Doctor Web : rapport viral du 2e trimestre 2026

Aperçus viraux | Toutes les actualités

le 13 juillet 2026

Selon les statistiques de détection récoltées par l'antivirus Dr.Web, le nombre total de menaces détectées lors du deuxième trimestre 2026 a augmenté de 5,72% par rapport au premier trimestre. Le nombre de menaces uniques a également augmenté de 95,32%. Les menaces les plus fréquemment détectées sur les appareils protégés étaient les logiciels publicitaires, les chevaux de Troie publicitaires, les programmes de minage malveillants et les chevaux de Troie utilisés pour lancer d'autres menaces.

Les scripts malveillants et les chevaux de Troie les plus fréquemment détectés dans le trafic de messagerie incluaient des téléchargeurs, des droppers, des voleurs de mots de passe et des mineurs de cryptomonnaie. Les portes dérobées, les documents de phishing et divers exploits ont également été largement répandus.

Les utilisateurs dont les fichiers ont été affectés par des rançongiciels ont été les plus susceptibles de rencontrer des encodeurs Trojan.Encoder.35534, Trojan.Encoder.41868 et Trojan.Encoder.37400. Dans le même temps, le nombre de demandes de déchiffrement reçues par le support technique de Doctor Web a légèrement diminué par rapport au trimestre précédent.

Au deuxième trimestre 2026, les analystes Internet de Doctor Web ont constaté une augmentation des attaques de phishing ayant visé les utilisateurs de MAX Messenger. Les pirates ont également exploité les tendances de l'actualité et adapté les arnaques populaires à leurs propres intérêts.

En avril, il a été découvert qu'une mise à jour de Microsoft Visual Studio Code contenait du code malveillant. Il s'agissait d'un cheval de Troie dissimulé dans la bibliothèque JavaScript publique es5-ext, incluse dans la mise à jour. Ce script s'exécute lorsque le fuseau horaire correspond à celui de certaines villes russes et affiche un message anti-russe dans la console du développeur.

En mai nous avons alerté sur la propagation du logiciel malveillant JobStealer, qui ciblait les utilisateurs de Mac et de Windows. Les cybercriminels le dissimulaient sous l'apparence d'un logiciel d'entretien d'embauche en ligne. Le cheval de Troie JobStealer vole diverses informations confidentielles, notamment des données provenant d'environ 300 extensions de navigateur/portefeuilles de cryptomonnaie, des fichiers de messagerie Telegram, des mots de passe et des informations de cartes bancaires enregistrés dans les navigateurs, ainsi que des cookies.

En juin, des spécialistes du laboratoire antivirus de Doctor Web ont rapporté un nouveau cheval de Troie publicitaire, Android.MagicAd.1, capable d'afficher des publicités en arrière-plan en contournant les restrictions du système d'exploitation Android. Pour ce faire, le cheval de Troie exploite des applications tierces, en choisissant la méthode nécessaire en fonction du fabricant de l'appareil cible.

Parmi les applications malveillantes ciblant les appareils Android, la première place en termes de nombre de détections sur les appareils protégés a été gardée par les Trojans bancaires Android.Banker. Parallèlement, les auteurs de virus ont continué d'utiliser activement divers outils pour modifier les applications Android et ainsi protéger leurs logiciels malveillants contre la détection par les antivirus. Au cours du deuxième trimestre, nos analystes antivirus ont également découvert plusieurs nouveaux chevaux de Troie dans le catalogue Google Play, conçus pour abonner les utilisateurs à des services mobiles payants.

Tendances principales du deuxième trimestre

  • Le nombre de menaces détectées sur les appareils protégés a augmenté.
  • Le nombre de fichiers uniques parmi les menaces détectées a augmenté de manière significative.
  • Le nombre de demandes de déchiffrement de fichiers affectés par des rançongiciels a diminué par rapport au premier trimestre.
  • Les fraudeurs ont commencé à attaquer plus fréquemment les utilisateurs de la messagerie russe MAX.
  • Les Trojans bancaires Android.Banker restent le malware le plus courant ciblant les appareils Android.
  • Les spécialistes de Doctor Web ont découvert le cheval de Troie publicitaire Android.MagicAd.1, capable de contourner les restrictions du système d'exploitation Android et d'afficher des publicités en arrière-plan.
  • Les auteurs de virus ont diffusé le logiciel malveillant JobStealer, conçu pour voler des données confidentielles aux utilisateurs de Mac et de Windows.
  • Du code malveillant a été découvert dans une mise à jour de Microsoft Visual Studio Code.

