Un rapport de Check Point Research révèle, qu’à l’échelle mondiale, Vidar, un voleur d’infos (infostealer), a fait son retour dans la liste des dix premiers malwares, de janvier. Il accède à la septième place de classement. En France, se sont toujours Emotet et Qbot qui dominent le classement.
Dans ce classement des menaces de janvier 2023, l’infostealer Vidar a réintégré le classement en septième position. Il s’est propagé par le biais de faux domaines prétendant être associés à la société de logiciels de bureau à distance AnyDesk. Le malware s’est servi du détournement d’URL de diverses applications populaires pour rediriger les utilisateurs vers une seule adresse IP censée être le site officiel d’AnyDesk. Une fois téléchargé, le malware se faisait passer pour un installateur légitime afin de voler des informations sensibles telles que des identifiants de connexion, des mots de passe, des données de portefeuilles de crypto-monnaies et des coordonnées bancaires.
Principales familles de malware en France
– Emotet est un cheval de Troie perfectionné, auto-propagateur et modulaire. Emotet, autrefois utilisé comme cheval de Troie bancaire, a récemment été utilisé comme d’autres logiciels malveillants ou de campagnes malveillantes. Il a recours à de multiples méthodes pour garantir la persistance et à des techniques d’évasion pour éviter de se faire repérer. De plus, il peut se propager par des spams de phishing comprenant des pièces jointes ou des liens malveillants.
– Qbot AKA Qakbot est un cheval de Troie bancaire dont la première apparition remonte à 2008. Il a été conçu pour voler les identifiants bancaires et les frappes au clavier d’un utilisateur. Souvent diffusé via des spams, Qbot utilise plusieurs techniques anti-VM, anti-débogage et anti-sandbox pour bloquer l’analyse et échapper à la détection.
– Formbook est un infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé en tant que Malware as a Service (MaaS) dans les forums de piratage pour ses solides techniques d’évasion et son prix relativement bas. FormBook récolte des informations d’identification à partir de divers navigateurs Web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers selon les ordres de son C&C.
Principales vulnérabilités exploitées dans le monde
Ce mois-ci, « Web Server Exposed Git Repository Information Disclosure » est la vulnérabilité la plus exploitée, affectant 46 % des organisations dans le monde, suivie de
« HTTP Headers Remote Code Execution » qui touche 42 % des organisations dans le monde. « MVPower DVR Remote Code Execution » occupe la troisième place avec un impact global de 39%.
Web Server Exposed Git Repository Information Disclosure. Cette vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
MVPower DVR Remote Code Execution – Une vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
