ven. Nov 15th, 2024

Le cheval de Troie d’accès à distance Agent Tesla se propage via des campagnes de spam liées au coronavirus

Des chercheurs de Check Point ont constaté une forte augmentation du nombre d’attaques utilisant la nouvelle version d’Agent Tesla capable de dérober des mots de passe Wifi, tandis que le cheval de Troie bancaire Dridex est la menace la plus courante.

 

Check Point® Software Technologies Ltd. (code NASDAQ : CHKP), l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son tout dernier indice Check Point des menaces pour avril 2020, via Check Point Research, son équipe dédiée d’intelligence sur les menaces.  Les chercheurs ont constaté que plusieurs campagnes de spam liées au coronavirus (COVID-19) diffusaient une nouvelle variante du cheval de Troie d’accès à distance Agent Tesla. Il est ainsi passé à la 3e place de l’indice, touchant 3 % des entreprises dans le monde.

La nouvelle variante d’Agent Tesla a été modifiée pour dérober des mots de passe Wifi en plus d’autres informations sur les PC ciblés, telles que les identifiants de messagerie Outlook. En avril, Agent Tesla a été diffusé via des pièces jointes dans plusieurs campagnes de spam malveillantes liées à COVID-19, qui tentent d’inciter les victimes à télécharger des fichiers malveillants sous couvert de fournir des informations intéressantes sur la pandémie.  L’une de ces campagnes prétendait être envoyée par l’Organisation mondiale de la santé avec pour objet « LETTRE D’INFORMATION URGENTE : RÉSULTATS DES PREMIERS ESSAIS D’UN VACCIN COVID-19 SUR DES HUMAINS ».  Cela montre comment les pirates exploitent les actualités et les préoccupations du public pour augmenter le taux de réussite de leurs attaques.

Le célèbre cheval de Troie bancaire Dridex, qui est entré pour la première fois dans le top 10 de l’indice des menaces en mars, a eu un impact encore plus important en avril. Il est passé de la 3e place de l’indice en mars à la 1ère place en avril, touchant 4 % des entreprises dans le monde. XMRig, le logiciel malveillant le plus répandu en mars, est passé à la seconde place.

« Les campagnes de spam d’Agent Tesla que nous avons vues en avril soulignent à quel point les cybercriminels font preuve d’ingénuité lorsqu’il s’agit d’exploiter des événements d’actualité et tromper des victimes sans méfiance pour qu’elles cliquent sur un lien infecté, » déclare Maya Horowitz, Directrice de la recherche et des renseignements sur les menaces chez Check Point. « Avec Agent Tesla et Dridex dans les trois premières places de l’indice des menaces, les criminels se concentrent sur le vol de données personnelles et professionnelles des utilisateurs, et de leurs identifiants, afin de les monétiser.  Il est donc essentiel que les entreprises adoptent une approche proactive et dynamique de la sensibilisation des utilisateurs, en informant leur personnel des tous derniers outils et techniques, d’autant plus qu’un nombre croissant de collaborateurs travaillent désormais à domicile. »

Les chercheurs ont également signalé que l’exécution de code à distance MVPower DVR est restée la vulnérabilité la plus couramment exploitée, bien que son impact ait augmenté et qu’elle touche désormais 46% des entreprises dans le monde. En seconde position, la vulnérabilité de récupération d’informations OpenSSL TLS DTLS heartbeat a eu un impact global de 41 %, suivie de près par l’injection de commandes sur HTTP qui a touché 40 % des entreprises dans le monde.

Principales familles de logiciels malveillants

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Dridex passe en première place, touchant 4 % des entreprises dans le monde, suivi de XMRig et d’Agent Tesla qui touchent respectivement 4 % et 3 % des entreprises dans le monde.

  1. ↑ Dridex – Un cheval de Troie ciblant la plateforme Windows et téléchargé via une pièce jointe d’un email de spam. Il contacte un serveur distant et envoie des informations sur le système ciblé, et peut télécharger et exécuter des modules arbitraires reçus depuis le serveur distant.
  2. ↓ XMRig – Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie Monero. Il a été découvert en mai 2017.
  3. ↑ Agent Tesla – Un outil malveillant d’accès à distance capable de surveiller et de collecter les frappes au clavier et le contenu du presse-papiers, d’effectuer des captures d’écran et d’exfiltrer les identifiants de différents logiciels installés sur la machine de la victime (y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook).

Principales vulnérabilités exploitées

Ce mois-ci, l’exécution de code à distance MVPower DVR était la vulnérabilité la plus couramment exploitée, touchant 46 % des entreprises dans le monde, suivie par la récupération d’informations OpenSSL TLS DTLS heartbeat avec un impact global de 41 %. En troisième position, la vulnérabilité d’injection de commandes sur Http a touché 40 % des entreprises dans le monde entier, notamment lors d’attaques exploitant une vulnérabilité zero-day dans les routeurs et les commutateurs DrayTek (CVE-2020-8515).

 

  1. ↔ Exécution de code à distance MVPower DVR – Une vulnérabilité d’exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
  2.  Récupération d’informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) – Une vulnérabilité de récupération d’informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d’un client ou d’un serveur connecté.
  3. ↑ Command Injection Over HTTP Payload – Un pirate distant peut exploiter cette vulnérabilité en envoyant une requête spécialement conçue à la victime. Une exploitation réussie de cette vulnérabilité permettrait à un pirate d’exécuter du code arbitraire sur la machine ciblée.

Principales familles de logiciels malveillants mobiles

Ce mois-ci, xHelper conserve la première place du classement des logiciels malveillants mobiles les plus répandus, suivi de Lotoor et d’AndroidBauts.

  1. xHelper – Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs, et de se réinstaller au cas où elle aurait été désinstallée.

  1. Lotoor – Un outil de piratage ciblant des vulnérabilités du système d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.

 

  1. AndroidBauts – Un logiciel publicitaire malveillant ciblant les utilisateurs d’Android. Il exfiltre les numéros IMEI et IMSI, la localisation GPS et d’autres informations depuis les appareils, et permet l’installation d’applications et de raccourcis tiers sur les appareils mobiles.

 

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud inspecte plus de 2,5 milliards de sites web et 500 millions de fichiers par jour, et identifie plus de 250 millions d’activités de logiciels malveillants chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en février est disponible sur le Blog Check Point.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *