TOOLinux

Le journal du Libre

Indice des menaces : retour du botnet Emotet, maliciels, vulnérabilités

mercredi 16 octobre 2019

La dernière édition en date de l’indice international des menaces pour le mois de septembre 2019 vient d’être publiée. L’équipe de chercheurs met notamment en garde les entreprises contre le botnet Emotet. Tous les détails.

Top 3 des maliciels “les plus recherchés” en septembre 2019

Le logiciel de crypto-minage Jsecoin a dominé la liste des principaux maliciels en septembre, impactant 8% des entreprises à travers le monde. XMRig est le deuxième maliciel en termes de popularité, suivi par AgentTesla, tous deux ayant eu un impact global de 7%.

- ↑ Jsecoin – Jsecoin est un mineur JavaScript qui peut être incorporé dans des sites Internet. JSEcoin permet de gérer le logiciel de minage directement dans le navigateur, en échange d’une expérience publicitaire gratuite, d’argent disponible dans un jeu et autres incitants.

- ↓ XMRig - XMRig est un logiciel open source de minage de CPU utilisé pour le processus de minage de la crypto-monnaie Monero ; il a été repéré pour la première fois en mai 2017.

- ↑ AgentTesla - AgentTesla est un RAT évolué opérant comme un enregistreur de frappes et un chapardeur de mot de passe. AgentTesla est capable de surveiller et de collecter ce que la victime tape sur son clavier, le contenu du presse-papier système, de procéder à des captures d’écran et d’extraire des identifiants à partir d’une grande variété de logiciels installés sur l’appareil de la victime (en ce compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook).

La suite sur le blog de Check Point (en anglais).

Top 3 des maliciels mobiles “les plus recherchés” en septembre 2019

En septembre, Lotoor fut le maliciel mobile le plus répandu, suivi de AndroidBauts et de Hiddad.

-  Lotoor – un outil de piratage qui exploite des vulnérabilités présentes dans le système d’exploitation Android afin d’obtenir des privilèges “root” sur des dispositifs mobiles infectés.

- AndroidBauts – un publiciel qui vise les utilisateurs Android, exfiltrant des informations IMEI, IMSI, de localisation GPS ou autres, concernant les dispositifs, et qui ouvre la voie à l’installation d’applis tierces et de raccourcis sur des équipements mobiles.

- Hiddad – maliciel Android qui reconditionne des applis légitimes et les publie ensuite sur une e-boutique tierce. Sa principale fonction porte sur l’affichage de publicités mais il est également capable de se ménager un accès à des détails de sécurité importants, intégrés au système d’exploitation, permettant ainsi à un pirate d’obtenir des données utilisateur sensibles.

La suite sur le blog de Check Point (en anglais).

Les vulnérabilités “les plus exploitées” en septembre

Dans le courant de ce mois, c’est la vulnérabilité MVPower DVR Remote Code Execution qui est arrivée en tête de la liste des vulnérabilités les plus exploitées, affichant un impact global de 37%. La vulnérabilité Linux System Files Information Disclosure arrive en deuxième position, suivie de près par la Web Server Exposed Git Repository Information Disclosure, toutes deux ayant touché 35% des entreprises à travers le monde.

- ↑ MVPower DVR Remote Code Execution - une vulnérabilité d’exécution de code à distance existant au sein de dispositifs DVR MVPower. Un pirate, opérant à distance, peut exploiter cette faille afin d’exécuter du code arbitraire dans le routeur infecté au moyen d’une requête conçue spécifiquement à cet effet.

- ↑ Linux System Files Information Disclosure - le système d’exploitation Linux contient des fichiers systèmes comportant des informations sensibles. S’il n’est pas correctement configuré, des pirates opérant à distance peuvent visualiser les informations contenues dans de tels fichiers.

- ↑ Web Server Exposed Git Repository Information Disclosure - une vulnérabilité de divulgation d’informations a été signalée dans Git Repository. Si cette vulnérabilité devait être exploitée avec succès, cela permettrait de divulguer des informations de compte de manière non intentionnelle.

La suite sur le blog de Check Point (en anglais).

Botnet Emotet : ce n’est pas terminé

Le botnet Emotet, après une interruption de trois mois, a recommencé à propager de nouvelles campagnes de pourriels. Les chercheurs avaient signalé l’arrêt provisoire du tristement célèbre botnet en juin 2019 et la réactivation des activités de cette infrastructure délétère en août.

Certaines des campagnes de spams déclenchées par Emotet contiennent des courriels qui comportent un lien permettant de télécharger un fichier Word malveillant. D’autres contiennent le document malveillant proprement dit. A l’ouverture du fichier, les victimes sont incitées à activer les macros du document qui installent alors le maliciel Emotet sur l’ordinateur de la victime. En septembre, Emotet fut le 5ème maliciel le plus répandu à l’échelle mondiale.

« On ne sait pas vraiment pourquoi le botnet Emotet est resté dormant pendant trois mois mais on peut supposer que ses développeurs étaient en train de mettre ses fonctionnalités et potentiels à niveau. Il est essentiel que les entreprises préviennent leurs employés au sujet des risques que représentent les courriels d’hameçonnage ou encore l’ouverture de pièces jointes, ou le fait de cliquer sur des liens qui ne proviennent pas d’une source ou d’une personne de contact en qui on a confiance. Les entreprises devraient également déployer la toute dernière génération de solutions anti-maliciels qui sont capables d’extraire automatiquement des contenus suspects des courriels avant qu’ils ne parviennent aux utilisateurs finaux », déclare Maya Horowitz, directrice Threat Intelligence & Research, Productschez Check Point.