Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Doctor Web : rapport viral de l'année 2024

Le 30 janvier 2025

Chaque année, nos analystes étudient des millions de virus et malwares, nos ingénieurs accompagnent les entreprises subissant une attaque et recueillent des données venant du monde entier sur les techniques déployées par les cybercriminels.

Dans notre rapport annuel, nous rappelons les temps forts de la cybersécurité, les événements les plus marquants et/ou les plus intéressants techniquement, afin de dresser un « portrait cyber » de l’année écoulée. Quelles sont les méthodes les plus employées, existe-t-il de nouvelles techniques d’infection ou de fraude ayant marqué l’année, certaines régions du monde ont-elles été plus touchées que d’autres ? Descriptions et explications.

En 2024, les programmes malveillants créés à l'aide du langage de script AutoIt et distribués au sein d'autres logiciels malveillants pour les rendre difficiles à détecter figuraient parmi les menaces les plus courantes, comme en 2023. Une forte activité de chevaux de Troie publicitaires et divers scripts malveillants a été enregistrée. En ce qui concerne le trafic e-mail, ce sont des scripts malveillants qui ont été les plus souvent détectés. De plus, par le biais d'e-mails indésirables, toutes sortes de chevaux de Troie, de documents d'hameçonnage et d'exploits qui permettaient d'exécuter du code arbitraire ont été distribués.

Parmi les menaces mobiles, les chevaux de Troie, les logiciels espions et les logiciels publicitaires indésirables étaient les plus courants. Au cours de l'année, il y a eu une augmentation de l'activité des chevaux de Troie bancaires mobiles. Dans le même temps, notre laboratoire antivirus a trouvé des centaines de nouveaux programmes malveillants et indésirables dans le catalogue Google Play.

Les analystes d'Internet ont noté une forte activité des arnaqueurs réseau, dont l'arsenal a été reconstitué avec de nouveaux schémas de tromperie.

Par rapport à 2023, le nombre de demandes d'utilisateurs pour le décryptage de fichiers affectés par des chevaux de Troie encodeurs a diminué. Dans le même temps, nos spécialistes ont observé de nombreux événements liés à la sécurité informatique. Au cours de l'année, Doctor Web a enquêté sur plusieurs attaques ciblées. Une contamination de décodeurs TV fonctionnant sous le système d'exploitation Android a également été identifiée. Enfin, Doctor Web a repoussé une attaque sur sa propre infrastructure.

Les événements les plus intéressants de 2024

En janvier, les spécialistes de Doctor Web ont signalé la détection du Trojan miner Trojan.BtcMine.3767 caché dans des programmes piratés qui ont été distribués via un canal Telegram spécialement créé et un certain nombre de sites Internet. Le malware a infecté des dizaines de milliers d'ordinateurs Windows. Pour s'installer dans le système attaqué, le programme malveillant créé une tâche dans le planificateur pour sa propre exécution automatique et s'ajoute aux exclusions de l'antivirus Windows Defender. Puis, il implémente dans le processus explorer.exe (Explorateur Windows) un composant directement responsable de l'extraction de crypto-monnaie. Trojan.BtcMine.3767 a également permis d'effectuer un certain nombre d'autres actions malveillantes, par exemple, d'installer un rootkit sans fichier, de bloquer l'accès aux sites et d'interdire les mises à jour du système d'exploitation.

En mars, notre société a publié une étude sur une attaque ciblée contre une entreprise russe de construction de machines. L'enquête sur l'incident a révélé un vecteur d'infection en plusieurs étapes et l'utilisation par les attaquants de plusieurs applications malveillantes à la fois. La porte dérobée JS.BackDoor.60, via laquelle passait la principale interaction entre les attaquants et l'ordinateur infecté, était du plus grand intérêt. Ce cheval de Troie utilise son propre framework écrit en langage JavaScript et se compose d’un corps principal et de modules auxiliaires. Il permet de voler des fichiers sur des appareils infectés, de suivre les informations saisies sur le clavier, de créer des captures d'écran, de télécharger ses propres mises à jour et d'étendre ses fonctionnalités en téléchargeant de nouveaux modules.

