Windows, données bancaires... qu'est-ce qui intéresse les malwares les plus répandus en France ?

Formbook, Qbot et Emotet forment le trio des familles de malwares les plus actives en France le mois dernier, dans un contexte où les secteurs de la recherche et de l'éducation sont les plus visés.

Le spécialiste de la cybersécurité Check Point Software Technologies vient de publier son classement mensuel des menaces globales. À l'échelle mondiale, l'Ukraine reste la cible favorite des hackers, même si une baisse de 44 % du nombre moyen d'attaques hebdomadaires par entreprise entre octobre 2022 et février 2023 est à noter. En France, trois malwares se dégagent.

Derrière Formbook, des vieux de la vieille du logiciel malveillant

En février, il a été mesuré comme le logiciel malveillant le plus répandu en France. Formbook, un infostealer (voleur d'informations), cible le système d'exploitation Windows. Il a été détecté pour la première fois en 2016 et est depuis en vente comme un malware en tant que service (SaaS) sur les forums de hacking clandestins. Peu coûteux et avec des techniques d'évasion solides, Formbook récolte les informations d'identification de navigateurs web, surveille et enregistre les frappes au clavier, et collecte les captures d'écran. Il peut même télécharger, puis exécuter des fichiers selon les ordres de son C&C (l'infrastructure de Commande et Contrôle), qui comporte les outils permettant aux pirates de maintenir la liaison avec les machines compromises.

Détrôné par Formbook, Qbot reste le deuxième malware le plus diffusé en France. Le cheval de Troie bancaire, qui circule depuis 2008, vole les identifiants bancaires ou les frappes au clavier. Généralement, il est distribué dans des campagnes de spam par e-mail. Il utilise différentes techniques anti-VM, antisandbox et antidébogage afin de bloquer l'analyse et de passer outre la détection.

Emotet, lui, complète le podium. Cet autre trojan bancaire, que l'on ne présente plus, est à la fois perfectionné, autopropagateur et modulaire. Il utilise diverses méthodes pour rester persistant et possède des techniques d'évasion qui lui évitent de se faire repérer. Il se propage également à l'aide de spams de phishing, dans des pièces jointes ou des liens malveillants par exemple.

Méfiez-vous d'Anubis qui sévit sur mobile

Le mois dernier en France, les pirates ont en priorité ciblé la filière de l'enseignement et de la recherche. Le secteur des communications ainsi que celui regroupant les activités du gouvernement et militaires suivent en haut de liste.

En ce qui concerne les vulnérabilités, la plus exploitée le mois dernier est celle connue sous la qualification « Web Servers Malicious URL Directory Traversal ». Elle a touché 47 % des entreprises dans le monde et consiste en une vulnérabilité de traversée de répertoire sur différents serveurs web. Cette faille est liée à une erreur de validation d'entrée dans un serveur web qui ne nettoie malheureusement pas correctement l'URL pour les motifs de traversée de répertoire. Une telle exploitation réussie permet à des hackers distants non authentifiés de divulguer des fichiers arbitraires sur le serveur vulnérable ou d'y accéder.

Un mot enfin sur les malwares qui sévissent le plus sur mobile. En février, c'est le cheval de Troie Anubis qui a fait le plus parler de lui. Œuvrant sur Android, il a gagné en maturité et en fonctions, agissant aujourd'hui aussi bien en tant que trojan d'accès à distance (RAT), enregistreur audio, enregistreur de frappe ou ransomware. Il a déjà été détecté sur plusieurs centaines d'applications différentes qui peuvent être téléchargées sur le Google Play Store.

Source : Check Point Software Technologies