Le 30 janvier 2025
Chaque année, nos analystes étudient des millions de virus et malwares, nos ingénieurs accompagnent les entreprises subissant une attaque et recueillent des données venant du monde entier sur les techniques déployées par les cybercriminels.
Dans notre rapport annuel, nous rappelons les temps forts de la cybersécurité, les événements les plus
marquants et/ou les plus intéressants techniquement, afin de dresser un « portrait cyber » de l’année écoulée.
Quelles sont les méthodes les plus employées, existe-t-il de nouvelles techniques d’infection ou de fraude
ayant marqué l’année, certaines régions du monde ont-elles été plus touchées que d’autres ?
Descriptions et explications.
En 2024, les programmes malveillants créés à l'aide du langage de script AutoIt et distribués au sein d'autres
logiciels malveillants pour les rendre difficiles à détecter figuraient parmi les menaces les plus courantes,
comme en 2023. Une forte activité de chevaux de Troie publicitaires et divers scripts malveillants a été enregistrée.
En ce qui concerne le trafic e-mail, ce sont des scripts malveillants qui ont été les plus souvent détectés.
De plus, par le biais d'e-mails indésirables, toutes sortes de chevaux de Troie, de documents d'hameçonnage
et d'exploits qui permettaient d'exécuter du code arbitraire ont été distribués.
Parmi les menaces mobiles, les chevaux de Troie, les logiciels espions et les logiciels publicitaires indésirables
étaient les plus courants. Au cours de l'année, il y a eu une augmentation de l'activité des chevaux de Troie bancaires mobiles.
Dans le même temps, notre laboratoire antivirus a trouvé des centaines de nouveaux programmes malveillants et indésirables dans le catalogue Google Play.
Les analystes d'Internet ont noté une forte activité des arnaqueurs réseau, dont l'arsenal a été reconstitué avec de nouveaux schémas de tromperie.
Par rapport à 2023, le nombre de demandes d'utilisateurs pour le décryptage de fichiers affectés par des chevaux de Troie encodeurs a diminué.
Dans le même temps, nos spécialistes ont observé de nombreux événements liés à la sécurité informatique. Au cours de l'année, Doctor Web a
enquêté sur plusieurs attaques ciblées. Une contamination de décodeurs TV fonctionnant sous le système d'exploitation Android a également été identifiée.
Enfin, Doctor Web a repoussé une attaque sur sa propre infrastructure.
Les tendances principales de l'année
- Activité élevée des chevaux de Troie créés à l'aide du langage de script AutoIt
- Scripts malveillants parmi les menaces les plus courantes
- De nouvelles attaques ciblées ont été enregistrées
- Les attaquants sont devenus plus susceptibles d'exploiter la technologie eBPF pour dissimuler des activités malveillantes
- Le nombre de requêtes pour le déchiffrement de fichiers touchés par des ransomwares à chiffrement a diminué
- L'activité des fraudeurs en ligne est restée forte
- Les chevaux de Troie bancaires mobiles sont devenus plus courants
- De nombreuses nouvelles menaces ont été détectées sur Google Play
Les événements les plus intéressants de 2024
En janvier, les spécialistes de Doctor Web ont signalé la détection du
Trojan miner Trojan.BtcMine.3767 caché dans des programmes piratés qui ont été distribués via un
canal Telegram spécialement créé et un certain nombre de sites Internet. Le malware a infecté des dizaines de
milliers d'ordinateurs Windows. Pour s'installer dans le système attaqué, le programme malveillant créé une
tâche dans le planificateur pour sa propre exécution automatique et s'ajoute aux exclusions de l'antivirus
Windows Defender. Puis, il implémente dans le processus
explorer.exe (Explorateur Windows) un composant directement responsable de l'extraction de crypto-monnaie.
Trojan.BtcMine.3767 a également permis d'effectuer un certain nombre d'autres actions malveillantes, par exemple, d'installer
un rootkit sans fichier, de bloquer l'accès aux sites et d'interdire les mises à jour du système d'exploitation.