Au mois de mai, les analystes de Doctor Web ont identifié le Trojan cliqueur Android.Click.414.origin dans l'application Love Spouse conçu pour la gestion de jouets pour adultes, ainsi que dans l'application QRunning pour le suivi de l'activité physique, tous deux distribués via le catalogue Google Play. Android.Click.414.origin a été déguisé en composant de collecte d'informations de débogage et a été implémenté dans plusieurs nouvelles versions de ces programmes. Plus tard, les développeurs de Love Spouse ont publié une version mise à jour qui ne contenait plus de cheval de Troie. Les auteurs du second programme n'ont pas réagi. Android.Click.414.origin avait une architecture modulaire et, à l'aide de ses composants, il était en mesure d'effectuer diverses actions malveillantes : collecter des données sur un appareil infecté, charger secrètement des pages Web, afficher des publicités, effectuer des clics et interagir avec le contenu des pages téléchargées.

En juillet, nous avons rapporté l'apparition de la version Linux du célèbre cheval de Troie d'accès à distance TgRat, qui est utilisé pour des attaques ciblées sur les ordinateurs. Une nouvelle version de l'application malveillante appelée Linux.BackDoor.TgRat.2 a été identifiée lors d'une enquête sur un incident de sécurité pour lequel nous a contacté un hébergeur. Dr.Web a détecté un fichier suspect sur le serveur d'un client, ce fichier s'est avéré être un compte-gouttes d'une porte dérobée, qui a installé le cheval de Troie. Les attaquants géraient Linux.BackDoor.TgRat.2 via un groupe Telegram fermé à l'aide d'un bot Telegram connecté à celui-ci. À l'aide du messager, ils pouvaient télécharger des fichiers à partir d'un système compromis, prendre des captures d'écran, exécuter des commandes à distance ou télécharger des fichiers sur un ordinateur à l'aide de pièces jointes de chat.

Début septembre, le site Web de Doctor Web a publié un article sur une attaque ciblée ratée contre une grande entreprise russe du secteur du transport ferroviaire de marchandises. Quelques mois plus tôt, les employés du service de sécurité de cette entreprise ont enregistré un e-mail suspect avec un fichier qui y était joint. Son étude par nos analystes a montré qu'il s'agissait d'un raccourci Windows déguisé en document PDF avec spécification de paramètres de lancement de l'interpréteur de commande PowerShell. L'ouverture de ce raccourci était censée conduire à une infection en plusieurs étapes du système cible par plusieurs programmes malveillants conçus à des fins de cyber espionnage. L'un d'eux était Trojan.Siggen27.11306 qui a exploité la vulnérabilité CVE-2024-6473 du navigateur Yandex pour intercepter l'ordre de recherche DLL (DLL Search Order Hijacking). Le cheval de Troie a placé une bibliothèque dll malveillante dans le répertoire d'installation du navigateur avec le nom du composant système Wldp.dll qui est responsable de la sécurité du lancement des applications. Étant donné que le fichier malveillant se trouvait dans le dossier de l'application, au démarrage de l'appli, la bibliothèque de chevaux de Troie obtenait, en raison de la vulnérabilité du navigateur, une priorité plus élevée, et était ainsi chargée en premier. La bibliothèque recevait également toutes les autorisations du navigateur lui-même. Cette vulnérabilité a été corrigée par la suite.

Un peu plus tard, nos experts ont rapporté une autre attaque sur les décodeurs TV basés sur le système d'exploitation Android. La campagne impliquait le programme malveillant Android.Vo1d, qui a infecté près de 1 300 000 appareils dans 197 pays. Il s'agit d'une porte dérobée modulaire qui place ses composants dans la zone système et qui, sur commande des pirates, est capable de télécharger et d'installer secrètement des logiciels tiers.

De plus, une attaque ciblée sur les ressources de notre société a été enregistrée en septembre. Les spécialistes de Doctor Web ont rapidement mis fin à cette tentative d'endommager l'infrastructure en repoussant avec succès l'attaque. Aucun de nos utilisateurs n'a été touché.

