Prague, République tchèque, le 2 novembre, 2022 — Avast, leader mondial de la sécurité et de la confidentialité digitale, publie ce jour son bilan des menaces au 3e trimestre 2022 qui résume les événements enregistrés pendant cette période, en se basant sur ses propres données et les avis de ses experts. Le Avast Threat Report rapport montre une hausse des cas de logiciels publicitaires en circulation à la fin septembre de cette année. Par rapport au trimestre précédent, Avast indique avoir protégé davantage (+370%) d’utilisateurs ciblés par Raccoon Stealer, un malware ou programme malveillant qui vole des données. Le nombre d’attaques avec rançongiciels est en hausse dans certains pays tels que le Canada, l’Espagne et l’Allemagne mais a légèrement baissé à l’échelle mondiale, Les utilisateurs d’appareils mobiles ont vu leurs chances de croiser la route d’un cheval de Troie bancaire augmenter de 7% d’un trimestre sur l’autre, malgré le démantèlement par Europol du groupuscule pirate Flubot. La plupart des activités malveillantes sont restées à un niveau stable ou ont diminué.
« Une tendance intéressante que nous avons observé ce trimestre est que les cyber-gangs font appel à la foule et paient des personnes pour soutenir leurs activités criminelles, comme l'amélioration, la commercialisation et la distribution de leurs malwares », déclare Jakub Kroustek, Directeur des études sur les programmes malveillants chez Avast. « En termes d'attaques, nous avons constaté une augmentation de l'adware DealPly vers la fin du troisième trimestre 2022, un pic massif des tentatives d'infection par Raccoon Stealer, une augmentation de l'activité du botnet MyKings et un nouveau botnet appelé Pitraix, écrit en Go, qui gagnent un peu de terrain. Dans l'ensemble, le volume des cyberattaques est resté élevé, même si les cybercriminels ont semblé se détendre un peu pendant l'été. »
Rançongiciels : des attaques focalisées sur l’exfiltration de données
Le risque pour les Canadiens de rencontrer un ransomware ce trimestre a augmenté de 16 % par rapport au deuxième trimestre 2022. En Allemagne et en Espagne, le risque de rencontrer un ransomware a augmenté de 12 %. Toutefois, au niveau mondial, le risque d'attaque par ransomware a légèrement diminué par rapport au trimestre précédent.
« Les souches de rançongiciels utilisent toujours plus de subterfuges complexes, à base par exemple de chiffrement partiel portant sur le début ou la fin d’un fichier, ou de blocs de fichiers, afin d’échapper à la détection », explique Kroutsek. « En plus, les gangs adeptes des rançongiciels exfiltrent désormais les données des entreprises en menaçant de publier les fichiers les plus sensibles, avant de les supprimer ou de les corrompre au lieu de les chiffrer. Nous avons par ailleurs constaté une suite d’événements impliquant le groupuscule LockBit qui se sert de rançongiciels. Il s’agit notamment de propositions de récompenses à quiconque mettra au jour des vulnérabilités ou lui soumettra des idées, ou à toute personne qui se fera tatouer son logo. Nous avons découvert également que des membres de ce groupuscule avaient fait fuiter du code en guise de représailles, et constaté de nombreux échanges entre celui-ci et une société spécialiste de la sécurité appelée Entrust. »
Des entreprises et administrations ciblées par des gangs de pirates et des groupes APT
Le groupuscule pro-russe NoName057(16) a ciblé des banques et agences de presse, mais aussi des pays ayant affiché leur soutien envers l’Ukraine au troisième trimestre 2022. Ce groupuscule exploite un botnet de machines infectées par le programme malveillant Bobik pour lancer des attaques de représailles avec refus de service (DDoS). Selon les observations d’Avast, ce gang affiche un taux de réussite de 40%, tandis que près de 20% des attaques qu’il revendique n’apparaissent pas dans ses fichiers de configuration. En août, le groupuscule a annoncé un nouveau projet baptisé DDOSIA et créé un nouveau groupe privé sur Telegram comptant plus de 700 membres. Le projet DDOSIA permet à quiconque ayant accès à Internet de télécharger un fichier binaire utile pour lancer une attaque DDoS sur des sites définis par NoName057(16). En récompense de ces actions, les personnes complices se voient offrir des crypto-monnaies.
Le groupe APT Gamaredon s’est également focalisé sur le sort de l’Ukraine au troisième trimestre 2022, car il s’en est pris à des institutions militaires et gouvernementales, ainsi qu’à des ambassades étrangères présentes. Le groupuscule s’est doté de nouveaux outils, notamment d’exfiltration de fichiers et plusieurs programmes droppers, accompagnés de nouvelles techniques de répartition de charge et IP de serveurs C&C.