En mars, notre société a publié une étude
sur une attaque ciblée contre une entreprise russe de construction de machines. L'enquête sur l'incident a révélé un vecteur d'infection en
plusieurs étapes et l'utilisation par les attaquants de plusieurs applications malveillantes à la fois. La porte dérobée JS.BackDoor.60,
via laquelle passait la principale interaction entre les attaquants et l'ordinateur infecté, était du plus grand intérêt. Ce cheval de Troie utilise
son propre framework écrit en langage JavaScript et se compose d’un corps principal et de modules auxiliaires. Il permet de voler des fichiers sur des
appareils infectés, de suivre les informations saisies sur le clavier, de créer des captures d'écran, de télécharger ses propres mises à jour et
d'étendre ses fonctionnalités en téléchargeant de nouveaux modules.
Au mois de mai, les analystes de Doctor Web ont identifié
le Trojan cliqueur Android.Click.414.origin dans l'application Love Spouse conçu pour la gestion de jouets pour adultes, ainsi que dans l'application
QRunning pour le suivi de l'activité physique, tous deux distribués via le catalogue Google Play.
Android.Click.414.origin a été déguisé en composant de collecte d'informations de débogage et a été implémenté dans plusieurs nouvelles versions
de ces programmes. Plus tard, les développeurs de Love Spouse ont publié une version mise à jour qui ne contenait plus de cheval de Troie. Les auteurs du
second programme n'ont pas réagi. Android.Click.414.origin
avait une architecture modulaire et, à l'aide de ses composants, il était en mesure d'effectuer diverses actions malveillantes : collecter des données sur un
appareil infecté, charger secrètement des pages Web, afficher des publicités, effectuer des clics et interagir avec le contenu des pages téléchargées.
En juillet, nous avons rapporté l'apparition de la version Linux
du célèbre cheval de Troie d'accès à distance TgRat, qui est utilisé pour des attaques ciblées sur les ordinateurs. Une nouvelle version de l'application malveillante
appelée Linux.BackDoor.TgRat.2 a été identifiée lors d'une enquête sur un incident de sécurité pour lequel nous a contacté un hébergeur. Dr.Web a détecté un
fichier suspect sur le serveur d'un client, ce fichier s'est avéré être un compte-gouttes d'une porte dérobée, qui a installé le cheval de Troie. Les attaquants géraient
Linux.BackDoor.TgRat.2 via un groupe Telegram fermé à l'aide d'un bot Telegram connecté à celui-ci. À l'aide du messager, ils pouvaient télécharger des fichiers
à partir d'un système compromis, prendre des captures d'écran, exécuter des commandes à distance ou télécharger des fichiers sur un ordinateur à l'aide de pièces jointes de chat.
Début septembre, le site Web de Doctor Web a publié un article
sur une attaque ciblée ratée contre une grande entreprise russe du secteur du transport ferroviaire de marchandises.
Quelques mois plus tôt, les employés du service de sécurité de cette entreprise ont enregistré un e-mail suspect avec
un fichier qui y était joint. Son étude par nos analystes a montré qu'il s'agissait d'un raccourci Windows déguisé en
document PDF avec spécification de paramètres de lancement de l'interpréteur de commande PowerShell. L'ouverture de ce
raccourci était censée conduire à une infection en plusieurs étapes du système cible par plusieurs programmes malveillants
conçus à des fins de cyber espionnage. L'un d'eux était Trojan.Siggen27.11306 qui a exploité la vulnérabilité
CVE-2024-6473
du navigateur Yandex pour intercepter l'ordre de recherche DLL (DLL Search Order Hijacking). Le cheval de Troie a placé une
bibliothèque dll malveillante dans le répertoire d'installation du navigateur avec le nom du composant système
Wldp.dll qui est responsable de la sécurité du lancement des applications. Étant donné que le fichier
malveillant se trouvait dans le dossier de l'application, au démarrage de l'appli, la bibliothèque de chevaux de Troie obtenait,
en raison de la vulnérabilité du navigateur, une priorité plus élevée, et était ainsi chargée en premier. La bibliothèque recevait
également toutes les autorisations du navigateur lui-même. Cette vulnérabilité a été corrigée par la suite.
Un peu plus tard, nos experts ont rapporté une autre attaque
sur les décodeurs TV basés sur le système d'exploitation Android. La campagne impliquait le programme malveillant Android.Vo1d,
qui a infecté près de 1 300 000 appareils dans 197 pays. Il s'agit d'une porte dérobée modulaire qui place ses composants dans la zone système et qui, sur
commande des pirates, est capable de télécharger et d'installer secrètement des logiciels tiers.
