Doctor Web : Doctor Web : rapport viral du mois de janvier 2019

Le 1 février 2019

La fin de l’année 2018 et la période des fêtes ont été relativement calmes en matière de cybersécurité mais le mois de janvier 2019 révèle néanmoins quelques « cas » intéressants.

Pour commencer par quelques chiffres, le nombre d'appareils contaminés par Trojan.Winlock.14244 par rapport au mois précédent a augmenté de 28%, et le nombre de fichiers malveillants envoyés par email et utilisant une vulnérabilité de Microsoft Office a augmenté de 50%. La cryptomonnaie est de nouveau une cible ce mois-ci et nous parlerons également d’adwares.

Menace du mois

Au mois de janvier 2019, les analystes de Doctor Web ont détecté un Trojan dans un logiciel destiné à suivre le cours des crypto-monnaies Ce programme malveillant a été diffusé avec un utilitaire et installait d'autres Trojans sur les machines contaminées afin de voler des données personnelles, notamment les mots de passe de portemonnaies de crypto-monnaies.

Plus d'infos sur le Trojan.

Données des serveurs de statistiques de Doctor Web

Menaces croissantes du mois de janvier :

Trojan.Winlock.14244

Bloque ou restreint l'accès de l'utilisateur au système d'exploitation et à ses fonctions de base. Pour déverrouiller le système, il demande de transférer de l'argent sur un compte.

Adware.Downware.19283

Programme-installateur qui est diffusé avec un contenu malveillant. A son installation, il peut modifier les configurations des navigateurs web et installer d'autres programmes indésirables.

Trojan.DownLoader26.28109

Télécharge et lance des logiciels malveillants sans le consentement de l'utilisateur.

Trojan.Encoder.11432

Plus connu sous le nom de WannaCry. Bloque l'accès aux données par chiffrement. Pour déverrouiller le système, il demande de transférer de l'argent sur un compte. Ce malware a attaqué beaucoup de machines dans le monde entier en mai 2017.

Le nombre de menaces listées ci-après a diminué :

Trojan.Starter.7394

Trojan destiné à lancer d'autres programmes malveillants sur les machines d'utilisateurs.

Trojan.MulDrop8.60634

Installe d'autres Trojans dans le système. Tous les composants à installer sont contenus dans le corps de Trojan.MulDrop.

Trojan.Zadved.1313

Publiciel qui remplace les résultats des recherches, redirige l'utilisateur vers des sites d’annonceurs et affiche des publicités intempestives.

Statistiques relatives aux programmes malveillants détectés dans le trafic email

Le nombre de contaminations par les malwares ci-dessous a augmenté :

JS.DownLoader.1225

Famille de scripts malveillants écrits en JavaScript. Ils téléchargent et installent d’autres logiciels malveillants.

Exploit.Rtf.CVE2012-0158

Document modifié de Microsoft Office Word utilisant la vulnérabilité CVE2012-0158 pour exécuter un code malveillant.

W97M.DownLoader.2938

Famille de Trojans Downloader qui exploite les vulnérabilités des applications Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur infecté.

Exploit.ShellCode.69

Un autre document Microsoft Office Word malveillant. Il utilise la vulnérabilité CVE-2017-11882.

Trojan.PWS.Stealer.23680

Famille de Trojans conçus pour voler des mots de passe et d'autres données confidentielles des ordinateurs contaminés.

L'activité des menaces suivantes a augmenté :

Trojan.Nanocore.23

Trojan qui a contaminé 4 fois plus d'appareils que l'année dernière. Il permet aux pirates de contrôler à distance l'ordinateur infecté, y compris l'activation de la caméra et du microphone sur l'appareil s'ils sont disponibles.

JS.Miner.28

Script écrit en JavaScript. Conçu pour le mining masqué via un navigateur web. Il est utilisé en tant qu’alternative à CoinHive.

Les contaminations par les malwares ci-dessous ont diminué :

Trojan.Fbng.8

Trojan connu sous le nom de FormBook. Conçu pour voler des données personnelles. Il peut recevoir des commandes du serveur de ses développeurs.

Trojan.Encoder.26375

Ransomware. Il chiffre des fichiers sur l'ordinateur de la victime et demande une rançon pour le décryptage.

JS.Miner.11

Groupe de scripts écrits en JavaScript. Conçus pour le mining masqué via un navigateur web. Ils utilisent le miner populaire - CoinHive.

L'activité de Trojan.SpyBot.699 a légèrement diminué en décembre, mais il est resté présent au cours des trois derniers mois. Ce Trojan bancaire permet aux criminels de télécharger et de lancer sur le dispositif contaminé différentes applications et d'exécuter leurs commandes. Le Trojan est conçu pour voler des fonds.

Ransomwares à chiffrement

Au mois de janvier, le Support technique de Doctor Web a reçu de nombreuses requêtes d’utilisateurs touchés par les modifications suivantes de Trojans Encoders :

• Trojan.Encoder.858 — 26.32%
• Trojan.Encoder.11464 — 12.63%
• Trojan.Encoder.11539 — 7.72%
• Trojan.Encoder.25574 — 1.58%
• Trojan.Encoder.567 — 5.96%
• Trojan.Encoder.5342 — 0.88%

Sites dangereux

En janvier 2019, la base de sites non recommandés par Dr.Web s’est enrichie de 293 012 adresses Internet.

Logiciels malveillants et indésirables ciblant les appareils mobiles

Au cours du mois de janvier, beaucoup de programmes malveillants ont été détectés sur Google Play. Android.DownLoader télécharge des Trojans bancaires sur les appareils mobiles, Android.HiddenAds.361.origin et Android.HiddenAds.356.origin masquent leurs icônes et affichent des publicités. A la fin du mois de janvier, les analystes ont révélé quelques nouveaux Trojans clickers de la famille Android.Click capables de télécharger n'importe quel site web sur commande reçue d'un serveur de contrôle. De plus, les utilisateurs ont été menacés par le Trojan espion Android.Spy.525.origin qui volait des informations confidentielles.

Les événements les plus importants concernant la sécurité " mobile " du mois de janvier sont :

• détection sur Google Play d'une multitude de logiciels malveillants et indésirables,
• propagation d'un Trojan espion.

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles au mois de novembre, consultez notre Rapport.