Accueil Cybersécurité Rapport WatchGuard T2 2019 : des logiciels malveillants cachés dans des réseaux...

Rapport WatchGuard T2 2019 : des logiciels malveillants cachés dans des réseaux de diffusion de contenu légitimes

Quel sont les principaux domaines qui hébergent des logiciels malveillants et sont à l’origine d’attaques de phishing ? 

 

Le rapport en matière de sécurité Internet pour le 2nd trimestre 2019 classe, pour la première fois, les domaines les plus couramment utilisés par les cybercriminels pour héberger des logiciels malveillants et lancer des attaques de phishing. Au nombre de ceux-ci figurent plusieurs sous-domaines de sites et autres réseaux de diffusion ou de partage de de contenus et fichiers légitimes tels que CloudFlare.net (qui appartient à Amazon), SharePoint, Amazonaws.com ou my[.]mixtape[.]moe.S’il est vrai que ce mode d’attaque n’est pas nouveau, les analyses de WatchGuard mettent en lumière les domaines spécifiques utilisés dans le cadre de ces attaques.

Kali Linux fait ses débuts dans le top 10 des logiciels malveillants

Pour la première fois, 2 modules du célèbre système d’exploitation de hacking Kali Linux apparaissent parmi les logiciels malveillants les plus utilisés selon WatchGuard. Trojan.GenericKD, qui regroupe une famille de malwares pensés pour créer une porte dérobée vers un serveur de commande et de contrôle, et Backdoor.Small.DT, un script shell web utilisé pour créer des portes dérobées sur des serveurs web, sont classés en 6ème et 7ème position sur cette liste. Ce qui peut signifier 2 choses, selon l’éditeur : « soit une adoption croissante de ces modules par les cybercriminels, soit un plus grand nombre de tests d’intrusion réalisés par les hackeurs éthiques ayant recours à Kali Linux« .

Le ransomware Sodinokibi prend pour cible les MSP

Le rapport contient également une analyse détaillée des logiciels malveillants utilisés lors des attaques perpétrées par le ransomware Sodinokibi sur les MSP. Le Threat Lab de WatchGuard montre que les hackers ont exploité des identifiants faibles, volés ou ayant fuité pour obtenir un accès administrateur aux outils de gestion légitimes utilisés par ces MSP pour monitorer et gérer les réseaux de leurs clients, puis utilisé ces outils pour désactiver les contrôles de sécurité et diffuser le ransomware Sodinokibi via PowerShell.