De plus, une attaque ciblée
sur les ressources de notre société a été enregistrée en septembre. Les spécialistes de Doctor Web ont rapidement mis fin à cette tentative d'endommager l'infrastructure en
repoussant avec succès l'attaque.
Aucun de nos utilisateurs n'a été touché.
En octobre 2024, les analystes de Doctor Web ont signalé
la découverte d'un certain nombre de nouveaux programmes malveillants ciblant le système d'exploitation Linux. Ils ont été identifiés grâce à l'examen
d’attaques sur des appareils ayant le système de gestion de base de données Redis installé. Ce système attire de plus en plus l’attention des cybercriminels
qui y exploitent diverses vulnérabilités. Parmi les menaces détectées figuraient des portes dérobées, des compte-gouttes et une nouvelle modification d'un
rootkit qui installait le miner de cheval de Troie Skidmap sur des appareils compromis. Ce miner est actif depuis 2019 et il cible principalement des
ressources d'entreprise — de grands serveurs et des environnements cloud.
Le même mois, notre laboratoire a révélé une campagne à grande échelle
visant à distribuer des programmes malveillants pour l'extraction et le vol de crypto-monnaie. Les attaquants ont affecté plus
de 28 000 utilisateurs, dont la plupart en Russie. Les chevaux de Troie ont été dissimulés dans des logiciels piratés, pour la
distribution desquels des sites frauduleux créés sur la plateforme GitHub ont été utilisés. De plus, les pirates ont placé des
liens de téléchargement des applications malveillantes sous des vidéos publiées sur la plateforme YouTube.
En novembre, nos experts ont identifié
un certain nombre de nouvelles variantes du Trojan Android.FakeApp.1669, dont la tâche est de charger des sites Web. Contrairement
à la plupart des autres programmes malveillants similaires,
Android.FakeApp.1669 reçoit les adresses des sites cibles à partir de l'enregistrement TXT des serveurs DNS malveillants, pour ce faire,
il utilise du code modifié de la bibliothèque dnsjava open source. Dans le même temps, le Trojan ne se manifeste que lors de la connexion à Internet
via certains fournisseurs. Dans d'autres cas, il fonctionne comme un logiciel inoffensif.
Fin 2024, dans le cadre d'une enquête sur demande de l'un de nos clients, les experts de Doctor Web
ont identifié
une campagne de piratage active visant principalement les utilisateurs d'Asie du Sud-Est. Au cours des attaques,
les cybercriminels utilisaient un certain nombre d'applications malveillantes, ainsi que des méthodes et des
techniques qui gagnent en popularité parmi les cybercriminels. L'un de ces méthodes consiste à utiliser la
technologie eBPF (Extended Berkeley Packet Filter), créée pour le contrôle avancé du sous-système réseau du
système d'exploitation Linux et du fonctionnement des processus. Cette technologie a été utilisée par les attaquants
pour masquer l'activité réseau et les processus, collecter des informations sensibles et contourner les pare-feu et
les systèmes de détection d'intrusion. Une autre méthode consistait à stocker les paramètres des chevaux de Troie
non pas sur le serveur de contrôle, mais sur des plateformes publiques telles que GitHub et des blogs. La troisième
caractéristique des attaques était l'utilisation de framework post-exploitation en parallèle avec des applications
malveillantes. Bien que ces outils ne soient pas malveillants et qu'ils soient utilisés dans le cadre d'audits de
sécurité des systèmes numériques, leurs fonctionnalités et leurs bases de données de vulnérabilités peuvent élargir
les possibilités des attaquants.
Situation virale
Selon les statistiques de détection de l'antivirus Dr.Web, en 2024, le nombre total de menaces détectées a
augmenté de 26,2 % par rapport à 2023. Le nombre de menaces uniques a également augmenté de 51,2 %. Parmi les
programmes malveillants les plus courants figuraient des chevaux de Troie créés dans le langage de script AutoIt,
qui sont distribués dans le cadre d'autres logiciels malveillants pour les rendre difficiles à détecter. De plus,
les utilisateurs ont rencontré divers scripts malveillants et chevaux de Troie publicitaires.