Données du service de statistiques de Doctor Web

Les menaces les plus répandues au cours du 2eme trimestre 2026 :

Adware.Downware.20091
Adware.Downware.20766
Adware souvent utilisé comme outil intermédiaire de téléchargement de programmes pirates.
Trojan.Siggen31.34463
Cheval de Troie écrit dans le langage de programmation Go et conçu pour charger divers miners et logiciels publicitaires dans le système cible. Le malware est un fichier DLL situé dans %appdata%\utorrent\lib.dll. Pour son lancement, il exploite une vulnérabilité de la classe DLL Search Order Hijacking dans le client torrent uTorrent.
Trojan.BPlug.4268
Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.
Trojan.Starter.8319
Détection de scripts XML malveillants qui lancent le Trojan Trojan.AutoIt.289 et ses composants.

Statistiques relatives aux programmes malveillants détectés dans le trafic e-mail

Les menaces les plus courantes dans le trafic de messagerie au deuxième trimestre 2026

X97M.DownLoader.2343
Un fichier XLSX (format de feuille de calcul Microsoft Excel) contenant un objet OLE qui télécharge un fichier malveillant sur l'ordinateur cible.
W97M.DownLoader.2938
Famille de Trojans Downloaders qui exploitent les vulnérabilités des documents créés dans MS Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur attaqué.
Exploit.CVE-2017-11882.123
Exploit.CVE-2018-0798.4
Exploits conçus pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permettent l'exécution du code arbitraire.
JS.Muldrop.1171
Script malveillant au format JavaScript qui lance un malware caché sur le système cible.

Rançongiciels

Par rapport au premier trimestre 2026, le nombre de demandes de déchiffrement de fichiers touchés par des ransomwares à chiffrement a légèrement diminué au deuxième trimestre (de 2,67 %).

Dynamique des demandes de décryptage reçues par le support technique de Doctor Web :

Les encodeurs les plus répandus au cours du 2eme trimestre 2026 :

  • Trojan.Encoder.35534 — 14,47% des demandes
  • Trojan.Encoder.41868 — 5,26% des demandes
  • Trojan.Encoder.37400 — 3,95% des demandes
  • Trojan.Encoder.35209 — 3,29% des demandes
  • Trojan.Encoder.44197 — 2,63% des demandes

Fraude sur le Web

L'une des tendances observées par les analystes de Doctor Web au deuxième trimestre 2026 l’augmentation de l’intérêt des cybercriminels pour les utilisateurs de la messagerie russe MAX. Face à la croissance de son audience, les pirates informatiques ont commencé à cibler activement les utilisateurs de ce service. Ils utilisent également des techniques bien connues qui ont déjà visé les utilisateurs d'autres messageries, telles que Telegram et WhatsApp. Par exemple, nos spécialistes ont identifié de nombreux sites web frauduleux créés pour voler des comptes MAX sous couvert de divers programmes de vote. Une victime potentielle est invitée à voter pour un concours, en saisissant son numéro de téléphone portable ainsi que le code de vérification reçu après la saisie. Une fois que l'utilisateur a saisi toutes les données, les attaquants obtiennent l'accès à son compte.

Voici un exemple de site de phishing utilisé par des escrocs pour accéder au compte de messagerie MAX d'une victime.

Au cours du deuxième trimestre, les analystes Internet de Doctor Web ont constaté l'apparition de nouveaux sites web frauduleux liés aux investissements. Les cybercriminels suivent les tendances actuelles et continuent d'exploiter activement le sujet de l'intelligence artificielle. Par exemple, sur plusieurs plateformes en ligne, ils invitaient leurs victimes potentielles à participer à un nouveau projet d'investissement, prétendument lié à d'importantes institutions de crédit russes. Les attaquants promettaient l'accès à un chatbot spécialisé, basé sur le réseau neuronal ChatGPT, qui pouvait faciliter les investissements. Pour devenir participants au « projet », les visiteurs du site devaient s'inscrire en fournissant des informations personnelles.

Le site frauduleux propose de s'inscrire dans un projet d'investissement prétendument lié à l'une des banques russes et d'accéder à un chatbot financier spécialisé basé sur le réseau neuronal ChatGPT.

Dans le même temps, des escrocs ont tenté d'attirer les utilisateurs russophones en utilisant non seulement les noms de banques russes, mais également ceux d'établissements de crédit étrangers. Par exemple, des cybercriminels ont présenté plusieurs faux sites de services d'investissement en les présentant comme étant affiliés à des banques sud-coréennes.

