Cette édition du rapport sur les malwares met en évidence les cyber-menaces et les attaques enregistrées par l’équipe du Laboratoire de protection Avira au cours du premier trimestre 2020. Ce rapport est axé sur une tendance en plein essor, qui comprend l’hameçonnage et les campagnes de malspam, ainsi qu’une explosion des attaques liées à Emotet.
Plus de 320 millions de nouvelles menaces détectées et bloquées
La pandémie mondiale a bouleversé nos vies, mais elle a aussi créé une opportunité pour les campagnes d’hameçonnage et de malspam. Bien que l’on ne puisse pas relier de nouvelle famille de malware uniquement au coronavirus, de nombreux cyber-criminels ont exploité des malwares déjà établis comme Nanocore, Hawkexe ou MortyStealer. Voici un article détaillé sur les menaces liées au Covid-19.
Emotet
Apparu en 2014, le malware bancaire Emotet tentait à l’époque d’infecter des ordinateurs et de dérober des informations sensibles. Ce malware se répand majoritairement par les spams et les e-mails d’hameçonnage, dans des pièces jointes infectées ou des URL malveillantes intégrées.
Au cours du premier trimestre 2020, le Laboratoire de protection Avira a identifié près de 14 000 nouveaux échantillons uniques du cheval de Troie bancaire. Au cours du dernier trimestre, nous avons observé 9 fois plus d’attaques liées à Emotet qu’au dernier trimestre 2019. Les échantillons détectés au début de l’année utilisent une chaîne de macros Office, WMI (Windows Management Instrumentation) et Powershell.
Toutefois, de nouvelles variantes d’Emotet, détectées en février 2020 abandonnaient le Powershell, et déclenchaient la charge utile du malware directement via WMI. Les créateurs du malware tentent généralement de masquer Emotet dans les détections des scanners antivirus. Pour cela, ils compilent la charge utile dans des projets disponibles au grand public comme les répertoires ouverts GitHub. Le fichier PE obtenu ressemble à s’y méprendre à une version propre, sans la charge utile d’Emotet.
Après février, les attaques Emotet se sont atténuées, en se contentant de fournir des mises à jour aux hôtes infectés, sans déclencher de nouvelle campagne de malware par e-mail.
Malwares généraux
Au cours du premier trimestre 2020, les attaques étaient principalement des malwares, comme les chevaux de Troie, les vers et les file infectors. Ces trois types de malwares, ainsi que d’autres catégories, comme les rootkits et les dialers, représentent environ deux tiers des détections. Les applications potentiellement indésirables (PUA) et les logiciels publicitaires forment la grande catégorie suivante et représentent environ un quart des détections. Le reste est composé de scripts et de malwares basés sur Office, d’exploits, de menaces mobiles et de coin miners.
La catégorie ayant connu la plus forte augmentation, comparée au trimestre précédent, est celle des PUA, dont les détections ont augmenté de près de 20 %.
Pour la première fois depuis 2018, nous avons enregistré une augmentation des détections de coin miners, d’un trimestre à l’autre. Toutefois, cette augmentation en valeur absolue n’est rien comparée à l’explosion des détections de coin miners en 2017 et 2018, car cette activité est bien moins lucrative aujourd’hui.
La catégorie du hameçonnage n’est pas en reste car ce genre d’attaque a fortement augmenté. Outre les fraudes bancaires habituelles, liées à eBay et PayPal, nous avons détecté une forte augmentation des campagnes d’hameçonnage liées à Mastercard, CNN et au système PostePay italien.
- Malwares (67,21 %)
- Logiciels publicitaires (17,81 %)
- PUA (7,85 %)
- Scripts (3,02 %)
- Office (2,27 %)
- Exploits (1,40 %)
- Menaces mobiles (0,28 %)
- Coin Miners (0,17 %)
IoC (indicateurs de compromission) d’Emotet détectés au 1er trimestre 2020
- W97M/Dldr.Emotet.*
- TR/AD.Emotet.*
- 10a3e965ac9cdfa65e529c66be67ed84de617ec36f95f22ae1ddf43f9c46fe8f
- f0fb34923074ff390ccf29cf660272c040658f9cb4a0eb106d2963b2448e2d3d
- 2326f8446b92e4bcb5349a992244f599708d79d3d103c72cc9b34711dfbe9c11
- 63.138
- 200.220
- 16.165
- 90.148
- C:\ProgramData\F1BsrEvf.exe (et chaînes aléatoires similaires)
- C:\Users\<USER>\739.exe (et chiffres aléatoires similaires)
- Les en-têtes des fichiers PE contenaient plusieurs demi-phrases et mots tels que « Trump », « Président », « Romney », « mormon », « républicain », « démocrate », « national », « population » et d’autres mots-clés liés au paysage politique américain.
Pour en savoir plus sur les nouveaux malwares, lisez la section Recherche du blog Insights d’Avira, ou découvrez comment améliorer vos taux de détection en utilisant les SDK anti-malwares ou les solutions de veille sur les menaces d’Avira.