En octobre 2024, les analystes de Doctor Web ont signalé la découverte d'un certain nombre de nouveaux programmes malveillants ciblant le système d'exploitation Linux. Ils ont été identifiés grâce à l'examen d’attaques sur des appareils ayant le système de gestion de base de données Redis installé. Ce système attire de plus en plus l’attention des cybercriminels qui y exploitent diverses vulnérabilités. Parmi les menaces détectées figuraient des portes dérobées, des compte-gouttes et une nouvelle modification d'un rootkit qui installait le miner de cheval de Troie Skidmap sur des appareils compromis. Ce miner est actif depuis 2019 et il cible principalement des ressources d'entreprise — de grands serveurs et des environnements cloud.

Le même mois, notre laboratoire a révélé une campagne à grande échelle visant à distribuer des programmes malveillants pour l'extraction et le vol de crypto-monnaie. Les attaquants ont affecté plus de 28 000 utilisateurs, dont la plupart en Russie. Les chevaux de Troie ont été dissimulés dans des logiciels piratés, pour la distribution desquels des sites frauduleux créés sur la plateforme GitHub ont été utilisés. De plus, les pirates ont placé des liens de téléchargement des applications malveillantes sous des vidéos publiées sur la plateforme YouTube.

En novembre, nos experts ont identifié un certain nombre de nouvelles variantes du Trojan Android.FakeApp.1669, dont la tâche est de charger des sites Web. Contrairement à la plupart des autres programmes malveillants similaires, Android.FakeApp.1669 reçoit les adresses des sites cibles à partir de l'enregistrement TXT des serveurs DNS malveillants, pour ce faire, il utilise du code modifié de la bibliothèque dnsjava open source. Dans le même temps, le Trojan ne se manifeste que lors de la connexion à Internet via certains fournisseurs. Dans d'autres cas, il fonctionne comme un logiciel inoffensif.

Fin 2024, dans le cadre d'une enquête sur demande de l'un de nos clients, les experts de Doctor Web ont identifié une campagne de piratage active visant principalement les utilisateurs d'Asie du Sud-Est. Au cours des attaques, les cybercriminels utilisaient un certain nombre d'applications malveillantes, ainsi que des méthodes et des techniques qui gagnent en popularité parmi les cybercriminels. L'un de ces méthodes consiste à utiliser la technologie eBPF (Extended Berkeley Packet Filter), créée pour le contrôle avancé du sous-système réseau du système d'exploitation Linux et du fonctionnement des processus. Cette technologie a été utilisée par les attaquants pour masquer l'activité réseau et les processus, collecter des informations sensibles et contourner les pare-feu et les systèmes de détection d'intrusion. Une autre méthode consistait à stocker les paramètres des chevaux de Troie non pas sur le serveur de contrôle, mais sur des plateformes publiques telles que GitHub et des blogs. La troisième caractéristique des attaques était l'utilisation de framework post-exploitation en parallèle avec des applications malveillantes. Bien que ces outils ne soient pas malveillants et qu'ils soient utilisés dans le cadre d'audits de sécurité des systèmes numériques, leurs fonctionnalités et leurs bases de données de vulnérabilités peuvent élargir les possibilités des attaquants.

Situation virale

Selon les statistiques de détection de l'antivirus Dr.Web, en 2024, le nombre total de menaces détectées a augmenté de 26,2 % par rapport à 2023. Le nombre de menaces uniques a également augmenté de 51,2 %. Parmi les programmes malveillants les plus courants figuraient des chevaux de Troie créés dans le langage de script AutoIt, qui sont distribués dans le cadre d'autres logiciels malveillants pour les rendre difficiles à détecter. De plus, les utilisateurs ont rencontré divers scripts malveillants et chevaux de Troie publicitaires.