Un site web frauduleux proposait aux utilisateurs russophones de participer à un " projet d'investissement d'une banque sud-coréenne ", promettant un revenu de 2 000 000 de wons sud-coréens.

Au deuxième trimestre, les escrocs sont restés actifs, tentant de dérober des identifiants de compte auprès de divers services. Parmi les nombreux sites de phishing, on trouvait de faux sites web se faisant passer pour des entreprises de transport. L'un d'eux ciblait les clients d'un service de livraison express russe. Les victimes potentielles étaient invitées à se connecter à leur compte à l'aide du numéro de téléphone portable associé à celui-ci ou via le portail des services de l’État Gosuslugi. Même après s'être connectées par la première méthode, le site affichait un second formulaire de phishing, se faisant passer pour une page de connexion du portail des services de l’État Gosuslugi.

Grâce à un site web frauduleux, des pirates ont pu dérober simultanément des identifiants de connexion à plusieurs comptes : d'un compte personnel sur le site web d’une entreprise de transport et du portail des services de l’État Gosuslugi.

Nos experts ont également identifié de nouveaux sites de phishing ciblant des établissements de crédit dans différents pays. Par exemple, des escrocs ont demandé aux clients d'une banque américaine de se connecter à leurs comptes et de vérifier la disponibilité d'un taux d'intérêt plus élevé pour les « clients fidèles ».

Dans un autre cas, un site de phishing imitait l'apparence d'une banque équatorienne et demandait aux utilisateurs leurs identifiants de connexion à la banque en ligne.

Une autre escroquerie par phishing ciblait des utilisateurs britanniques. Des cybercriminels ont créé de faux sites web de services gouvernementaux proposant de payer les amendes de stationnement.

Les victimes potentielles étaient invitées à fournir des informations personnelles détaillées, soi-disant pour vérifier leur identité, après quoi elles étaient redirigées vers une page de paiement d'une « amende ».

L'une des escroqueries les plus courantes consiste à annoncer aux utilisateurs une possibilité de recevoir divers paiements indus. Cependant, les cybercriminels l'adaptent constamment à l'actualité. Par exemple, à l'approche de la Fête nationale russe, de faux sites web d'établissements de crédit russes ont commencé à apparaître, des escrocs promettant des versements spéciaux aux visiteurs à l'occasion de la fête. L'un d'eux aurait proposé aux utilisateurs entre 5 000 et 300 000 roubles pour répondre à un sondage.

Dans une autre version de ce système, les utilisateurs pouvaient espérer recevoir une « aide » de 5 000 roubles après avoir rempli un sondage.

Face aux rumeurs de pénurie de carburant dans certaines régions russes, plusieurs de ces sites ont promis des bons pour 20 à 100 litres de carburant gratuits :

Après avoir répondu à quelques questions simples, les visiteurs de ces sites étaient invités à se soumettre à une « identification personnelle » pour recevoir la récompense promise. Il fallait fournir nom et prénom, un numéro de téléphone portable et un numéro de carte bancaire. Les escrocs pouvaient ensuite utiliser ces informations pour voler l'argent de leurs victimes.

Parmi les sites web indésirables détectés au deuxième trimestre figuraient également de faux sites web de la FIFA, où les utilisateurs pouvaient soi-disant acheter des billets officiels pour la Coupe du monde de la FIFA 2026, des souvenirs de marque et divers services premium. Tout comme sur le site officiel, les visiteurs de ces faux sites étaient invités à se connecter à un compte FIFA ID, mais le formulaire d'identification acceptait dans ce cas n'importe quelles données.

Formulaire de connexion pour faux compte FIFA

Après avoir sélectionné le produit qui les intéressait, les fans de football étaient invités à finaliser leur achat et à payer. Parallèlement, lors du processus de paiement, les utilisateurs étaient redirigés vers le site Internet de l'un des services, qui se trouve dans la base de données des ressources Internet non recommandées par l'antivirus Dr.Web.

Le faux site Internet de la Fédération Internationale de Football aurait permis l'achat officiel de produits et services sous licence

Nos experts ont également identifié plusieurs campagnes de spam visant à diffuser des liens vers de faux sites web de marché russes, où les attaquants offraient aux victimes potentielles la possibilité de participer à un « tirage au sort de prix d'anniversaire ». Les escrocs promettaient la possibilité de gagner des prix en espèces – jusqu'à 1 000 000 de roubles – ainsi que des ordinateurs et des appareils mobiles.