- JS.Siggen5.44590
- Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
- Trojan.AutoIt.1224
- Trojan.AutoIt.1131
- Trojan.AutoIt.1124
- Trojan.AutoIt.1222
- Version packagée d'un cheval de Troie Trojan.AutoIt.289 écrit dans le langage de script AutoIt. Cette version est distribuée dans le cadre d'un groupe de plusieurs applications malveillantes - un miner, une porte dérobée et un module d'auto-propagation. Trojan.AutoIt.289 effectue différentes actions malveillantes qui empêchent la détection de la charge " utile " principale.
- Trojan.StartPage1.62722
- Programme malveillant qui remplace la page d'accueil dans les paramètres du navigateur.
- Trojan.BPlug.3814
- Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.
- VBS.KeySender.6
- Script malveillant qui, dans une boucle infinie, recherche des fenêtres avec les textes suivants : mode extensions, разработчика et розробника et leur envoie un événement de clic sur le bouton Échap, les forçant à fermer.
- BAT.AVKill.37
- Composant du cheval de Troie Trojan.AutoIt.289. Ce script lance d'autres composants de logiciels malveillants, les installe dans l'auto-démarrage via le Planificateur de tâches Windows et les ajoute aux exclusions de l'antivirus Windows Defender.
- Trojan.Unsecure.7
- Cheval de Troie qui bloque le lancement d'antivirus et d'autres logiciels via les stratégies AppLocker dans Windows.
Parmi les menaces propagées par e-mail, divers scripts malveillants et toutes sortes de chevaux de Troie,
tels que des portes dérobées, des téléchargeurs et des compte-gouttes de logiciels malveillants, des chevaux
de Troie avec des fonctionnalités de logiciels espions, des applications malveillantes pour l'extraction de
crypto-monnaie. Les attaquants ont également envoyé des documents de phishing représentant souvent de faux
formulaires d'autorisation sur des sites populaires. De plus, les utilisateurs ont rencontré des vers et des
applications malveillantes qui exploitaient les vulnérabilités dans les documents Microsoft Office.
- JS.Siggen5.44590
- Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
- JS.Inject
- Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant au code HTML des pages web.
- LNK.Starter.56
- Détection d'un raccourci spécialement formé qui est distribué via des lecteurs amovibles et qui a une icône de disque pour tromper les utilisateurs. Lors de son ouverture, des scripts VBS malveillants sont lancés depuis un répertoire caché situé sur le même support que le raccourci lui-même.
- Win32.HLLW.Rendoc.3
- Ver réseau qui est propagé entre autres via des supports amovibles.
- Exploit.CVE-2018-0798.4
- Exploit conçu pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permet l'exécution de code arbitraire.
- Trojan.AutoIt.1122
- Version packagée d'un cheval de Troie Trojan.AutoIt.289 écrit dans le langage de script AutoIt. Cette version est distribuée dans le cadre d'un groupe de plusieurs applications malveillantes - un miner, une porte dérobée et un module d'auto-propagation. Trojan.AutoIt.289 effectue différentes actions malveillantes qui empêchent la détection de la charge " utile " principale.
- Trojan.SpyBot.699
- Trojan bancaire à plusieurs modules. Il permet aux pirates de télécharger et de lancer sur une machine contaminée différentes applications et d'exécuter n'importe quel code.
- VBS.BtcMine.13
- VBS.BtcMine.12
- Script malveillant écrit en VBS pour extraire des crypto-monnaies de manière discrète.
Rançongiciels
Par rapport à 2023, le support technique de Doctor Web a reçu 33,05% de demandes en moins d'utilisateurs affectés
par des ransomwares à chiffrement en 2024. La dynamique d'enregistrement des demandes de décryptage de fichiers
est présentée dans le schéma ci-dessous :
Les ransomwares à chiffrement les plus répandus en 2024 :
- Trojan.Encoder.35534 (13,13% des demandes)
- Rançongiciel connu sous le nom de Mimic. Lors de la recherche de fichiers cibles pour le cryptage, le cheval de Troie utilise la bibliothèque everything.dll du programme Everything, qui est légitime et conçue pour rechercher instantanément des fichiers sur les ordinateurs Windows.