JS.Siggen5.44590
Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
Trojan.AutoIt.1224
Trojan.AutoIt.1131
Trojan.AutoIt.1124
Trojan.AutoIt.1222
Version packagée d'un cheval de Troie Trojan.AutoIt.289 écrit dans le langage de script AutoIt. Cette version est distribuée dans le cadre d'un groupe de plusieurs applications malveillantes - un miner, une porte dérobée et un module d'auto-propagation. Trojan.AutoIt.289 effectue différentes actions malveillantes qui empêchent la détection de la charge " utile " principale.
Trojan.StartPage1.62722
Programme malveillant qui remplace la page d'accueil dans les paramètres du navigateur.
Trojan.BPlug.3814
Composant malveillant de l'extension de navigateur WinSafe. Ce composant est un script JavaScript qui affiche des publicités intrusives dans les navigateurs.
VBS.KeySender.6
Script malveillant qui, dans une boucle infinie, recherche des fenêtres avec les textes suivants : mode extensions, разработчика et розробника et leur envoie un événement de clic sur le bouton Échap, les forçant à fermer.
BAT.AVKill.37
Composant du cheval de Troie Trojan.AutoIt.289. Ce script lance d'autres composants de logiciels malveillants, les installe dans l'auto-démarrage via le Planificateur de tâches Windows et les ajoute aux exclusions de l'antivirus Windows Defender.
Trojan.Unsecure.7
Cheval de Troie qui bloque le lancement d'antivirus et d'autres logiciels via les stratégies AppLocker dans Windows.

Parmi les menaces propagées par e-mail, divers scripts malveillants et toutes sortes de chevaux de Troie, tels que des portes dérobées, des téléchargeurs et des compte-gouttes de logiciels malveillants, des chevaux de Troie avec des fonctionnalités de logiciels espions, des applications malveillantes pour l'extraction de crypto-monnaie. Les attaquants ont également envoyé des documents de phishing représentant souvent de faux formulaires d'autorisation sur des sites populaires. De plus, les utilisateurs ont rencontré des vers et des applications malveillantes qui exploitaient les vulnérabilités dans les documents Microsoft Office.

JS.Siggen5.44590
Code malveillant ajouté à la bibliothèque publique JavaScript es5-ext-main. Affiche un message spécifique si le package est installé sur un serveur avec le fuseau horaire des villes russes.
JS.Inject
Famille de scripts malveillants écrits en JavaScript. Ils intègrent un script malveillant au code HTML des pages web.
LNK.Starter.56
Détection d'un raccourci spécialement formé qui est distribué via des lecteurs amovibles et qui a une icône de disque pour tromper les utilisateurs. Lors de son ouverture, des scripts VBS malveillants sont lancés depuis un répertoire caché situé sur le même support que le raccourci lui-même.
Win32.HLLW.Rendoc.3
Ver réseau qui est propagé entre autres via des supports amovibles.
Exploit.CVE-2018-0798.4
Exploit conçu pour exploiter des vulnérabilités dans le logiciel Microsoft Office et qui permet l'exécution de code arbitraire.
Trojan.AutoIt.1122
Version packagée d'un cheval de Troie Trojan.AutoIt.289 écrit dans le langage de script AutoIt. Cette version est distribuée dans le cadre d'un groupe de plusieurs applications malveillantes - un miner, une porte dérobée et un module d'auto-propagation. Trojan.AutoIt.289 effectue différentes actions malveillantes qui empêchent la détection de la charge " utile " principale.
Trojan.SpyBot.699
Trojan bancaire à plusieurs modules. Il permet aux pirates de télécharger et de lancer sur une machine contaminée différentes applications et d'exécuter n'importe quel code.
VBS.BtcMine.13
VBS.BtcMine.12
Script malveillant écrit en VBS pour extraire des crypto-monnaies de manière discrète.

Rançongiciels

Par rapport à 2023, le support technique de Doctor Web a reçu 33,05% de demandes en moins d'utilisateurs affectés par des ransomwares à chiffrement en 2024. La dynamique d'enregistrement des demandes de décryptage de fichiers est présentée dans le schéma ci-dessous :

Les ransomwares à chiffrement les plus répandus en 2024 :

