La campagne Qbot, qui a eu lieu le mois dernier, utilise une nouvelle méthode de livraison où un e-mail est envoyé aux personnes cibles avec une pièce jointe contenant des fichiers PDF protégés.
Une fois ceux-ci téléchargés, le malware Qbot sera installé sur l'appareil. Les chercheurs ont découvert que le malspam était envoyé dans plusieurs langues, ce qui signifie que les organisations pouvaient être ciblées dans le monde entier. Mirai, l'un des logiciels malveillants IoT les plus populaires, a également fait son retour le mois dernier. Les chercheurs ont découvert que Mirai exploite une nouvelle vulnérabilité zero-day (CVE-2023-1380) pour attaquer les routeurs TP-Link et les ajouter à son botnet, qui a été utilisé dans certaines des attaques DDoS les plus largement diffusées de tous les temps. Cette dernière campagne fait suite à un rapport complet de Check Point Research (CPR) sur la prolifération des attaques IOT.
Cibler les fournisseurs de services logiciels
Il y a également eu un changement dans les secteurs touchés par les cyberattaques en Allemagne : pas en premier lieu, car le commerce de détail et le commerce de gros restent les domaines les plus attaqués. Cependant, les FAI/MSP (fournisseurs de services logiciels) remontent à la deuxième place, tandis que la santé a glissé au 3e secteur le plus attaqué en avril. Les attaques contre les établissements de santé sont bien documentées et certains pays continuent de faire face à des attaques constantes. L'industrie reste une cible lucrative pour les pirates, leur donnant potentiellement accès à des informations sensibles sur les patients et les paiements. Cela pourrait avoir un impact sur les sociétés pharmaceutiques car cela pourrait entraîner des fuites dans les essais cliniques ou de nouveaux médicaments et dispositifs.
"Les cybercriminels travaillent constamment sur de nouvelles façons de contourner les restrictions, et ces campagnes sont une preuve supplémentaire de la façon dont les logiciels malveillants s'adaptent pour survivre. La campagne renouvelée de Qbot nous rappelle l'importance d'avoir une cybersécurité complète en place et une diligence raisonnable dans l'évaluation de l'origine et de l'intention d'un e-mail », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software.
Principaux logiciels malveillants en Allemagne
*Les flèches font référence à l'évolution du classement par rapport au mois précédent.
1. ↔ Qbot – Qbot, également connu sous le nom de Qakbot, est un cheval de Troie bancaire apparu pour la première fois en 2008. Il est conçu pour voler les informations bancaires et les frappes d'un utilisateur. Couramment distribué via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour compliquer l'analyse et échapper à la détection.
2. ↑ NanoCore – NanoCore est un cheval de Troie d'accès à distance ciblant les utilisateurs de systèmes d'exploitation Windows et a été observé pour la première fois dans la nature en 2013. Toutes les versions du RAT incluent des plugins et des fonctionnalités de base telles que l'enregistrement d'écran, l'extraction de crypto-monnaie, le contrôle du bureau à distance et le vol de sessions de webcam.
3. ↑ AgentTesla - AgentTesla est un RAT sophistiqué qui agit comme un enregistreur de frappe et un voleur de mots de passe et est actif depuis 2014. AgentTesla peut surveiller et collecter les frappes et le presse-papiers de la victime, capturer des captures d'écran et exfiltrer les informations d'identification pour une variété de logiciels installés sur l'ordinateur de la victime (y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook). AgentTesla est vendu sur divers marchés en ligne et forums de piratage.
Top 3 des vulnérabilités
Au cours du mois dernier, Web Servers Malicious URL Directory Traversal était la vulnérabilité la plus exploitée, affectant 48 % des organisations dans le monde, suivie par Apache Log4j Remote Code Execution à 44 % et HTTP Headers Remote Code Execution avec un impact global de 43 %.