- Trojan.Encoder.3953 (12,10% des demandes)
- Rançongiciel qui a plusieurs versions et modifications différentes. Pour le chiffrement des fichiers, il utilise l'algorithme AES en mode CBC.
- Trojan.Encoder.26996 (7,44% des demandes)
- Ransomware à chiffrement connu sous le nom de STOP Ransomware. Il tente d'obtenir la clé privée du serveur distant, et en cas d'échec, il utilise une clé embarquée. Pour chiffrer les fichiers, le cheval de Troie utilise l'algorithme de flux Salsa20.
- Trojan.Encoder.35067 (2,21% des demandes)
- Un ransomware à chiffrement connu sous le nom de Macop (l'une des variantes de ce cheval de Troie est Trojan.Encoder.30572). Il est de petite taille, environ 30-40 Ko. Cela est dû en partie au fait que le cheval de Troie ne comporte pas de bibliothèques cryptographiques tierces et n'utilise que des fonctions CryptoAPI pour le cryptage et la génération de clés. Il utilise l'algorithme AES-256 pour crypter les fichiers, et les clés elles-mêmes sont cryptées avec RSA-1024.
- Trojan.Encoder.37369 (2,10% des demandes)
- L'une des nombreuses modifications du rançongiciel #Cylance ransomware. Pour chiffrer les fichiers, il utilise l'algorithme ChaCha12 avec un schéma d'échange de clés basé sur la courbe elliptique Curve25519 (X25519).
Fraudes sur le Web
Au cours de 2024, les analystes de Doctor Web ont observé une forte activité des fraudeurs en ligne,
utilisant à la fois des scénarios traditionnels et de nouvelles méthodes pour tromper les utilisateurs.
Dans le segment russe d'Internet, les stratagèmes utilisant des sites frauduleux de plusieurs formats
sont à nouveau les plus répandus. Certains d'entre eux étaient de fausses ressources de magasins en
ligne et de réseaux sociaux avec des promotions et des promesses de cadeaux. Les victimes potentielles
sur de tels sites « gagnent » toujours, mais pour recevoir un prix finalement inexistant, elles sont
tenues de payer une « commission ».
Un site Web frauduleux prétendument lié à une boutique en ligne russe invite ses visiteurs à participer à un tirage au sort inexistant
Un faux site d'un réseau social offre de « tenter votre chance » et de gagner de gros prix en argent et d'autres cadeaux
L'une des variantes actuelles de ce type de stratagème reste les faux sites web de
détaillants et de magasins d'appareils électroménagers et électroniques proposant
d'acheter des marchandises à prix réduit. Habituellement, il est proposé d'utiliser
une banque en ligne ou une carte bancaire pour payer les « commandes », mais l'année
dernière, les escrocs ont commencé à recourir au système de paiement rapide.
Un faux site Web d'un magasin d'électroménager et d'électronique promet aux victimes potentielles de grandes réductions
Le site frauduleux propose d'utiliser le système de paiement rapide pour régler la « commande »
Le système avec des billets de loterie « gratuits » a également gardé sa popularité. Les prétendus tirages au sort en ligne pour
les victimes potentielles se terminent toujours par une « victoire ». Pour recevoir le prix, les utilisateurs doivent également
payer une « commission ».
L'utilisateur aurait gagné 314 906 roubles à la loterie et devra payer une « commission » pour « recevoir » les gains
Les faux sites financiers sont également restés dans l'arsenal des escrocs.
Les sujets servant de fondement aux fraudes restent à peu près les mêmes, ce sont généralement
la promesse de recevoir des remboursements de l'État ou d'entreprises privées, les investissements
dans le secteur pétrolier et gazier, la formation dans le domaine de la finance, le commerce de
crypto-monnaie et des activités menées grâce à des systèmes automatisés « uniques » ou de stratégies
« éprouvées » qui garantiraient prétendument des profits. Les attaquants ont également exploité les
noms de personnes médiatiques pour attirer l'attention des utilisateurs. Des exemples de tels sites
frauduleux sont présentés ci-dessous.