Trojan.Encoder.35534 (13,13% des demandes)
Rançongiciel connu sous le nom de Mimic. Lors de la recherche de fichiers cibles pour le cryptage, le cheval de Troie utilise la bibliothèque everything.dll du programme Everything, qui est légitime et conçue pour rechercher instantanément des fichiers sur les ordinateurs Windows.
Trojan.Encoder.3953 (12,10% des demandes)
Rançongiciel qui a plusieurs versions et modifications différentes. Pour le chiffrement des fichiers, il utilise l'algorithme AES en mode CBC.
Trojan.Encoder.26996 (7,44% des demandes)
Ransomware à chiffrement connu sous le nom de STOP Ransomware. Il tente d'obtenir la clé privée du serveur distant, et en cas d'échec, il utilise une clé embarquée. Pour chiffrer les fichiers, le cheval de Troie utilise l'algorithme de flux Salsa20.
Trojan.Encoder.35067 (2,21% des demandes)
Un ransomware à chiffrement connu sous le nom de Macop (l'une des variantes de ce cheval de Troie est Trojan.Encoder.30572). Il est de petite taille, environ 30-40 Ko. Cela est dû en partie au fait que le cheval de Troie ne comporte pas de bibliothèques cryptographiques tierces et n'utilise que des fonctions CryptoAPI pour le cryptage et la génération de clés. Il utilise l'algorithme AES-256 pour crypter les fichiers, et les clés elles-mêmes sont cryptées avec RSA-1024.
Trojan.Encoder.37369 (2,10% des demandes)
L'une des nombreuses modifications du rançongiciel #Cylance ransomware. Pour chiffrer les fichiers, il utilise l'algorithme ChaCha12 avec un schéma d'échange de clés basé sur la courbe elliptique Curve25519 (X25519).

Fraudes sur le Web

Au cours de 2024, les analystes de Doctor Web ont observé une forte activité des fraudeurs en ligne, utilisant à la fois des scénarios traditionnels et de nouvelles méthodes pour tromper les utilisateurs. Dans le segment russe d'Internet, les stratagèmes utilisant des sites frauduleux de plusieurs formats sont à nouveau les plus répandus. Certains d'entre eux étaient de fausses ressources de magasins en ligne et de réseaux sociaux avec des promotions et des promesses de cadeaux. Les victimes potentielles sur de tels sites « gagnent » toujours, mais pour recevoir un prix finalement inexistant, elles sont tenues de payer une « commission ».

Un site Web frauduleux prétendument lié à une boutique en ligne russe invite ses visiteurs à participer à un tirage au sort inexistant

Un faux site d'un réseau social offre de « tenter votre chance » et de gagner de gros prix en argent et d'autres cadeaux

L'une des variantes actuelles de ce type de stratagème reste les faux sites web de détaillants et de magasins d'appareils électroménagers et électroniques proposant d'acheter des marchandises à prix réduit. Habituellement, il est proposé d'utiliser une banque en ligne ou une carte bancaire pour payer les « commandes », mais l'année dernière, les escrocs ont commencé à recourir au système de paiement rapide.

Un faux site Web d'un magasin d'électroménager et d'électronique promet aux victimes potentielles de grandes réductions

Le site frauduleux propose d'utiliser le système de paiement rapide pour régler la « commande »

Le système avec des billets de loterie « gratuits » a également gardé sa popularité. Les prétendus tirages au sort en ligne pour les victimes potentielles se terminent toujours par une « victoire ». Pour recevoir le prix, les utilisateurs doivent également payer une « commission ».

L'utilisateur aurait gagné 314 906 roubles à la loterie et devra payer une « commission » pour « recevoir » les gains

Les faux sites financiers sont également restés dans l'arsenal des escrocs. Les sujets servant de fondement aux fraudes restent à peu près les mêmes, ce sont généralement la promesse de recevoir des remboursements de l'État ou d'entreprises privées, les investissements dans le secteur pétrolier et gazier, la formation dans le domaine de la finance, le commerce de crypto-monnaie et des activités menées grâce à des systèmes automatisés « uniques » ou de stratégies « éprouvées » qui garantiraient prétendument des profits. Les attaquants ont également exploité les noms de personnes médiatiques pour attirer l'attention des utilisateurs. Des exemples de tels sites frauduleux sont présentés ci-dessous.

