Le cheval de Troie IcedID Banking entre dans le top 10 après la campagne liée à Covid – Bien installer son serveur

Check Point Research rapporte qu'IcedID est entré pour la première fois dans l'index mondial des malwares et a pris la deuxième place après avoir exploité la pandémie COVID-19 pour attirer de nouvelles victimes

SAN CARLOS, Californie, 13 avril 2021 (GLOBE NEWSWIRE) – Check Point Research (CPR), Threat Intelligence Arm to Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs de solutions mondiales de cybersécurité, a publié son dernier indice mondial des menaces pour mars 2021. Les chercheurs rapportent que le cheval de Troie bancaire IcedID est entré dans l'indice pour la première fois et a pris la deuxième place, tandis que le cheval de Troie Dridex établi était le logiciel malveillant le plus répandu en mars, contre le septième en février.

Vu pour la première fois en 2017, IcedID s'est rapidement répandu en mars grâce à plusieurs campagnes de spam, touchant 11% des organisations dans le monde. Une vaste campagne a utilisé un thème COVID-19 pour inciter de nouvelles victimes à ouvrir des pièces jointes malveillantes aux e-mails; La plupart de ces pièces jointes sont des documents Microsoft Word avec une macro malveillante utilisée pour installer un programme d'installation IcedID. Une fois installé, le cheval de Troie tente de voler les informations de compte, les informations d'identification de paiement et d'autres informations sensibles sur les ordinateurs de l'utilisateur. IcedID utilise également d'autres logiciels malveillants pour se propager et a été utilisé comme première étape de l'infection dans les opérations de ransomware.

«IcedID existe depuis quelques années maintenant, mais a récemment été largement utilisé, montrant que les cybercriminels continuent d'adapter leurs techniques pour exploiter les organisations, en utilisant la pandémie comme un déguisement», a déclaré Maya Horowitz, directrice de Threat Intelligence & Research. , Produits à Check Point. IcedID est un cheval de Troie particulièrement insaisissable qui utilise une variété de techniques pour voler des données financières, les organisations doivent donc s'assurer qu'elles disposent de systèmes de sécurité robustes pour éviter que leurs réseaux ne soient compromis et minimiser les risques. Une formation complète pour tous les employés est essentielle, afin qu'ils soient dotés des compétences nécessaires pour identifier les types d'e-mails malveillants qui propagent IcedID et d'autres logiciels malveillants. "

CPR avertit également que "HTTP Headers Remote Code Execution (CVE-2020-13756)" est la vulnérabilité la plus couramment exploitée, affectant 45% des organisations dans le monde, suivi de "MVPower DVR Remote Code Execution" qui affecte 44% des organisations dans le monde. «Dasan GPON Router Authentication Bypass (CVE-2018-10561)» occupe la troisième place dans la liste des vulnérabilités les mieux exploitées, avec un impact global de 44%.

Principales familles nuisibles
* Les flèches indiquent le changement de rang par rapport au mois dernier.

Ce mois-ci, Dridex est le malware le plus populaire avec un impact mondial de 16% des organisations, suivi par IcedID et Lokibot affecte respectivement 11% et 9% des organisations dans le monde.

1. ↑ Dridex – Dridex est un cheval de Troie qui cible la plate-forme Windows et est prétendument téléchargé via des pièces jointes aux e-mails. Dridex contacte un serveur externe et envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires reçus du serveur distant.
2. ↑ IcedID – IcedID est un cheval de Troie bancaire propagé par des campagnes de spam par e-mail et utilise des techniques évasives telles que l'injection de processus et la stéganographie pour voler les données financières de l'utilisateur.
3. ↑ Lokibot – Lokibot est un voleur d'informations qui est principalement distribué par des e-mails de phishing et est utilisé pour voler diverses données telles que les informations d'identification de courrier électronique, ainsi que les mots de passe pour les portefeuilles CryptoCoin et les serveurs FTP.

Principales vulnérabilités exploitées

Ce mois-ci Exécution de code à distance des en-têtes HTTP (CVE-2020-13756) est la vulnérabilité la plus couramment exploitée, affectant 45% des organisations dans le monde, suivie par «Exécution de code à distance MVPower DVR» affectant 44% des organisations dans le monde. «Authentification de routage de contournement Dasan GPON (CVE-2018-10561)» occupe la troisième place avec un impact global de 44%.

1. ↑ Exécution de code à distance des en-têtes HTTP (CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de fournir des informations supplémentaires avec une requête HTTP. Un attaquant externe pourrait utiliser un en-tête HTTP vulnérable pour exécuter du code arbitraire sur la machine sacrificielle.
2. ↑ Exécution de code à distance MVPower DVR – Il existe une vulnérabilité d'exécution de code à distance dans les DVR MVPower. Un attaquant externe pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire dans le routeur affecté via une requête formatée.
3. ↑ Contournement d'authentification de route Dasan GPON (CVE-2018-10561) – Une vulnérabilité de contournement d'autorisation existe dans les routeurs Dasan GPON. Une exploitation réussie de cette vulnérabilité permettra aux attaquants distants d'obtenir des informations sensibles et d'accéder sans autorisation au système affecté.

Top des logiciels mobiles

Hiddad a pris la première place dans l'index de malwares mobiles le plus répandu, suivi par xHelper et FurBall.

1. ↑ Hiddad – Hiddad est un logiciel malveillant Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. La fonction principale est d'afficher des publicités, mais il peut également accéder à des détails de sécurité importants intégrés au système d'exploitation.
2. ↑ xHelper – Un programme malveillant vu dans la nature depuis mars 2019, utilisé pour télécharger d'autres applications malveillantes et afficher des publicités. L'application peut se cacher de l'utilisateur et peut même s'installer après avoir été désinstallée.
3. ↑ FurBall – FurBall est un Android MRAT (Mobile Remote Access Trojan) distribué par APT-C-50, un groupe APT iranien affilié au gouvernement iranien. Ce malware a été utilisé dans plusieurs campagnes à partir de 2017 et est toujours actif aujourd'hui. Parmi les opportunités de FurBall sont: volez des messages texte et des journaux d'appels, enregistrez les conversations et les environs, collectez des fichiers multimédias, suivez les emplacements et plus encore.

L'indice Global Threat Impact Index et ThreatCloud Map de Check Point sont optimisés par ThreatCloud Intelligence de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et des tendances d'attaque à partir d'un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites Web et 600 millions de fichiers par jour, identifiant plus de 250 millions d'activités malveillantes chaque jour.

La liste complète des 10 principales familles nuisibles en mars est disponible sur le blog de Check Point.

Suivez Check Point Research via:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch

À propos de Check Point Research
Check Point Research fournit des informations de pointe sur les cybermenaces aux clients de Check Point Software et à la communauté du renseignement au sens large. L'équipe de recherche recueille et analyse les données d'attaque globales stockées sur ThreatCloud pour garder les pirates informatiques sous contrôle, tandis que tous les produits Check Point sont mis à jour avec la dernière protection. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui collaborent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Les solutions de Check Power protègent les clients de 5^e cyberattaques de génération avec un taux de capture inégalé sur les logiciels malveillants, les ransomwares et les menaces ciblées avancées. Check Point propose une architecture de sécurité à plusieurs niveaux, «Infinity Total Protection with Gen V Advanced Threat Prevention», cette architecture de produit combinée défend un cloud d'entreprise, un réseau et des appareils mobiles. Check Point fournit le point de contrôle le plus complet et le plus intuitif pour le système de gestion de la sécurité. Check Point protège plus de 100 000 organisations de toutes tailles.