Le malware le plus recherché de février 2023 : Le cheval de Troie Remcos

Check Point® Software Technologies Ltd., l’un des principaux fournisseurs de solutions de cybersécurité dans le monde, a publié son Classement de menace globale pour le mois de février 2023.

Pour la première fois depuis décembre 2022, le cheval de Troie Remcos a réintégré le top 10 le mois dernier. Il a en effet été signalé que des acteurs de la menace l’utilisaient pour viser des entités du gouvernement ukrainien par le biais d’attaques de phishing. Parallèlement, le cheval de Troie Emotet et le Formbook Infostealer ont grimpé dans le classement en prenant respectivement la deuxième et la troisième place, tandis que les secteurs de l’éducation et de la recherche sont restés les plus visés.

Même si les chercheurs ont identifié une diminution de 44 % du nombre moyen d’attaques hebdomadaires par entreprise entre octobre 2022 et février 2023, au lendemain de l’invasion russe, l’Ukraine reste une cible prisée des cybercriminels. Au cours de la campagne la plus récente, les attaquants se sont fait passer pour Ukrtelecom JSC dans une distribution massive d’e-mails, en utilisant une pièce jointe RAR malveillante pour propager le cheval de Troie Remcos, qui est revenu dans la liste des principaux malwares pour la première fois depuis octobre 2022. Une fois installé, l’outil ouvre une porte dérobée sur le système compromis, permettant à l’utilisateur distant d’accéder à l’intégralité du système et d’exfiltrer des données et d’exécuter des commandes. On pense que les attaques en cours sont liées à des opérations de cyberespionnage du fait des modèles de comportement et des capacités offensives des incidents.

CPR (Check Point Research) a également révélé que le « Web Servers Malicious URL Directory Traversal » était la vulnérabilité la plus exploitée, touchant 47 % des entreprises dans le monde. Elle est suivie par « Web Server Exposed Git Repository Information Disclosure », qui a touché 46 % des entreprises dans le monde, tandis que « Apache Log4j Remote Code Exécution » est la troisième vulnérabilité la plus utilisée, avec un impact mondial de 45 %.

Logiciels malveillants en Belgique

Globalement, Qbot (7,2 %) a été le logiciel malveillant le plus répandu le mois dernier, suivi de Formbook (4,6 %) et, en troisième position, d’Emotet (3,9 %). Dans le trio de tête belge, on retrouve les mêmes noms, mais dans un ordre différent. Ce qui est frappant, c’est qu’Emotet est en tête de liste en Belgique avec un impact de 8,7 %, ce qui est nettement plus élevé (4,8 %) que l’impact global de ce cheval de Troie. Le trio de tête belge se présente comme suit :

• Emotet (8,7 %)

Emotet est un cheval de Troie avancé, modulaire et à propagation automatique. Emotet était auparavant déployé comme cheval de Troie bancaire, mais il a récemment été utilisé pour propager d’autres logiciels malveillants. Ce cheval de Troie utilise de multiples méthodes et techniques pour éviter d’être détecté. En outre, il peut être diffusé par le biais de courriels d’hameçonnage contenant des pièces jointes ou des liens malveillants.

• Qbot (7,6 %)

Qbot, alias Qakbot, est un cheval de Troie bancaire apparu pour la première fois en 2008. Il a été conçu pour voler des données bancaires ou des raccourcis clavier et se propage souvent par le biais de courriels de spam. Qbot utilise diverses techniques anti-VM, anti-débogage et anti-sandbox pour entraver l’analyse et échapper à la détection.

• FormBook (5,2 %)

FormBook est un Infostealer ciblant Windows et a été détecté pour la première fois en 2016. Ce logiciel malveillant est proposé à un prix relativement bas en tant que Malware as a Service (MaaS) sur les forums de piratage et dispose de solides techniques d’évasion. Formbook récolte des informations d’identification à partir de divers navigateurs web, collecte des captures d’écran, surveille et enregistre les frappes au clavier et peut télécharger et exécuter des fichiers.

“Bien que le nombre d’attaques à caractère politique contre l’Ukraine ait diminué, ce pays reste un champ de bataille pour les cybercriminels. Depuis le début de la guerre entre la Russie et l’Ukraine, l’hacktivisme a toujours été une priorité pour les acteurs de la menace et la plupart d’entre eux ont privilégié des méthodes d’attaque perturbatrices telles que les attaques par déni de service (DDoS) afin de se faire le plus de publicité possible. Cependant, la dernière campagne a eu recours à une méthode d’attaque plus traditionnelle, qui utilise des scams de phishing pour obtenir des informations sur les utilisateurs et extraire des données”, explique Zahier Madhar, Security Engineer Expert chez Check Point Software à Belgique.

“Toutes les entreprises et tous les organismes publics doivent respecter des règles de sécurité concernant la réception et l’ouverture des e-mails. Ne pas télécharger de pièces jointes sans en avoir analysé les propriétés au préalable. Il vaut mieux ne pas cliquer sur des liens dans le corps de l’e-mail et vérifier que l’adresse de l’expéditeur ne présente pas d’anomalies, comme des caractères en plus ou des fautes d’orthographe.”

La liste complète des dix premières familles de malwares du mois de février est disponible sur le site du blog de Check Point.