Un site frauduleux propose au visiteur « de gagner jusqu'à 10 000 € par mois sur la plateforme WhatsApp unique »

L'artiste russe Shaman « a partagé une plateforme secrète de succès », qui pourrait rapporter 14 000 $ par mois

Un faux site Web d'une société pétrolière et gazière offre l'accès à un service d'investissement et promet des revenus de 150 000 roubles

Des sites Web frauduleux imitant les services d'investissement réels des banques

Dans le même temps, nos spécialistes ont également identifié de nouveaux schémas. Par exemple, des fraudeurs, prétendument au nom de grandes entreprises, proposent aux utilisateurs de participer à des enquêtes sur la qualité des services fournis contre rémunération. Parmi ces faux, des sites Web fictifs d'établissements de crédit, où les utilisateurs se voyaient invités à fournir des données personnelles sensibles, qui pouvaient inclure un nom complet, un numéro de téléphone portable lié à un compte bancaire et un numéro de carte bancaire.

Un faux site web de banque propose une récompense de 6 000 rands pour participer à une enquête visant à « améliorer la qualité du service »

Ces schémas de fraude sont assez répandus partout dans le monde, notamment en Europe. Par exemple, le site ci-dessous promettait aux utilisateurs européens des dividendes pour investir dans des secteurs prometteurs de l'économie :

Et ce site annonçait une « nouvelle plateforme d'investissement de Google », à l'aide de laquelle il serait possible de gagner à partir de 1 000 € :

Un autre site frauduleux offre aux utilisateurs slovaques « de gagner plus de 192 460 $ par mois » avec l'aide d'un service d'investissement :

Les résidents de l'Azerbaïdjan également ciblés se sont vus offrir d’améliorer considérablement leur situation financière, en gagnant 1 000 manats par mois. Il s’agissait de simplement répondre une petite enquête et d'avoir accès à un service prétendument lié à la compagnie pétrolière et gazière azerbaïdjanaise :

À la fin de l'année, les fraudeurs ont traditionnellement commencé à adapter ces faux sites au sujet des fêtes de fin d'année. Par exemple, la fausse bourse de crypto-monnaie en ligne suivante promettait aux utilisateurs russes des paiements pour le Nouvel An :

Un autre site leur offrait des chèques vacances pour le compte d'une société d'investissement :

Un site frauduleux promet aux utilisateurs kazakhs de gros paiements en l'honneur du Jour de l'Indépendance dans le cadre de « l'offre du Nouvel An ».

Tout au long de l'année, nos analystes Internet ont identifié d'autres sites d'hameçonnage. Parmi eux se trouvaient de faux sites Web de services de formation en ligne. L'un d'eux, par exemple, imitait l'apparence d'une véritable ressource Internet et proposait des cours de programmation. Pour « obtenir des conseils », les utilisateurs devaient fournir leurs données personnelles.

Un faux site web déguisé en véritable ressource en ligne d'un service éducatif

De plus, les tentatives de vol de comptes Telegram à l'aide de sites d'hameçonnage déguisés en divers sites de votes en ligne ont été encore cette année, très courantes. On demande aux victimes potentielles un numéro de téléphone portable — soi-disant utilisé pour confirmer leur voix et obtenir un code à usage unique. Mais en saisissant ce code sur un faux site, les utilisateurs permettent aux fraudeurs d'accéder à leurs comptes.

Site d'hameçonnage pour « voter » dans un concours de dessin en ligne pour enfants

D'autres sites similaires proposaient un abonnement « gratuit » à Telegram Premium. Les utilisateurs sont invités à se connecter à leur compte, mais les données confidentielles saisies sur ces sites sont transférées à des attaquants, qui volent ensuite les comptes. Il est à noter que les liens vers ces ressources Internet sont distribués via le messager lui-même. Dans le même temps, l'adresse réelle du site cible dans les messages ne correspond souvent pas à ce que les utilisateurs voient.

Un message d'hameçonnage dans Telegram, dans lequel vous êtes invité à cliquer sur le lien indiqué pour « activer » un abonnement à Telegram Premium. Le texte du lien ne correspond pas réellement à l'adresse de destination

Site d'hameçonnage chargé lorsque vous cliquez sur le lien à partir d'un message frauduleux

Après avoir cliqué sur le bouton de la page précédente, le site affiche un formulaire d'autorisation qui ressemble à un véritable formulaire d'autorisation Telegram

Les cybercriminels utilisent également le spam par e-mail pour distribuer des liens vers des sites web frauduleux. Tout au long de l'année, nos analystes ont enregistré de nombreuses campagnes de spam différentes. L’exemple ci-dessous illustre une campagne déployée au Japon.

