy, Downloader, Ransomware
Emotet est probablement l'un des programmes malveillants les plus connus. Emotet a été initialement développé comme un cheval de Troie bancaire. Bien qu'Emotet ait conservé certaines fonctionnalités de base de vol d'informations, le logiciel malveillant a évolué au fil des ans pour devenir un téléchargeur pour d'autres charges utiles malveillantes. Les acteurs derrière Emotet ont également proposé leur botnet en tant que service, devenant l'un des principaux distributeurs d'autres menaces populaires telles que le rançongiciel Ryuk.
Entre-temps, Emotet s'est également un peu calmé en raison d'un démantèlement international par divers organismes chargés de l'application des lois. Cependant, les activités se multiplient à nouveau, parfois sous de nouveaux noms et dans des constellations différentes.
Plus sur Varonis.com
À propos de Varonis Depuis sa création en 2005, Varonis a adopté une approche différente de la plupart des fournisseurs de sécurité informatique en plaçant les données d'entreprise stockées à la fois sur site et dans le cloud au cœur de sa stratégie de sécurité : fichiers et e-mails sensibles, informations confidentielles sur les clients, les patients et les patients. Les dossiers des employés, les dossiers financiers, les plans stratégiques et de produits et toute autre propriété intellectuelle. La plate-forme de sécurité des données Varonis (DSP) détecte les menaces internes et les cyberattaques en analysant les données, l'activité des comptes, la télémétrie et le comportement des utilisateurs, prévient ou atténue les atteintes à la sécurité des données en verrouillant les données sensibles, réglementées et obsolètes, et maintient un état sûr des systèmes. grâce à une automatisation efficace.,