Vous utilisez un navigateur obsolète !
L'affichage de la page peut être incorrect.
le 29 décembre 2020
En 2020, les menaces les plus courantes ont été représentées par des Trojans droppers qui diffusent et installent d'autres logiciels malveillants, des applications publicitaires qui empêchent le fonctionnement correct des appareils, et par différentes modifications de Trojans téléchargeurs qui lancent dans le système contaminé des fichiers exécutables possédant un jeu de fonctionnalités malveillantes. Les chevaux de Troie utilisant les fonctionnalités d’applis d’administration à distance ont également été nombreux à circuler. Le Laboratoire de Doctor Web a enregistré quelques attaques utilisant ces Trojans RAT permettant aux pirates de gérer à distance les PC contaminés ainsi que d'uploader une charge malveillante vers ces ordinateurs.
Au cours de l’année 2020, les analystes de Doctor Web ont étudié en profondeur certaines attaques ciblées contre des entreprises et des entités publiques.
Concernant le trafic de messagerie, les menaces les plus actives de l'année dernière sont des Trojans bancaires, des stealers, différentes modifications de backdoors écrites en VB.NET et des scripts malveillants qui redirigent les internautes vers des sites dangereux ou indésirables. C'est également via le courrier électronique que les pirates ont diffusé des programmes exploitant les vulnérabilités des documents Microsoft Office.
Les utilisateurs d'appareils mobiles Android OS ont été menacés par des Trojans publicitaires, des logiciels espions, des Trojans bancaires et des downloaders qui téléchargeaient des applications malveillantes et pouvaient également exécuter n'importe quel code. La majorité des logiciels malveillants ont été propagés via Google Play.
Au mois de février, les analystes de Doctor Web ont publié une alerte sur un lien compromis qui redirigeait vers le téléchargement du programme de traitement de vidéos et fichiers audios VSDC, faisant partie du catalogue populaire CNET. A la place du logiciel originel, les visiteurs du site recevaient un installateur modifié avec un contenu malveillant, qui permettait aux pirates de gérer à distance les ordinateurs contaminés. La gestion était effectuée à l'aide des composants du logiciel TeamViewer et une bibliothèque de Trojan de la famille BackDoor.TeamViewer, qui installait une connexion non autorisée. En utilisant cette porte dérobée, les attaquants pouvaient télécharger vers les appareils contaminés une charge " utile " sous forme d'applications malveillantes.
En Mars 2020, les experts de Doctor Web ont rapporté la compromission d'un certain nombre de sites créés sur CMS WordPress. Un scénario JavaScript intégré au code des pages piratées redirigeait les visiteurs vers une page de phishing où les utilisateurs étaient invités à installer une soi-disant mise à jour importante de sécurité pour le navigateur Chrome. En réalité, le fichier téléchargé était un installateur de malwares qui permettait aux pirates de gérer à distance les machines contaminées. Cette fois-ci, les pirates ont de nouveau exploité les composants légitimes de TeamViewer et la bibliothèque de Trojan qui établissait une connexion et qui masquait le fonctionnement du programme.
En été, le laboratoire de Doctor Web a publié une étude approfondie sur un logiciel malveillant utilisé dans des attaques ART menées contre des bureaux du gouvernement au Kazakhstan et au Kirghizistan. Dans le cadre de l'enquête, les analystes ont trouvé une famille de Trojans multi-modulaires auparavant inconnue — XPath, destinés à obtenir un accès non autorisé à l'ordinateur, afin d'effectuer ensuite différentes actions sur commandes des pirates. Les représentants de cette famille malveillante utilisent un mécanisme complexe de contamination, dans lequel le fonctionnement de chaque module correspond à un stade particulier de l'activité du logiciel malveillant. De plus, ces Trojans possèdent un rootkit permettant de masquer leur activité réseau et leur présence dans un OS compromis.
Le laboratoire viral de Doctor Web a reçu de nouveaux échantillons de logiciels malveillants détectés sur un ordinateur contaminé dans le réseau informatique d’une institution publique au Kirghizistan. L'échantillon le plus intéressant était le Trojan backdoor multi-composants ShadowPad, que nos chercheurs pensent pouvoir être une modification de l'autre backdoor APT multi-modulaire — PlugX, détecté plus tôt dans des réseaux compromis des établissements touchés. La similitude des échantillons de ShadowPad eе PlugX, ainsi que certains points communs de leur infrastructure réseau ont été le sujet d’une étude spécifique.
Au mois de septembre 2020, Doctor Web a rapporté l’existence d'une campagne de spam ayant visé un certain nombre d'entreprises russes du secteur du carburant et de l'énergie. Pour la contamination initiale, les pirates utilisaient des messages électroniques avec des pièces jointes malveillantes, dont l'ouverture lançait l'installation de backdoors permettant de gérer à distance les machines contaminées. L'analyse des documents, des logiciels malveillants et de l'infrastructure utilisés nous ont permis d’établir avec certitude que l'attaque a été perpétrée par un groupe APT chinois (advanced persistent threat).
En Novembre 2020, les analystes de Doctor Web ont enregistré un envoi phishing ciblant les entreprises sans distinction particulière. Les messages contenaient des chevaux de Troie assurant l'installation transparente et le lancement de l'utilitaire Remote Utilities dont les composants se trouvaient dans la pièce jointe. Pour pousser leurs victimes potentielles à ouvrir les pièces jointes, les cybercriminels utilisaient des techniques d'ingénierie sociale.
L'analyse des statistiques récoltées par Dr.Web a montré qu'en 2020, les internautes ont été souvent attaqués par des Trojans droppers et des téléchargeurs qui installaient d'autres applications malveillantes et étaient en mesure d'exécuter du code arbitraire. De plus, les utilisateurs ont été menacés par des Trojans et des scripts effectuant du mining de crypto-monnaies.
Dans le trafic de messagerie, ce sont des Trojans bancaires, des backdoors et des logiciels malveillants exploitant les vulnérabilités des documents MS Office qui ont dominé. Les pirates ont également diffusé des scripts de mining et de phishing ainsi que des scripts qui redirigeaient les utilisateurs vers des sites dangereux ou indésirables.
Par rapport à l'année 2019, en 2020 le nombre de demandes pour le déchiffrement de fichiers touchés par des ransomwares qui ont été envoyées au Labo de Doctor Web a diminué de 18,4%. L'évolution des demandes de ce type en 2020 est présentée dans le graphique ci-dessous :
Les bases de données du Contrôle Parental et d'Office Control et celles de l'antivirus web SpIDer Gate sont constamment complétées par de nouvelles adresses de sites non recommandés ou potentiellement dangereux, dont des ressources frauduleuses et de phishing ainsi que des pages diffusant des programmes malveillants. Le plus grand nombre de ces ressources a été enregistré au premier trimestre, alors que le nombre le plus bas, au troisième. L'évolution des entrées relatives à des sites non recommandés ou dangereux au cours de l'année dernière est présentée sur le schéma ci-dessous.
En février 2020, les experts de Doctor Web ont averti les utilisateurs sur le lancement d'une campagne de phishing sur Instagram qui exploitait des messages sur un soi-disant remboursement prévu pour tous les citoyens de Russie. Les pirates affichaient des informations sous forme d’extraits de news en utilisant des fragments d’émissions réelles. Mais les vidéos en question étaient complétées par des images supplémentaires contenant des instructions sur la façon de remplir les formulaires sur les sites de phishing déguisées en ressources officielles du Ministère du développement économique de Russie.
Au cours de l'année 2020, les analystes de Doctor Web ont révélé de nombreux sites web déguisés en sites officiels d’établissement publics. Le plus souvent, les criminels proposaient de recevoir un remboursement ou bien d'investir dans des grandes entreprises.
Pour obtenir les récompenses promises, les utilisateurs étaient invités à saisir leurs données, notamment les informations de leurs cartes bancaires, et à effectuer un paiement préalable.
En 2020, les propriétaires d'appareils Android ont été menacés par différentes applications malveillantes et indésirables. La grande majorité de ces logiciels nuisibles étaient des applis publicitaires qui affichaient des notifications ou des bannières intempestives. Parmi ces menaces, on voyait beaucoup de programmes malveillants de la famille Android.HiddenAds diffusés entre autres via Google Play. Au cours de l'année dernière, les analystes de Doctor Web ont détecté des dizaines de ces Trojans qui ont été téléchargés par plus de 3 300 000 utilisateurs. La part de ces applications malveillantes représente plus de 13% du nombre total de menaces détectées sur les appareils Android.
De plus, en mars, les analystes ont détecté le Trojan multi-foncionnel Android.Circle.1 sur Google Play. Ce Trojan recevait des commandes contenant des scripts BeanShell et était en mesure d'afficher des publicités. Il pouvait également visiter des liens et télécharger des sites web ainsi que cliquer sur des bannières publiées sur ces sites.
Une autre menace phare de 2020 est la diffusion de Trojans dits « téléchargeurs ». Parmi eux, de nombreux représentants de la famille Android.RemoteCode qui télécharge et exécute n’importe quel code. Ce type de malwares représente plus de 14% des menaces détectées par les logiciels antivirus Dr.Web pour Android. De plus, les propriétaires d'appareils Android ont été menacés par les Trojans de la famille Android.DownLoader et Android.Triada qui téléchargeaient et installaient d'autres applications.
Le sujet de la pandémie a largement été exploité par les pirates pour diffuser des applications malveillantes et indésirables. Ils ont notamment créé différents sites Web frauduleux sur lesquels il était proposé d'installer des programmes de référence ou de santé relatifs à la propagation du coronavirus ainsi que des soi-disant applications permettant d'obtenir une aide financière. En réalité, les utilisateurs téléchargeaient depuis ces sites des programmes espions, des Trojans bancaires ou des ransomwares à chiffrement ainsi que d'autres malwares.
Pendant toute l'année 2020, les analystes de Doctor Web ont détecté de nombreuses applications malveillantes de la famille Android.FakeApp sur Google Play. Ces malwares sont destinés à télécharger des sites frauduleux. Les pirates tentaient de faire passer ces Trojans pour des programmes de référence informant sur des remboursements et d'autres paiements sociaux. Compte tenu de la pandémie et de la situation économique difficile, les internautes ont beaucoup consulté ce type d’informations.
Par ailleurs, de nombreuses applications permettant de surveiller les utilisateurs ont été détectées sur les appareils Android. Elles pouvaient être utilisées à des fins d'espionnage ainsi que récolter une large gamme de données personnelles - la correspondance, les photos, les documents, les contacts et les coordonnées gps, ainsi que des informations sur les contacts et les appels téléphoniques.
L'an dernier a montré une propagation non seulement des logiciels malveillants mais également des menaces APT qui ont touché différents établissements partout dans le monde.
En 2021, nous pouvons nous attendre à ce que les ransomwares soient encore massivement présents, alors que les attaques utilisant des ransomwares à chiffrement viseront encore plus souvent les entreprises. Le développement du modèle RaaS (Ransomware as a Service) favorise cette tendance. Une réduction possible des investissements dans la sécurité peut également conduire à une augmentation rapide du nombre d'incidents de ce type.
La recrudescence et une plus grande sophistication des attaques sur l’Internet des Objets sont également à prévoir.