Un site frauduleux propose au visiteur « de gagner jusqu'à 10 000 € par mois sur la plateforme WhatsApp unique »
L'artiste russe Shaman « a partagé une plateforme secrète de succès », qui pourrait rapporter 14 000 $ par mois
Un faux site Web d'une société pétrolière et gazière offre l'accès à un service d'investissement et promet des revenus de 150 000 roubles
Des sites Web frauduleux imitant les services d'investissement réels des banques
Dans le même temps, nos spécialistes ont également identifié de nouveaux schémas. Par exemple, des fraudeurs,
prétendument au nom de grandes entreprises, proposent aux utilisateurs de participer à des enquêtes sur la qualité
des services fournis contre rémunération. Parmi ces faux, des sites Web fictifs d'établissements de crédit, où les
utilisateurs se voyaient invités à fournir des données personnelles sensibles, qui pouvaient inclure un nom complet,
un numéro de téléphone portable lié à un compte bancaire et un numéro de carte bancaire.
Un faux site web de banque propose une récompense de 6 000 rands pour participer à une enquête visant à « améliorer la qualité du service »
Ces schémas de fraude sont assez répandus partout dans le monde, notamment en Europe. Par exemple, le site ci-dessous promettait aux
utilisateurs européens des dividendes pour investir dans des secteurs prometteurs de l'économie :
Et ce site annonçait une « nouvelle plateforme d'investissement de Google », à l'aide de laquelle il serait possible de gagner à partir de 1 000 € :
Un autre site frauduleux offre aux utilisateurs slovaques « de gagner plus de 192 460 $ par mois » avec l'aide d'un service d'investissement :
Les résidents de l'Azerbaïdjan également ciblés se sont vus offrir d’améliorer considérablement leur situation financière,
en gagnant 1 000 manats par mois. Il s’agissait de simplement répondre une petite enquête et d'avoir accès à un service
prétendument lié à la compagnie pétrolière et gazière azerbaïdjanaise :
À la fin de l'année, les fraudeurs ont traditionnellement commencé à adapter ces faux sites au sujet des fêtes de fin d'année.
Par exemple, la fausse bourse de crypto-monnaie en ligne suivante promettait aux utilisateurs russes des paiements pour le Nouvel An :
Un autre site leur offrait des chèques vacances pour le compte d'une société d'investissement :
Un site frauduleux promet aux utilisateurs kazakhs de gros paiements en l'honneur du Jour de l'Indépendance dans le cadre de « l'offre du Nouvel An ».
Tout au long de l'année, nos analystes Internet ont identifié d'autres sites d'hameçonnage. Parmi eux se trouvaient de
faux sites Web de services de formation en ligne. L'un d'eux, par exemple, imitait l'apparence d'une véritable ressource
Internet et proposait des cours de programmation. Pour « obtenir des conseils », les utilisateurs devaient fournir leurs
données personnelles.
Un faux site web déguisé en véritable ressource en ligne d'un service éducatif
De plus, les tentatives de vol de comptes Telegram à l'aide de sites d'hameçonnage déguisés en divers sites de votes en
ligne ont été encore cette année, très courantes. On demande aux victimes potentielles un numéro de téléphone portable —
soi-disant utilisé pour confirmer leur voix et obtenir un code à usage unique. Mais en saisissant ce code sur un faux site,
les utilisateurs permettent aux fraudeurs d'accéder à leurs comptes.
Site d'hameçonnage pour « voter » dans un concours de dessin en ligne pour enfants
D'autres sites similaires proposaient un abonnement « gratuit » à Telegram Premium. Les utilisateurs sont invités à se
connecter à leur compte, mais les données confidentielles saisies sur ces sites sont transférées à des attaquants, qui
volent ensuite les comptes. Il est à noter que les liens vers ces ressources Internet sont distribués via le messager
lui-même. Dans le même temps, l'adresse réelle du site cible dans les messages ne correspond souvent pas à ce que les
utilisateurs voient.
Un message d'hameçonnage dans Telegram, dans lequel vous êtes invité à cliquer sur le lien indiqué pour « activer » un abonnement à Telegram Premium. Le texte du lien ne correspond pas réellement à l'adresse de destination
Site d'hameçonnage chargé lorsque vous cliquez sur le lien à partir d'un message frauduleux
Après avoir cliqué sur le bouton de la page précédente, le site affiche un formulaire d'autorisation qui ressemble à un véritable formulaire d'autorisation Telegram
Les cybercriminels utilisent également le spam par e-mail pour distribuer des liens vers des sites web frauduleux.