Pour participer à cette « promotion », les utilisateurs devaient cliquer sur le bouton prévu à cet effet sur ces sites web, après quoi un tirage au sort simulé était censé avoir lieu. Après plusieurs tentatives, la victime potentielle s'est vu dire qu'elle avait gagné plusieurs cadeaux et qu'elle avait soi-disant le choix : récupérer les prix en personne dans un point de retrait sur le marché, ou leur équivalent en espèces par virement bancaire :

Lorsqu'un utilisateur choisissait de récupérer ses prix en point relais, les sites web l'informaient que les articles souhaités étaient indisponibles, mais qu'il pouvait néanmoins les échanger contre de l'argent. La page simulait ensuite une conversation avec un opérateur afin de « confirmer » son intention de convertir ses prix. Pour ce faire, la victime potentielle devait fournir un numéro de carte bancaire :

Après sa saisie, les sites web exigeaient le paiement de frais d’État pour « enregistrer officiellement les gains ».

Les victimes de ces escrocs n'ont jamais reçu le moindre prix. Elles leur ont non seulement communiqué leurs coordonnées bancaires, mais également transféré leur propre argent.

Logiciels malveillants et indésirables ciblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, au deuxième trimestre 2026, les utilisateurs ont rencontré moins fréquemment les Trojans bancaires Android.Banker, cependant, ces applications de type cheval de Troie sont restées les logiciels malveillants les plus courants. L’activité des chevaux de Troie publicitaires Android.HiddenAds et Android.MobiDash a également diminué.

Les programmes potentiellement dangereux les plus fréquemment détectés au cours du deuxième trimestre étaient les applications Tool.Obfuscator.TrashCode et Tool.NPMod, modifiées à l'aide de l'utilitaire de modification NP Manager. Les auteurs de virus utilisent cet outil pour protéger les logiciels malveillants contre la détection par les logiciels antivirus. Les programmes indésirables les plus courants se sont avérés être de faux antivirus nommés Program.FakeAntiVirus. Pour « remédier » aux menaces prétendument découvertes, ils exigent l'achat de la version complète.

Les logiciels publicitaires les plus actifs étaient les modules Adware.AdPush, qui affichaient des notifications trompeuses et collectaient des données confidentielles. Les applications d'optimisation du système d'exploitation Android se sont à nouveau répandues. Il s'agit des applications Adware.Bastion.1.origin. Elles créent des notifications contenant des messages concernant une mémoire vive prétendument insuffisante et des erreurs système afin d'afficher des publicités pendant « l'optimisation ». Les programmes publicitaires Adware.Opensite.15 ont également restés très actifs. Les pirates les distribuent sous couvert de programmes de triche, censés permettre aux utilisateurs d'obtenir diverses ressources en jeu. En réalité, ces programmes ne font que surcharger les sites web de publicités.

En juin, les spécialistes de Doctor Web ont mis en garde contre le Trojan Android.MagicAd.1, capable de contourner les restrictions du système d'exploitation Android et d'afficher des publicités en arrière-plan. Android.MagicAd.1 utilise à cette fin des applications tierces, ainsi qu'un certain nombre de méthodes qu'il sélectionne en fonction du fabricant de l'appareil cible.

Au cours du deuxième trimestre, nos analystes ont identifié de nouveaux programmes de type chevaux de Troie appartenant aux familles Android.Joker et Android.Subscription dans le catalogue Google Play, ces applications abonnent les utilisateurs à des services payants. Au total, ils ont été téléchargés au moins 2 600 000 de fois.

Les événements les plus importants du deuxième trimestre en matière de sécurité des appareils mobiles :

  • Les chevaux de Troie bancaires Android.Banker ont gardé leur première place en termes de nombre de détections de logiciels malveillants sur les appareils protégés par Dr.Web.
  • Les attaquants ont continué à utiliser activement des outils spécialisés pour modifier les programmes Android afin de protéger les chevaux de Troie bancaires contre la détection par les antivirus.
  • L'activité des chevaux de Troie publicitaires Android.MobiDash et Android.HiddenAds a de nouveau diminué.
  • Les analystes antivirus de Doctor Web ont identifié le cheval de Troie Android.MagicAd.1, qui exploite des programmes tiers pour contourner les restrictions du système d'exploitation Android et afficher des publicités en arrière-plan.
  • De nouvelles applications de type cheval de Troie ont été découvertes sur Google Play, incitant les utilisateurs à s'abonner à des services payants.

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles au deuxième trimestre 2026, consultez notre Rapport.

Dernières news Toutes les news