Les kits d’exploitation, de plus en plus flexibles

0
La cybersécurité explose mais elle le fait grâce à la prolifération des kits d’exploitation. BlackHole, ProPack, Nuclear, CritXPack, Phoenix, … On constate que les menaces ayant actuellement le plus d’impact sont la plupart produites par des kits « clés en main » utilisables par tous, ou presque. Ainsi le révèle Check Point dans son dernier Check Point Threat Index qui signale une augmentation massive de l’utilisation des kits d’exploitation de vulnérabilités par les cybercriminels dans le monde entier, avec notamment le kit Rig atteignant la seconde place dans le Check Point Threat Index du mois de mars.
« Le retour spectaculaire des kits d’exploitation de vulnérabilités en mars montre que les anciennes menaces ne disparaissent pas pour toujours. Elles sont tout simplement mises en sommeil et peuvent être rapidement redéployées ». commente Nathan Shuchami, VP of Emerging Products chez Check Point.
N’oublions pas qu’il est toujours plus facile pour les pirates « de modifier des types de menaces et des familles de logiciels malveillants existants plutôt que d’en développer de nouveaux, et les kits d’exploitation de vulnérabilités sont un type de menace particulièrement souple et adaptable. »
BLOG_MalwareEn effet, les kits d’exploitation de vulnérabilités, qui sont conçus pour découvrir et exploiter des vulnérabilités sur des machines afin de télécharger et d’y exécuter du code malveillant, sont en recul depuis leur pic de mai 2016, après le retrait des principales variantes Angler et Nuclear. Cependant, le kit d’exploitation de vulnérabilités Rig est remonté en flèche dans le classement du mois de mars, pour devenir le second logiciel malveillant le plus utilisé dans le monde entier tout au long de cette période. L’utilisation du kit d’exploitation de vulnérabilités Terror a également augmenté de façon spectaculaire en mars, et a manqué de peu d’entrer dans le top 10 actuel.
Rig comporte des exploitations de vulnérabilités pour Flash, Java, Silverlight et Internet Explorer. La chaîne d’infection commence par une redirection vers une page d’atterrissage contenant du code JavaScript recherchant des vulnérables dans des plug-ins et fournissant le code malveillant correspondant. Terror a initialement été détecté début décembre 2016. Il contenait huit exploitations de vulnérabilités actives différentes. Rig et Terror comportent une grande variété de menaces : chevaux de Troie bancaires, logiciels rançonneurs, spambots et extracteurs de bitcoins.
Poursuivant la tendance observée en février, les trois principales familles de logiciels malveillants comportent également un large éventail de vecteurs d’attaque et de cibles, qui impactent toutes les étapes de la chaîne d’infection. Les logiciels rançonneurs étaient l’un des outils les plus rentables pour les cybercriminels en 2016, et grâce aux kits d’exploitation de vulnérabilités désormais utilisés pour les installer, cette tendance ne montre aucun signe de perte de vitesse.
Les logiciels malveillants les plus courants en mars étaient HackerDefender et le kit d’exploitation de vulnérabilités Rig en première et en seconde place respectivement, chacun impactant 5 % des entreprises dans le monde entier, suivis par Conficker et Cryptowall, chacun impactant 4 % des entreprises dans le monde entier.
Pour faire face à la menace de Rig, Terror et autres kits d’exploitation de vulnérabilités, les entreprises doivent déployer des systèmes de sécurité avancés sur l’ensemble de leur réseau, tels que Check Point SandBlast Zero-Day Protection et Mobile Threat Prevention. » assure Nathan Shuchami.

Top 3 des logiciels malveillants les plus utilisés en mars 2017 :

↑ HackerDefender – Un rootkit en mode utilisateur pour Windows pouvant être utilisé pour cacher des fichiers, des processus et des clés de registre, ouvrir une porte dérobée et rediriger du trafic via des ports TCP ouverts par des services existants. Cela signifie qu’il est impossible de détecter cette porte dérobée par des moyens traditionnels.
↑ Kit d’exploitation de vulnérabilités Rig – Lancé en 2014, le kit Rig comporte des exploitations de vulnérabilités pour Flash, Java, Silverlight et Internet Explorer. La chaîne d’infection commence par une redirection vers une page d’atterrissage contenant du code JavaScript recherchant des vulnérables dans des plug-ins et fournissant le code malveillant correspondant.
↑ Conficker – Un ver permettant d’effectuer des opérations à distance et de télécharger des logiciels malveillants. Les postes infectés sont contrôlés par un botnet, qui contacte son serveur de commande et de contrôle pour recevoir des instructions.

En ce qui concerne les logiciels malveillants mobiles, les deux principales familles sont restées les mêmes qu’en février, tandis que Ztorg reprend sa place parmi les trois premières.

Top 3 des logiciels malveillants mobiles les plus utilisés :

1.  Hiddad – Logiciel malveillant Android reconditionnant des applications légitimes, puis les publiant dans une boutique d’applications tierce. Sa fonction principale est l’affichage de publicités, mais il est également en mesure d’accéder aux informations de sécurité intégrées au système d’exploitation, afin de permettre à l’agresseur d’obtenir les données confidentielles des utilisateurs.

2.  HummingBad – Un logiciel malveillant Android installant un rootkit persistant et des applications frauduleuses sur les appareils, qui permettent, à l’aide de légères modifications, des activités malveillantes supplémentaires telles que l’installation d’un enregistreur de frappes, le vol d’identifiants et le contournement des conteneurs chiffrés de courrier électronique utilisés par les entreprises.

3.  Ztorg – Un cheval de Troie utilisant les privilèges root pour télécharger et installer des applications sur des téléphones mobiles à l’insu de leurs utilisateurs.

About Author

Globb Security France

Leave A Reply