mar. Oct 8th, 2024

Par ESET

Publication du dernier rapport ESEt sur les tendances des cybermenaces, basé sur les données de décembre 2023 à mai 2024. 

●      Les logiciels malveillants de vol d’informations se déguisent en outils d’IA générative tels que Midjourney, Sora et Gemini.

●      Le nouveau malware mobile GoldPickaxe est capable de voler des données de reconnaissance faciale pour créer des vidéos deepfake.

●      RedLine Stealer a connu plusieurs pics de détection au premier semestre 2024, en particulier en Espagne, au Japon et en Allemagne

●      Balada Injector, un gang exploitant les vulnérabilités des plug-ins WordPress, a compromis plus de 20 000 sites Web et généré plus de 400 000 visites dans la télémétrie d’ESET au premier semestre 2024.

 

Le rapport met en lumière un paysage des menaces dynamique, ciblant les applications financières Android et les portefeuilles bancaires mobiles, à l’aide de logiciels malveillants traditionnels et plus récemment de cryptovoleur. Pour arriver à leurs fins, les logiciels malveillants de vol d’informations se déguisent désormais en outils d’IA générative. Le nouveau malware GoldPickaxe vole des données de reconnaissance faciale pour créer des deepfakes utilisées par ses auteurs dans le cadre de transactions frauduleuses. Il a également été découvert que des jeux vidéo et les outils de triche pour jeux multijoueurs en ligne contiennent des logiciels malveillants de vol d’informations tels que RedLine Stealer, dont plusieurs pics de détection ont été constatés au premier semestre 2024.

 

Vol de données de reconnaissance faciale

« GoldPickaxe possède des versions Android et iOS, et cible les victimes en Asie du Sud-Est par le biais d’applications malveillantes localisées. Lors de l’enquête sur cette famille de malwares, les chercheurs d’ESET ont découvert qu’une ancienne version Android de GoldPickaxe, nommée GoldDiggerPlus, s’est également propagée en Amérique latine et en Afrique du Sud.», explique Jean-Ian BOUTIN, Directeur de la Cyber Threat Intelligence chez ESET.

 

Résurgence de logiciels de vols d’identité

 

Ces derniers mois, les logiciels malveillants de type infostealer ont commencé à se faire passer pour des outils d’IA générative. En 2024, Rilide Stealer a abusé des noms d’assistants d’IA tels que Sora d’OpenAI et Gemini de Google pour attirer des victimes. Dans une autre campagne malveillante, Vidar, un voleur d’informations, se faisait passer pour une application de bureau du générateur d’images d’IA Midjourney, bien que le modèle d’IA de Midjourney ne soit accessible que via Discord. Depuis 2023, ESET Research observe une augmentation des cybercriminels exploitant le thème de l’IA, une tendance qui devrait se poursuivre.

Les amateurs de jeux ayant quitté les magasins d’applications officiels ont été ciblés par des voleurs d’informations. Car des jeux piratés et des outils de triche utilisés dans les jeux multijoueurs en ligne contenaient des logiciels malveillants comme Lumma Stealer et RedLine Stealer. RedLine Stealer a connu plusieurs pics de détection au premier semestre 2024, en particulier en Espagne, au Japon et en Allemagne, avec des détections dépassant d’un tiers celles du second semestre 2023.

 

Exploitation massive de vulnérabilités WordPress

Balada Injector, un gang exploitant des vulnérabilités de plug-ins WordPress, a compromis plus de 20 000 sites Web et généré plus de 400 000 visites selon la télémétrie d’ESET au premier semestre 2024.

 

Activité du groupe de rançongiciel Lockbit

Sur la scène des ransomwares, LockBit a été renversé par l’opération Chronos, menée par les forces de l’ordre en février 2024. Les deux campagnes notables attribuées à LockBit au premier semestre 2024 étaient en réalité menées par d’autres gangs utilisant son arsenal.

 

Des serveurs Linux pris pour cible

Le rapport d’ESET explore une campagne complexe de logiciels malveillants ciblant des serveurs et dirigée par le groupe Ebury. Ce groupe a utilisé Ebury comme porte dérobée pour compromettre environ 400 000 serveurs Linux, FreeBSD et OpenBSD au fil des ans. Fin 2023, plus de 100 000 serveurs étaient toujours compromis.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *