Doctor Web : aperçu de l'activité virale du mois de mars 2018
le 3 avril 2018
Au mois de mars, les analystes de Doctor Web ont détecté et examiné beaucoup de nouveaux programmes malveillants. Le début du mois a été marqué par un envoi massif de phishing au nom de la société Mail.Ru. Les analystes ont également examiné quelques nouveaux malwares appartenant à la famille Trojan.LoadMoney ainsi que le Trojan.PWS.Stealer.23012. Un certain nombre de programmes malveillants ciblant la plateforme Android ont également été analysés en mars.
Les tendances principales du mois de mars
- Envoi massif de messages phishing par email
- Propagation de nouveaux représentants de la famille Trojan.LoadMoney
- Apparition d'un Trojan capable de voler des informations confidentielles
Menace du mois
La propagation du malware Trojan.PWS.Stealer.23012 a commencé le 11 mars 2018. Il était diffusé via des commentaires postés à propos de vidéos sur YouTube. Ces commentaires incluaient un lien vers le malware. Beaucoup de ces vidéos concernaient l’utilisation de méthodes frauduleuses (dites " cheat ") pouvant aider à gagner dans des jeux en ligne en utilisant des applications spécialisées. Les cybercriminels tentaient de faire passer leur Trojan pour ce type de programme ou pour un utilitaire.
Sur l'ordinateur contaminé, le Trojan récolte les Cookies, les logins et mots de passe enregistrés dans les navigateurs les plus connus, il effectue une capture d'écran et copie les fichiers du Bureau Windows. Les informations aspirées et les données sur la géolocalisation de l'appareil infecté sont ensuite transmises au serveur des pirates. Vous pouvez consulter plus d'informations sur Trojan.PWS.Stealer.23012 dans notre article.
Selon les statistiques de Dr.Web Antivirus
- Trojan.Starter.7394
- Son objectif principal consiste à lancer dans le système contaminé un fichier exécutable avec un jeu spécifique de fonctions malveillantes.
- Trojan.Inject
- Famille de logiciels malveillants qui intègrent un code malveillant aux processus d'autres programmes.
- Trojan.Zadved
- Plug-ins conçus pour remplacer les résultats des moteurs de recherche et afficher de fausses fenêtres pop-up de réseaux sociaux. De plus, ils peuvent remplacer les messages publicitaires affichés sur différents sites.
- Trojan.Moneyinst.520
- Programme malveillant qui installe sur l'ordinateur de sa victime différents logiciels, y compris d'autres chevaux de Troie.
- Trojan.Encoder.11432
- Ver réseau qui lance un ransomware sur l'ordinateur de sa victime. Il est également connu sous le nom de WannaCry.
- BackDoor.Meterpreter.56
- Représentant d'une famille de programmes malveillants permettant aux pirates de gérer à distance la machine contaminée et de lui envoyer des commandes.
- JS.Inject
- Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant dans le code HTML des pages web.
- BackDoor.IRC.Bot.4771
- Représentant d'une famille de programmes malveillants permettant aux pirates de gérer à distance la machine contaminée et de lui adresser des commandes. Ce Trojan est géré via le protocole d'échange de messages texte IRC (Internet Relay Chat).
- Trojan.Encoder.11432
- Ver réseau qui lance un ransomware sur l'ordinateur de sa victime. Il est également connu sous le nom de WannaCry.
- JS.DownLoader
- Famille de scripts malveillants écrits en JavaScript. Ils téléchargent et installent d’autres logiciels malveillants.
- JS.Inject
- Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant dans le code HTML des pages web.
- Trojan.Encoder.24788
- Un des représentants de la famille des Trojans-Extorqueurs qui chiffrent les fichiers de l'ordinateur infecté puis extorquent de l'argent pour les déchiffrer.
- Java.Jrat.58
- Programme malveillant destiné à gérer l'ordinateur à distance (Remote Access Tools, RAT) écrit en langage Java.
- Trojan.PWS.Stealer
- Famille de Trojans conçus pour voler des mots de passe et d'autres données confidentielles.
- Trojan.Encoder.858 — 15.38% des demandes;
- Trojan.Encoder.11464 — 7.26% des demandes;
- Trojan.Encoder.11539 — 6.62% des demandes;
- Trojan.Encoder.24249 — 5.77% des demandes;
- Trojan.Encoder.567 — 3.63% des demandes;
- Trojan.Encoder.2667 — 2.35% des demandes.
- détection d'un Trojan dans des dizaines de modèles de Smartphones Android,
- Emergence de nouveaux Trojans bancaires
- Détection de programmes malveillants sur Google Play.
Données des serveurs de statistiques de Doctor Web.
Statistiques relatives aux programmes malveillants détectés dans le trafic email
Ransomwares à chiffrement
Au mois de mars, le Support technique de Doctor Web a reçu de nombreuses requêtes d’utilisateurs touchés par les modifications suivantes de Trojans Encoders :
Dr.Web Security Space 11.0 pour Windows protège contre les ransomwares
Sites dangereux
Au début du mois de mars, Doctor Web a signalé un envoi massif de messages de phishing par email au nom de la société Mail.Ru. Dans leur message, les malfaiteurs avertissaient les internautes du blocage de leur compte se trouvant sur le serveur Mail.Ru et proposaient de repasser la procédure d'authentification. Le lien se trouvant dans ces messages redirigeait vers un faux site Mail.Ru et les informations saisies par les utilisateurs étaient transmises immédiatement aux criminels.
L'adresse de ce faux site a été ajoutée aux bases de données du Contrôle Parental et d'Office Control Dr.Web.
Durant le mois de mars 2018, la base de sites non recommandés par Dr.Web s’est enrichie de 624 474 adresses Internet.
Février 2018 | Mars 2018 | Evolution |
---|---|---|
+ 1 174 380 | + 624 474 | - 46.8% |
Autres événements dans le domaine de la sécurité
Les Trojans de la famille Trojan.LoadMoney, capables de télécharger d'autres programmes malveillants sont connus depuis 2013. Quelques nouveaux représentants de cette famille ont été examinés par les analystes de Doctor Web au mois de mars. Les Trojans ne se manifestant pas de manière visible dans le système infecté, leur activité malveillante est difficile à détecter. Pour plus d'information, consultez notre aperçu.
Logiciels malveillants et indésirables ciblant les appareils mobiles.
Au mois de mars, les analystes de Doctor Web ont publié les résultats de l'examen du Trojan Android.Triada.231 qui avait été inséré par les pirates dans le firmware de plus de 40 modèles de Smartphones Android. Android.Triada.231 contamine les processus de toutes les applications et peut effectuer des actions malveillantes. Au cours du mois, beaucoup de nouveau Trojans ont été détecté sur Google Play, dont les représentants de la famille Android.Click, capables de télécharger et d'afficher n'importe quelle page web, et Android.BankBot.344.origin, un malware bancaire. Dans ce registre, les analystes de Doctor Web ont détecté de nouveaux Trojans bancaires créés en utilisant le code source de l'application malveillante Android.BankBot.149.origin. L'un d'eux a reçu le nom d’Android.BankBot.325.origin. Il affiche des fenêtres de phishing, permet aux criminels d'obtenir un accès distant aux dispositifs contaminés et est utilisé à des fins d'espionnage.
Les événements les plus importants du mois de mars relatifs à la sécurité des mobiles sont les suivants :