Avira Rapport des menaces de logiciels malveillants 1er trim. 2020 met l’accent sur les cybermenaces et cyberattaques, dont l’hameçonnage et les campagnes de spams, ainsi qu’une hausse de Attaques liées à Emotet.
Ce rapport semestriel sur les menaces de logiciels malveillants donne un aperçu plus poussé des attaques sophistiquées, notamment les menaces de catégorie PE (fichiers exécutables) et non PE, ainsi que les menaces Android et macOS. Nous nous pencherons également sur les attaques croissantes sur Office et sur le logiciel malveillant IoT observé par le Laboratoire de protection.
Les hackers sont passés de la quantité à des attaques plus sophistiquées
Au second trimestre 2020, nous avons observé une légère baisse du nombre d’événements détectés. Cette baisse générale peut être attribuée au passage des créateurs de logiciels malveillants à des attaques plus complexes et sophistiquées, à l’exploitation de MS Office et à des menaces basées sur les scripts. Même si les appareils mobiles ont subi moins d’attaques qu’au 1er trimestre 2020, les logiciels publicitaires et les PUA se développent.
PE ou « Portable Executable » est utilisé pour désigner des fichiers exécutables binaires dans le système d’exploitation Windows. PE inclut les fichiers avec extension .exe et .dll ainsi que des formats moins connus, comme scr. Ce sont les formes de structure de données les plus utilisées pour les attaques de logiciels malveillants sur la plate-forme Windows.
Le mix des catégories de logiciels malveillants est généralement stable, les chevaux de Troie étant les plus répandus, suivis par les infecteurs de fichiers.
Le télétravail en raison du coronavirus : de nouvelles opportunités pour les hackers
Au second trimestre 2020, le télétravail a explosé en raison de la pandémie. Les créateurs de logiciels malveillants et autres personnes malveillantes ont saisi l’opportunité offerte par le télétravail et adapté leurs attaques en conséquence.
Durant ce trimestre, nous avons observé une augmentation du nombre de menaces de catégorie non PE « dans la nature », mais également une augmentation des attaques (évitées) sur notre base de clients. Comme leur nom l’indique, les menaces non PE ne sont pas des exécutables Windows, mais d’autres moyens d’infecter des machines. Dans cette catégorie, nous avons des fichiers Office, des scripts, des PDF et d’autres attaques.
Nous avons constaté une hausse significative des détections basées sur des scripts (73,55 %) et des détections de macros basées sur Office (30,43 %). Mois par mois, nous constatons également une tendance à l’abandon des PDF et une augmentation des attaques sur JavaScript.
Quand on se penche sur le top 10 des menaces non PE, on observe la même tendance. Les détections basées sur Office et Internet conservent la première place :
l’augmentation la plus significative, et de loin, a été observée pour les documents Office utilisant des techniques de macros Excel 4.0 ou XLM. L’an dernier, cette méthode a gagné en popularité parmi les créateurs de logiciels malveillants. Comme montré sur le graphique ci-dessous, le pic a été atteint en mai, suivi par une tendance à la baisse en juin.
Il s’agit d’une vieille technique bien connue, mais cette nouvelle campagne a fait appel à différentes astuces pour tromper les utilisateurs. Parmi ces astuces : utiliser les propriétés cachées, voire très bien cachées, pour masquer les feuilles contenant le code macro, ou encore utiliser une protection par mot de passe.
La Roumanie, l’Italie et la France, parmi les pays européens les plus attaqués
La moyenne européenne se classe plus bas pour ce qui est du nombre moyen d’attaques, la Roumanie étant l’État-membre le plus attaqué avec 436 attaques pour 10 000 clients. Autres pays notables : USA/France (117), Italie (109), Royaume-Uni (100), Allemagne (71), Canada (65).
Le trimestre précédent a subi de plein fouet la pandémie du COVID-19, qui a laissé des traces sur l’écosystème Android. Les créateurs de logiciels malveillants ont exploité ce chaos, ainsi que le besoin d’information et de protection des utilisateurs d’Android.
Tous types de logiciels malveillants, des logiciels espions et logiciels publicitaires aux plus sophistiqués chevaux de Troie bancaires et voleurs de SMS, ont été distribués sous le couvert d’applications liées au COVID-19. Précédemment, nous avons analysé le cycle d’infection de Cheval de Troie bancaire Cerberus.
Les appareils Apple sont plus sécurisés, mais pas impiratables
Même si macOS est souvent considéré comme protégé contre les logiciels malveillants, le système Apple subit régulièrement des attaques basées sur Office ou des scripts, notamment des menaces de logiciels publicitaires.
Le diagramme circulaire ci-dessus présente les différentes menaces rencontrées par les appareils Apple. Lorsqu’on se penche sur les catégories de menaces, les logiciels publicitaires arrivent en tête de liste, suivis par HTML (détecte les fichiers pouvant infecter le système à l’aide d’un script HTML), Office (logiciel malveillant prêt à infecter le système par le biais de ruses, comme les macros et les scripts VBA dans le fichier Office) et les attaques (ces fichiers exploitent les vulnérabilités présentes dans le système ciblé ou les applications spécifiques installées dessus). La catégorie Autres inclut les fichiers malveillants détectés en tant que macOS (logiciel malveillant utilisant les fichiers binaires spécifiques à mac OS), les fichiers utilisant des extensions trompeuses ou cachées, l’hameçonnage et les PUA.
Illustration 11 : Catégories de menaces macOS au 2nd trim. 2020