Tout au long de l'année, nos analystes ont enregistré de nombreuses campagnes de spam différentes. L’exemple ci-dessous
illustre une campagne déployée au Japon.
Message de phishing envoyé au nom d’une banque et invitant les utilisateurs à prendre connaissance des détails d'un paiement
Dans un autre scénario, les attaquants envoient de fausses notifications concernant les dépenses mensuelles des utilisateurs par carte bancaire.
Les liens vers les sites d'hameçonnage étaient souvent masqués et semblaient inoffensifs dans le texte des e-mails.
Le message de phishing affiche des liens vers des adresses réelles de sites web de banques, mais lorsque les utilisateurs cliquent, ils sont redirigés vers un site frauduleux
L'une des campagnes de spam ciblait les utilisateurs européens. Par exemple, les utilisateurs belges ont été confrontés à des e-mails d'hameçonnage déclarant « bloquer »
leurs comptes bancaires. Pour les « débloquer », on leur proposait de suivre un lien qui menait au site des fraudeurs.
Un e-mail indésirable effraie une victime potentielle en mentionnant un compte bancaire « bloqué »
D'autres envois massifs de messages indésirables ont également été enregistrés ciblant notamment un public anglophone.
Dans l'une des campagnes de spam, les victimes potentielles recevaient des messages dans lesquels on leur demandait de
confirmer la réception d'un transfert d'argent important.
Ce message spam informe que l'utilisateur aurait besoin de confirmer la réception de 1218,16 $ US
Les utilisateurs russes ont le plus souvent rencontré des courriels indésirables utilisant des thèmes maintenant bien connus comme
le gain de prix et les réductions dans les magasins en ligne, les billets de loterie gratuits ou l'accès à des services d'investissement.
Exemples de ces messages dans les captures d'écran ci-dessous.
Un message envoyé au nom d'une boutique en ligne proposant de participer à un « tirage au sort »
Un message au nom d'un établissement de crédit proposant de « devenir un investisseur prospère »
Un e-mail prétendument envoyé au nom d'un magasin d'électronique proposant d'activer un code promotionnel et d'obtenir une réduction sur les produits
Сiblant les appareils mobiles
Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les malwares Android le plus courant en 2024 étaient à nouveau les Trojans
Android.HiddenAds, qui masquent leur présence sur les appareils infectés et diffusent des publicités. Ils ont représenté plus d'un tiers des détections
de logiciels malveillants. Parmi les représentants les plus actifs de cette famille on a vu Android.HiddenAds.3956,
Android.HiddenAds.3851, Android.HiddenAds.655.origin
et Android.HiddenAds.3994. Dans le même temps, les utilisateurs ont rencontré des variantes des Trojans Android.HiddenAds.Aegis,
qui peuvent démarrer automatiquement après l'installation. Les autres applications malveillantes courantes étaient les Trojans Android.FakeApp
et les chevaux de Troie espions utilisés dans divers stratagèmes frauduleux Android.Spy.
Les programmes indésirables les plus actifs étaient les représentants des familles Program.FakeMoney,
Program.CloudInject et Program.FakeAntiVirus.
Les premiers proposent d'effectuer diverses tâches pour des récompenses virtuelles, qui à l'avenir pourraient être retirées
sous forme d'argent réel. Les seconds sont des programmes modifiés via un service cloud spécialisé et auxquels sont ajoutés
un code incontrôlé et un certain nombre d'autorisations dangereuses. D'autres encore imitent le fonctionnement des antivirus,
détectent des menaces inexistantes et proposent d'acheter une version complète pour résoudre les « problèmes ».
Les utilitaires Tool.SilentInstaller, qui permettent d'exécuter des applications Android sans les installer,
sont à nouveau devenus les programmes potentiellement dangereux les plus fréquemment détectés, représentant plus d'un
tiers des cas de détection de ce type de programmes. Les applications modifiées à l'aide de l'utilitaire NP Manager (détecté comme
Tool.NPMod) étaient également fréquentes. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la
vérification de la signature numérique après modification. Des applications protégées par
Tool.Packer.1.origin ont été fréquemment détectées, ainsi que le framework Tool.Androlua.1.origin,
qui permet de modifier les programmes Android installés et d'exécuter des scripts Lua potentiellement malveillants.