LuckyMouse, un gang chinois bien connu, a ciblé plusieurs agences gouvernementales aux Emirats arabes unis, à Taïwan et aux Philippines. Avast a découvert la présence de backdoors sur des ordinateurs infectés, de programmes de vol de mots de passe sous Chrome, et d’outils open source tels que BadPotato servant à escalader des privilèges d’accès. Les attaquants ont sans doute infecté ces appareils via un serveur corrompu.
Les experts d’Avast suivent d’autres groupes : Donot Team (également appelé APT-C-35) et Transparent Tribe (aussi appelé APT36). Donot Team a été particulièrement actif au Pakistan au troisième trimestre 2022. Avast a mis au jour des modules DLL du framework yty sur plusieurs appareils infectés. Transparent Tribe, qui semble être un gang pakistanais, continue ses attaques en Inde et en Afghanistan, où ses programmes infectent des ordinateurs par la technique du harponnage et des documents Office au moyen de macros VBA malveillantes. Les experts d’Avast indiquent que les programmes d’exécution appartiennent à la souche CrimsonRAT, le programme malveillant conçu sur mesure par Transparent Tribe pour accéder à des réseaux infectés.
Recrudescence des instances de DealPly, Racoon Stealer et MyKings
Le logiciel publicitaire DealPly, qui est installé par d’autres programmes malveillants, a enregistré un pic fin septembre 2022. Ce logiciel publicitaire est une extension de Chrome capable de modifier de nouvelles pages internes au navigateur et de remplacer de nouveaux onglets fraîchement ouverts, de lire l’historique de navigation, de remplacer des favoris et de gérer des applications, des extensions et des thèmes. Ces fonctionnalités permettent aux cybercriminels de modifier les résultats de requêtes en les remplaçant par des publicités, de consulter les mots de passe et coordonnées bancaires stockés par le navigateur, ainsi que le contenu des formulaires remplis par l’utilisateur.
Raccoon Stealer, un programme de vol de données capable de télécharger d’autres malware puis de les exécuter, a fait son grand retour au troisième trimestre 2022. Avast a protégé 370% d’utilisateurs en plus, ciblés par ce malware ce trimestre.
« Raccoon Stealer est mis en circulation quand des utilisateurs cherchent à télécharger des versions piratées de logiciels tels qu’Adobe Photoshop, Filmora Video Editor ou encore uTorrent Pro », note Jakub Kroustek. « Bien souvent, ils désactivent leurs protections antivirus ou les ignorent lorsqu’ils téléchargent ces fichiers, ce qui leur fait courir le risque de récupérer à leur insu des programmes malveillants tels que Raccoon Stealer. Les malwares sont souvent capables d’en télécharger d’autres, notamment DealPly dont c’est le mode de diffusion. Les utilisateurs doivent donc absolument installer un antivirus et le laisser activé en permanence ».
Du côté des botnets, si leur activité s’est stabilisée au troisième trimestre 2022, celle de MyKings a enregistré une hausse. MyKings est un botnet spécialisé dans le vol de crypto-monnaies et actif depuis 2016.
Les malwares ciblant les appareils mobiles
Les logiciels publicitaires demeurent la menace n°1 visant les appareils mobiles, notamment avec HiddenAds et FakeAdBlockers. Le Brésil, l’Inde, l’Argentine et le Mexique sont les pays où Avast les a le plus contrés.
Malgré le démantèlement récent de Flubot par Europol, le risque d’être victime d’un cheval de Troie bancaire a augmenté de 7% dans le monde au troisième trimestre 2022 par rapport au trimestre précédent. Ce type de programme circule principalement via des SMS d’hameçonnage et des programmes de type dropper.
Les arnaques aux SMS surtaxés (TrojanSMS) continuent de cibler des utilisateurs d’appareils mobiles : SMSFactory et Darkherring mènent le marché, tandis que UltimaSMS et Grifthorse s’en sont retirés. SMSFactory et Darkherring sont diffusés via des pop-up, le malvertising et les faux kiosques de téléchargement d’applications. A noter que UltimaSMS et Grifthorse étaient tous deux distribués via la plate-forme Google Play Store, jusqu’à ce que Google les en déréférence.
Le Avast Threat Report couvrant le 3e trimestre 2022 est disponible sur le blog Decoded : https://decoded.avast.io/threatresearch/avast-q3-2022-threat-report/