Prague, République tchèque, le 31 janvier 2022 — Avast (LSE:AVST), leader mondial des solutions de sécurité digitale et de protection de la vie privée en ligne, publie ce jour son rapport des menaces dans le monde pour le quatrième trimestre 2021. Ce rapport fait état de l’exploitation de la vulnérabilité Log4j, par différents programmes malveillants : coinminers, chevaux de Troie d’accès à distance (RAT), ransomwares, mais aussi par des botnets et des menaces persistantes avancées (APT), mettant sous une intense pression les services chargés de la sécurité informatique. Les chercheurs du Laboratoire des menaces d’Avast ont observé la réapparition du malware Emotet, ainsi qu’une hausse de 40% des coinminers détectés, posant un risque tant pour le grand public que pour les entreprises. Le bilan du quatrième trimestre met également en exergue une augmentation des arnaques publicitaires (adwares), à l’assistance techniques et aux abonnements payants à des SMS surtaxés, ainsi que des logiciels espions sur les appareils sous Android, tous ciblant le grand public. Sur cette période, Avast a toutefois constaté une baisse d’activité du côté des ransomwares et des RAT.
« Vers la fin de l’année 2021, la faille Log4j, extrêmement dangereuse, omniprésente et hélas facile à exploiter, a fait vivre un vrai cauchemar aux services informatiques. Et à juste titre, puisque des pirates s’en sont servi pour diffuser toutes sortes de programmes malveillants, allant des coinminers aux malwares en passant par les ransomwares » déclare Jakub Kroustek, Directeur de la recherche sur les logiciels malveillants d'Avast.
« D’un autre côté, nous sommes soulagés de faire état d’une baisse des occurrences utilisant des RAT, des programmes volant des informations (information stealers) et des cas d’attaques par ransomwares. L’activité RAT s’est éteinte avec les fêtes de fin d’année, les auteurs du programme malveillant d’accès à distance DcRat allant même jusqu’à le renommer « SantaRat ». Nous avons noté une légère baisse de l’activité du côté des information stealers, sans doute due à une diminution drastique du nombre d’infections via Fareit, un programme qui dérobe des mots de passe et des données, le nombre de cas relevés a chuté de 61% par rapport au trimestre précédent » souligne Jakub Kroustek. « Le chaos provoqué par des ransomwares au cours des trois premiers trimestres 2021 a déclenché une coopération coordonnée entre nations, agences gouvernementales et éditeurs de logiciels de sécurité, dans le but de traquer les auteurs et opérateurs de ce type d’attaque. Nous pensons que cette lutte coordonnée a permis de faire baisser considérablement les attaques par ransomwares au quatrième trimestre 2021. Le ratio de risque a baissé de 28% par rapport au troisième trimestre 2021. Nous espérons que cette tendance va se maintenir au premier trimestre 2022, mais nous envisageons toutes les éventualités ».
Les cybercriminels exploitent la faille Log4j et des RAT en utilisant Azure et AWS comme tremplins pour cibler les entreprises
La faille au niveau de Log4j, une librairie de fichiers journaux Java très répandue, s’est révélée très dangereuse pour les entreprises en raison de sa facilité d’exploitation. Les chercheurs d’Avast ont étudié des groupes de pirates utilisant des coinminers, des RAT, des botnets, dont le tristement célèbre Mirai, des ransomwares et des APT pour exploiter cette vulnérabilité. Si les réseaux de bots ont principalement cherché à tester la faisabilité d’une attaque de cette faille, Avast a également repéré de nombreuses tentatives de chargement de code potentiellement malveillant. Certains RAT ont ainsi été mis en circulation en tirant parti de cette faille, les plus répandus étant NanoCore, AsyncRat et Orcus. Un ransomware de qualité médiocre, appelé Khonsari, fut l’un des premiers repérés se servant de cette faille.
En plus d’exploiter la faille Log4j pour diffuser leurs RAT, les cybercriminels se sont servis de la vulnérabilité CVE-2021-40449, utilisée pour élever le niveau de permission attribué à certains processus malintentionnés en exploitant le pilote du noyau Windows. Grâce à ce subterfuge, les pirates ont pu ainsi télécharger le RAT MistarySnail et l’exécuter. Par ailleurs, une campagne malveillante ciblant deux fournisseurs majeurs de services cloud, Microsoft Azure et Amazon Web Service (AWS), a permis de détecter un nombre élevé d’occurrences de NanoCore et AsyncRat. Pendant cette campagne, les pirates se sont servis d’Azure et d’AWS comme de serveurs de téléchargement pour attaquer des entreprises à l’aide de leurs programmes à charge malveillante.
