TEMPE, Ariz. et PRAGUE, République tchèque, le 9 février 2023 - Avast, leader de la sécurité numérique et de la protection de la vie privée et marque de Gen™ (NASDAQ : GEN), a constaté durant le quatrième trimestre 2022, une augmentation des menaces utilisant l'ingénierie sociale pour dérober de l'argent, telles la fraude aux remboursements et aux factures et les escroqueries au support technique,.
Les cybercriminels sont également restés actifs dans l'espionnage et le vol d'informations, avec des campagnes de logiciels publicitaires sur le thème de la loterie utilisées comme tactique pour obtenir des coordonnées personnelles.
Les chercheurs en menaces d'Avast ont également mis à jour des attaques de type « zero-day » dans Google Chrome et Windows, vulnérabilités qui ont depuis été corrigées. Ces informations sont présentées dans le rapport Avast Q4/2022 sur les menaces.
« Fin 2022, nous avons constaté une augmentation des menaces ayant attrait aux vulnérabilités de l’être humain, comme les escroqueries qui font croire aux gens que leur ordinateur est infecté, ou qu'ils ont été facturés pour des marchandises qu'ils n'ont pas commandées. Il est dans la nature humaine de réagir immédiatement pour contourner l’obstacle, parer l'urgence et tenter de reprendre le contrôle : c'est justement là que les cybercriminels opèrent et réussissent » déclare Jakub Kroustek, directeur de la recherche sur les malwares chez Avast. « Lorsque les gens reçoivent des messages pop-up ou des e-mails surprenants, nous leur recommandons de prendre un moment pour réfléchir avant d'agir. Les menaces sont tellement omniprésentes aujourd'hui qu'il est difficile pour les consommateurs de suivre le rythme ! Notre mission est de protéger les utilisateurs, en détectant les menaces en amont pour les alerter avant qu'elles ne puissent nuire, en utilisant les dernières technologies basées sur l'IA. »
Augmentation des fraudes aux remboursements et factures, ainsi que de celles liées à l'assistance technique
Le laboratoire des menaces d'Avast a également constaté une augmentation de l'activité des escroqueries liées au support (ou assistance) technique. Les pays les plus touchés sont les États-Unis, le Brésil, le Japon et le Canada. Toutefois, le laboratoire a remarqué une baisse en France de 15,3% par rapport au trimestre précédent.
Ces fraudes commencent souvent par l'ouverture d'une fenêtre pop-up qui avertit les gens d'une prétendue infection par un logiciel malveillant et les incite à appeler un numéro de téléphone d'assistance pour résoudre le problème. Les escrocs réussissent à convaincre leur victime d'établir une connexion à distance avec son ordinateur, ce qui ouvre la voie au vol d'informations personnelles et d'argent. Dès lors, les criminels ont en effet accès aux comptes bancaires ou aux portefeuilles de cryptomonnaies des personnes concernées et peuvent demander un paiement en échange de leurs services.
« Nous recommandons aux gens d'ignorer ces messages contextuels et de fermer la fenêtre avec la touche ‘Echap’ ou, si ce n'est pas possible, de redémarrer leur ordinateur », conseille Jakub Kroustek. « De même, ne donnez jamais un accès à distance à votre ordinateur à quelqu'un que vous ne connaissez pas ».
Les laboratoires d'Avast ont également constaté une augmentation de 14% des fraudes aux remboursements et aux factures entre octobre et novembre 2022, et une autre hausse de 22% en décembre. À l’instar des arnaques à l'assistance technique, la fraude aux remboursements se présente souvent sous la forme d'un e-mail qui semble avoir été envoyé par une entreprise de confiance. Les victimes reçoivent un courriel contenant un faux reçu qui leur fait croire qu'elles ont été facturées pour un achat qu'elles n'ont pas effectué. Elles sont ensuite incitées à appeler un numéro de téléphone, où un agent leur demande de créer une connexion à distance à leur ordinateur et d'ouvrir leur compte bancaire. L'objectif de l'attaquant est de voler l'argent de la personne. Dans le cas de la fraude à la facture, les personnes, et plus souvent les entreprises, reçoivent des factures pour des biens ou des services que l'entreprise n'a jamais commandés ou reçus.