Message de phishing envoyé au nom d’une banque et invitant les utilisateurs à prendre connaissance des détails d'un paiement

Dans un autre scénario, les attaquants envoient de fausses notifications concernant les dépenses mensuelles des utilisateurs par carte bancaire. Les liens vers les sites d'hameçonnage étaient souvent masqués et semblaient inoffensifs dans le texte des e-mails.

Le message de phishing affiche des liens vers des adresses réelles de sites web de banques, mais lorsque les utilisateurs cliquent, ils sont redirigés vers un site frauduleux

L'une des campagnes de spam ciblait les utilisateurs européens. Par exemple, les utilisateurs belges ont été confrontés à des e-mails d'hameçonnage déclarant « bloquer » leurs comptes bancaires. Pour les « débloquer », on leur proposait de suivre un lien qui menait au site des fraudeurs.

Un e-mail indésirable effraie une victime potentielle en mentionnant un compte bancaire « bloqué »

D'autres envois massifs de messages indésirables ont également été enregistrés ciblant notamment un public anglophone. Dans l'une des campagnes de spam, les victimes potentielles recevaient des messages dans lesquels on leur demandait de confirmer la réception d'un transfert d'argent important.

Ce message spam informe que l'utilisateur aurait besoin de confirmer la réception de 1218,16 $ US

Les utilisateurs russes ont le plus souvent rencontré des courriels indésirables utilisant des thèmes maintenant bien connus comme le gain de prix et les réductions dans les magasins en ligne, les billets de loterie gratuits ou l'accès à des services d'investissement. Exemples de ces messages dans les captures d'écran ci-dessous.

Un message envoyé au nom d'une boutique en ligne proposant de participer à un « tirage au sort »

Un message au nom d'un établissement de crédit proposant de « devenir un investisseur prospère »

Un e-mail prétendument envoyé au nom d'un magasin d'électronique proposant d'activer un code promotionnel et d'obtenir une réduction sur les produits

Сiblant les appareils mobiles

Selon les statistiques de détection de Dr.Web Security Space pour les appareils mobiles, les malwares Android le plus courant en 2024 étaient à nouveau les Trojans Android.HiddenAds, qui masquent leur présence sur les appareils infectés et diffusent des publicités. Ils ont représenté plus d'un tiers des détections de logiciels malveillants. Parmi les représentants les plus actifs de cette famille on a vu Android.HiddenAds.3956, Android.HiddenAds.3851, Android.HiddenAds.655.origin et Android.HiddenAds.3994. Dans le même temps, les utilisateurs ont rencontré des variantes des Trojans Android.HiddenAds.Aegis, qui peuvent démarrer automatiquement après l'installation. Les autres applications malveillantes courantes étaient les Trojans Android.FakeApp et les chevaux de Troie espions utilisés dans divers stratagèmes frauduleux Android.Spy.

Les programmes indésirables les plus actifs étaient les représentants des familles Program.FakeMoney, Program.CloudInject et Program.FakeAntiVirus. Les premiers proposent d'effectuer diverses tâches pour des récompenses virtuelles, qui à l'avenir pourraient être retirées sous forme d'argent réel. Les seconds sont des programmes modifiés via un service cloud spécialisé et auxquels sont ajoutés un code incontrôlé et un certain nombre d'autorisations dangereuses. D'autres encore imitent le fonctionnement des antivirus, détectent des menaces inexistantes et proposent d'acheter une version complète pour résoudre les « problèmes ».

Les utilitaires Tool.SilentInstaller, qui permettent d'exécuter des applications Android sans les installer, sont à nouveau devenus les programmes potentiellement dangereux les plus fréquemment détectés, représentant plus d'un tiers des cas de détection de ce type de programmes. Les applications modifiées à l'aide de l'utilitaire NP Manager (détecté comme Tool.NPMod) étaient également fréquentes. Ces programmes sont dotés d'un module spécialisé qui leur permet de contourner la vérification de la signature numérique après modification. Des applications protégées par Tool.Packer.1.origin ont été fréquemment détectées, ainsi que le framework Tool.Androlua.1.origin, qui permet de modifier les programmes Android installés et d'exécuter des scripts Lua potentiellement malveillants.