Le logiciel publicitaire le plus courant appartient à la nouvelle famille Adware.ModAd, représentant près de la moitié des détections.
Il s'agit de versions spécialement modifiées de WhatsApp Messenger, dont les fonctions incluent du code pour télécharger des liens publicitaires.
En deuxième position, on a vu des représentants de la famille Adware.Adpush, et en troisième — une autre nouvelle famille
Adware.Basement.
Par rapport à 2023, il y a eu une légère augmentation de l'activité des chevaux de Troie bancaires ciblant Android en 2024. Dans le même temps,
nos experts ont noté la popularité croissante d'un certain nombre de techniques utilisées par les cybercriminels pour protéger les logiciels
malveillants (en particulier les bancaires) de l'analyse et de la détection. Parmi ces techniques figuraient diverses manipulations du format
d’archives zip (qui sont à la base des fichiers APK) et le fichier de configuration des programmes Android AndroidManifest.xml.
Il convient de noter une large propagation de l'application malveillante Android.SpyMax. Les attaquants ont activement utilisé ce logiciel espion comme cheval
de Troie bancaire, en particulier contre les utilisateurs russes (46,23 % des cas de détection), ainsi que contre les propriétaires d'appareils Android au Brésil
(35,46 % des cas) et en Turquie (5,80 % des cas).
Tout au long de l'année, les analystes de Doctor Web ont identifié plus de 200 menaces différentes dans le catalogue Google Play. Parmi elles, des chevaux
de Troie qui abonnent à des services payants, des Trojans espions, des logiciels frauduleux et publicitaires. Au total, ils ont été téléchargés au moins
26 700 000 fois. De plus, nos spécialistes ont enregistré une autre attaque sur les décodeurs TV Android : la porte dérobée modulaire Android.Vo1d
a contaminé près de 1 300 000 appareils d'utilisateurs de 197 pays. Ce Trojan place ses composants dans la zone système et, sur commande des pirates, est
capable de télécharger et d'installer secrètement des logiciels tiers.
Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles en 2024, consultez notre rapport.
Perspectives et tendances
Les événements de l'année écoulée ont une fois de plus démontré la diversité du paysage des cybermenaces modernes. Les attaquants s'intéressent
à la fois aux entreprises dans les secteurs privé et public et aux utilisateurs ordinaires. Les fonctionnalités de nombreux programmes malveillants
impliqués dans les attaques ciblées que nous avons analysées indiquent que les cybercriminels sont constamment à la recherche de nouvelles opportunités
pour améliorer leurs méthodes de conduite de campagnes malveillantes et développer leurs outils. Au fil du temps, de nouvelles techniques sont
inévitablement transférées à des menaces plus répandues. À cet égard, en 2025, d'autres chevaux de Troie pourraient apparaître qui exploiteront la
technologie eBPF pour masquer leurs activités malveillantes. De plus, nous devrions nous attendre à de nouvelles attaques ciblées, y compris avec l'utilisation d'exploits.
L'un des principaux objectifs des cybercriminels est l'enrichissement illégal, de sorte qu'au cours de la nouvelle année, l'activité des chevaux de Troie bancaires
et publicitaires pourrait augmenter. De plus, les utilisateurs pourront être menacés par un plus grand nombre de logiciels malveillants dotés de fonctions d'espionnage.
Dans le même temps, les utilisateurs non seulement des ordinateurs Windows, mais aussi d'autres systèmes d'exploitation tels que Linux et macOS seront dans le collimateur.
Les menaces mobiles continueront de se propager. Les propriétaires d'appareils Android doivent d'abord se méfier de l'émergence de nouveaux logiciels espions, de chevaux
de Troie bancaires, ainsi que d'applications publicitaires malveillantes et indésirables. De nouvelles tentatives d'infection des téléviseurs, décodeurs et autres équipements
basés sur Android ne sont pas exclues. Google Play reste encore et toujours malgré lui un diffuseur de malwares.