« Pour éviter la fraude à la facture, les gens doivent faire très attention à celles qu'ils reçoivent. Les factures frauduleuses ont souvent l'air légitimes, et les gens doivent vérifier si une commande a vraiment été passée, le produit reçu, et si l'expéditeur est vraiment celui qu'il prétend être », explique Jakub Kroustek.
Logiciels publicitaires et malveillants qui volent des informations
Les logiciels publicitaires basés sur le Web ont également été très répandus au cours du trimestre, non seulement en ennuyant les gens avec des publicités intrusives, mais aussi en essayant de voler leurs données personnelles. Par exemple, les internautes sont invités à participer à une loterie et faire tourner une roulette pour gagner, puis à saisir leurs coordonnées et payer des ‘frais de gestion’ en utilisant leur carte de crédit ou leur compte Google ou Apple Pay. Les chercheurs d'Avast ont également constaté un déferlement de l'adware Dealply, qui se présente sous la forme d'une extension Chrome et envoie des informations statistiques et de recherche aux attaquants. Le risque d'être infecté par DealPly a augmenté dans le monde entier, notamment sur le continent américain, en Europe et en Asie du Sud et du Sud-Est.
Les chercheurs d'Avast ont constaté une envolée de 437%, de la propagation mondiale du voleur d'informations Arkei (+900% en France), connu pour voler des données dans les formulaires de remplissage automatique des navigateurs, des mots de passe et d'autres sources. On note également une augmentation de 57% du nombre de personnes et d'entreprises protégées contre AgentTesla, une souche de malware qui se propage souvent par des e-mails de phishing destinés aux entreprises et conçus pour voler des informations d'identification, ainsi qu'une hausse de 37% du voleur RedLine, qui se propage souvent dans les jeux et services piratés, volant des informations dans les navigateurs et les cryptomonnaies.
Trojans et robots d'accès à distance
La télémétrie d'Avast montre également que la propagation mondiale de LimeRAT a triplé au quatrième trimestre (132% en France). LimeRAT est un cheval de Troie d'accès à distance capable de voler des mots de passe, des crypto-monnaies, de mener des attaques par déni de service distribué (DDoS) et d'installer des ransomwares sur l'ordinateur d'une victime. Il était surtout actif en Asie du Sud et du Sud-Est et en Amérique latine. Également distributeur de logiciels malveillants, le botnet Emotet est doté d'une grande variété de capacités pour voler des informations et diffuser des logiciels malveillants. Sa technique a évolué au cours des derniers mois et échappe désormais à la détection des logiciels antivirus, grâce à l'utilisation de temporisateurs pour poursuivre successivement l'exécution de la charge utile. Le botnet de vol d'informations Qakbot a également commencé à utiliser la ‘contrebande HTML’ pour cacher un script malveillant codé dans une pièce jointe d'un courriel. Par exemple, les pirates abusent des images SVG pour cacher des charges utiles malveillantes et le code utilisé pour leur réassemblage.
Deux attaques sophistiquées de type « zero-day » ont également été découvertes par les chercheurs d'Avast au cours du quatrième trimestre. Avast a protégé ses utilisateurs car les deux ont été exploités dans la nature. La première, CVE-2022-3723, était une confusion de type dans V8 et a été utilisée pour effectuer une « exécution de code à distance » (RCE) contre Google Chrome. Avast a signalé cette vulnérabilité à Google, qui a mis en place un correctif en deux jours seulement, le 27 octobre 2022. Le second ‘jour zéro’, CVE-2023-21674, était une vulnérabilité LPE dans ALPC qui permettait aux pirates de passer de la sandbox du navigateur au noyau de Windows. Microsoft a corrigé cette exploitation dans la mise à jour Patch Tuesday de janvier 2023.
En outre, l'Avast Q4/2022 Threat Report du laboratoire de menaces d’Avast donne un aperçu des logiciels espions et des derniers chevaux de Troie bancaires mobiles et SMS. Il est disponible sur le blog Decoded : https://decoded.avast.io/threatresearch/avast-q4-2022-threat-report..