Le logiciel publicitaire le plus courant appartient à la nouvelle famille Adware.ModAd, représentant près de la moitié des détections. Il s'agit de versions spécialement modifiées de WhatsApp Messenger, dont les fonctions incluent du code pour télécharger des liens publicitaires. En deuxième position, on a vu des représentants de la famille Adware.Adpush, et en troisième — une autre nouvelle famille Adware.Basement.

Par rapport à 2023, il y a eu une légère augmentation de l'activité des chevaux de Troie bancaires ciblant Android en 2024. Dans le même temps, nos experts ont noté la popularité croissante d'un certain nombre de techniques utilisées par les cybercriminels pour protéger les logiciels malveillants (en particulier les bancaires) de l'analyse et de la détection. Parmi ces techniques figuraient diverses manipulations du format d’archives zip (qui sont à la base des fichiers APK) et le fichier de configuration des programmes Android AndroidManifest.xml.

Il convient de noter une large propagation de l'application malveillante Android.SpyMax. Les attaquants ont activement utilisé ce logiciel espion comme cheval de Troie bancaire, en particulier contre les utilisateurs russes (46,23 % des cas de détection), ainsi que contre les propriétaires d'appareils Android au Brésil (35,46 % des cas) et en Turquie (5,80 % des cas).

Tout au long de l'année, les analystes de Doctor Web ont identifié plus de 200 menaces différentes dans le catalogue Google Play. Parmi elles, des chevaux de Troie qui abonnent à des services payants, des Trojans espions, des logiciels frauduleux et publicitaires. Au total, ils ont été téléchargés au moins 26 700 000 fois. De plus, nos spécialistes ont enregistré une autre attaque sur les décodeurs TV Android : la porte dérobée modulaire Android.Vo1d a contaminé près de 1 300 000 appareils d'utilisateurs de 197 pays. Ce Trojan place ses composants dans la zone système et, sur commande des pirates, est capable de télécharger et d'installer secrètement des logiciels tiers.

Pour en savoir plus sur la situation virale et les menaces ciblant les appareils mobiles en 2024, consultez notre rapport.

Perspectives et tendances

Les événements de l'année écoulée ont une fois de plus démontré la diversité du paysage des cybermenaces modernes. Les attaquants s'intéressent à la fois aux entreprises dans les secteurs privé et public et aux utilisateurs ordinaires. Les fonctionnalités de nombreux programmes malveillants impliqués dans les attaques ciblées que nous avons analysées indiquent que les cybercriminels sont constamment à la recherche de nouvelles opportunités pour améliorer leurs méthodes de conduite de campagnes malveillantes et développer leurs outils. Au fil du temps, de nouvelles techniques sont inévitablement transférées à des menaces plus répandues. À cet égard, en 2025, d'autres chevaux de Troie pourraient apparaître qui exploiteront la technologie eBPF pour masquer leurs activités malveillantes. De plus, nous devrions nous attendre à de nouvelles attaques ciblées, y compris avec l'utilisation d'exploits.

L'un des principaux objectifs des cybercriminels est l'enrichissement illégal, de sorte qu'au cours de la nouvelle année, l'activité des chevaux de Troie bancaires et publicitaires pourrait augmenter. De plus, les utilisateurs pourront être menacés par un plus grand nombre de logiciels malveillants dotés de fonctions d'espionnage.

Dans le même temps, les utilisateurs non seulement des ordinateurs Windows, mais aussi d'autres systèmes d'exploitation tels que Linux et macOS seront dans le collimateur. Les menaces mobiles continueront de se propager. Les propriétaires d'appareils Android doivent d'abord se méfier de l'émergence de nouveaux logiciels espions, de chevaux de Troie bancaires, ainsi que d'applications publicitaires malveillantes et indésirables. De nouvelles tentatives d'infection des téléviseurs, décodeurs et autres équipements basés sur Android ne sont pas exclues. Google Play reste encore et toujours malgré lui un diffuseur de malwares.