↑ Serveurs Web Malicious URL Directory Traversal – Une vulnérabilité de traversée de répertoire existe sur divers serveurs Web. La vulnérabilité est due à une erreur de validation d'entrée dans un serveur Web qui ne nettoie pas correctement l'URI pour les modèles de traversée de répertoire. Une exploitation réussie permet à des attaquants non authentifiés d'exposer ou d'accéder à des fichiers arbitraires sur le serveur vulnérable.
↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Une vulnérabilité existe dans Apache Log4j qui permet l'exécution de code à distance. L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d'exécuter du code arbitraire sur le système affecté.
↓ En-têtes HTTP Exécution de code à distance (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur d'inclure des informations supplémentaires avec une requête HTTP à transmettre. Un attaquant distant peut employer un en-tête HTTP vulnérable pour exécuter du code arbitraire sur la machine de la victime.
Top 3 des logiciels malveillants mobiles
Au cours du mois dernier, Ahmyth était le malware mobile le plus répandu, suivi d'Anubis et de Hiddad.
1. ↔ AhMyth – AhMyth est un cheval de Troie d'accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android trouvées dans les magasins d'applications et divers sites Web. Lorsqu'un utilisateur installe l'une de ces applications infectées, le logiciel malveillant peut collecter des informations sensibles sur l'appareil et effectuer des actions telles que l'enregistrement de frappe, la prise de captures d'écran, l'envoi de SMS et l'activation de l'appareil photo.
↔ Anubis – Anubis est un cheval de Troie bancaire développé pour les téléphones Android. Depuis sa détection initiale, il a acquis des fonctionnalités supplémentaires, notamment un cheval de Troie d'accès à distance (RAT), des capacités d'enregistreur de frappe et d'enregistrement audio, ainsi que diverses fonctions de ransomware. Il a été repéré dans des centaines d'applications différentes sur le Google Store.
↔ Hiddad – Hiddad est un logiciel malveillant Android qui reconditionne des applications légitimes, puis les publie dans un magasin tiers. Sa fonction principale est d'afficher des publicités, mais il peut également accéder à d'importants détails de sécurité du système d'exploitation.
As-tu un instant?
Prenez quelques minutes pour notre enquête auprès des utilisateurs 2023 et contribuez à améliorer B2B-CYBER-SECURITY.de!Vous n'avez qu'à répondre à 10 questions et vous avez une chance immédiate de gagner des prix de Kaspersky, ESET et Bitdefender.
Ici, vous accédez directement à l'enquête
Industries attaquées en Allemagne
1. ↔ Détail/Gros (Détail/Gros)
2. ↑ Fournisseur de services informatiques/fournisseur de services gérés (ISP/MSP)
3. ↓ Éducation/Recherche
Le Global Threat Impact Index et ThreatCloud Map de Check Point sont optimisés par ThreatCloud Intelligence de Check Point. ThreatCloud fournit des informations en temps réel sur les menaces dérivées de centaines de millions de capteurs dans le monde entier sur les réseaux, les terminaux et les téléphones mobiles. Cette intelligence est enrichie de moteurs basés sur l'IA et de données de recherche exclusives de Check Point Research, le département de recherche et développement de Check Point Software Technologies.
Plus sur Checkpoint.com
À propos du point de contrôle Check Point Software Technologies GmbH (www.checkpoint.com/de) est l'un des principaux fournisseurs de solutions de cybersécurité pour les administrations publiques et les entreprises du monde entier. Les solutions protègent les clients contre les cyberattaques avec un taux de détection des logiciels malveillants, des rançongiciels et d'autres types d'attaques à la pointe du secteur. Check Point propose une architecture de sécurité multicouche qui protège les informations de l'entreprise sur le cloud, le réseau et les appareils mobiles, ainsi que le système de gestion de la sécurité « à un seul point de contrôle » le plus complet et le plus intuitif. Check Point protège plus de 100.000 XNUMX entreprises de toutes tailles.