En outre, les experts d’Avast ont vu les auteurs d’Emotet réécrire à plusieurs reprises certaines portions de son code, afin de le remettre en circulation sur le marché des botnets dans une version liftée.
Programmes publicitaires, coinminers et arnaques au support technique ciblant le grand public
L’activité des logiciels publicitaires sévissant sur le bureau (desktop adware) et des rootkits (progiciel conçu pour rester caché sur un ordinateur tout en permettant l'accès et le contrôle à distance) a enregistré un pic au quatrième trimestre 2021. Les experts d’Avast attribuent cette tendance au rootkit Cerbu qui est capable, selon son mode de configuration, de « prendre en otage » des pages d’accueil de navigateurs et de rediriger les URL de sites. Cerbu est facile à déployer et à configurer pour des logiciels publicitaires qui harcèleront leurs cibles à grands renforts de publicités indésirables, en leur offrant en bonus un cadeau empoisonné : la création d’une backdoor sur leur machine.
Avec la hausse du prix du Bitcoin à la fin de 2021, le nombre de coinminers en circulation a augmenté de 40%, souvent via des pages web infectées et des logiciels piratés. CoinHelper fut l’un des coinminers les plus actifs au dernier trimestre 2021, ciblant principalement des utilisateurs en Russie et en Ukraine. Les Coinminers sont des programmes qui agissent furtivement pour exploiter en arrière-plan la puissance de traitement de l’ordinateur de leurs victimes dans le but de miner des crypto-monnaies. Résultat : des factures d’électricité colossales et une durée de vie réduite pour l’équipement sursollicité de la victime. De plus, CoinHelper collecte différents types d’informations relatives à ses victimes tout en les géolocalisant, notamment la solution antivirus dont elles sont équipées et le matériel qu’elles utilisent. Si de nombreuses crypto-monnaies dont Ethereum et Bitcoin ont été configurées pour être minées, les chercheurs d’Avast se sont intéressés à Monero (XMR). Celle-ci a été conçue pour rester anonyme, mais le mauvais usage des adresses et le modus operandi des pools de minage ont permis aux chercheurs d’en savoir plus sur le fonctionnement du minage de Monero. Ils ont découvert que les gains financiers totaux obtenus par le coinminer CoinHelper s’élevaient à 339 694,86 dollars américains (au 29 novembre 2021). Rien qu’en décembre, le minage a généré environ 15,162 XMR / 3446,03 $ en plus. CoinHelper circule toujours activement, et est capable de miner environ 0,474 XMR chaque jour.
Les experts en menaces d’Avast ont par ailleurs noté une hausse des arnaques au support technique, qui cherchent à convaincre leur cible qu’elle a un problème technique pour la pousser à appeler une hotline, cette dernière l’incitant à payer des frais élevés d’assistance ou à lui accorder un accès à distance à son système.
Arnaques aux abonnements à des SMS surtaxés et logiciels espions dérobant des identifiants Facebook en circulation sur les appareils mobiles
Les experts du Laboratoire des menaces d’Avast ont pointé deux menaces visant des appareils mobiles dans leur étude : Ultima SMS et Facestealer. Ultima SMS est un abonnement reposant sur des SMS surtaxés qui a refait surface ces derniers mois. En octobre, des applications d’Ultima SMS étaient référencées dans le Play Store, revêtant l’apparence d’applications et de jeux légitimes, parfois même accompagnés de publicités aguichantes. Une fois l’application téléchargée, celle-ci invitait la victime à indiquer son numéro de téléphone pour accéder à ses services. La personne se voyait alors automatiquement abonnée à un service de SMS surtaxés pouvant être facturé jusqu’à 10 dollars par semaine. Les auteurs de UltimaSMS se sont largement appuyés sur les réseaux sociaux pour promouvoir leurs applications ; ils ont réussi à totaliser plus de 10 millions de téléchargements.
Facestealer, un logiciel espion conçu pour dérober des identifiants Facebook, a réapparu à de multiples occasions au quatrième trimestre 2021. Ce malware se cache entre autres derrière des applications de retouche de photos, d’horoscopes ou des applications de fitness. Après avoir été utilisés pendant un certain temps, ces programmes invitent l’utilisateur à se connecter à Facebook pour continuer de les utiliser sans subir de publicités.
Pour en savoir plus, consultez l’étude d’Avast dans son intégralité : https://decoded.avast.io/threatresearch/avast-q4-21-threat-report/