Check Point® Software Technologies Ltd, un leader mondial des solutions de cybersécurité, a publié son indice mondial des menaces pour octobre 2023, révélant une tendance alarmante en matière de cybermenaces. Le cheval de Troie d’accès à distance (RAT) NJRat est passé de la sixième à la deuxième place, en ciblant particulièrement les agences et organisations gouvernementales du Moyen-Orient et d’Afrique.
Cette escalade des cybermenaces a été particulièrement grave en Afrique, où Maurice se classe au 6ème rang, le Nigeria au 11ème, le Maroc au 15ème et le Kenya au 25ème en termes de cibles et d’attaques. L’Afrique du Sud suit, se classant au 55ème rang mondial.
En outre, le rapport met en évidence la portée croissante du RAT AgentTesla sophistiqué, entraînée par une nouvelle et complexe campagne de spam malveillant utilisant des pièces jointes corrompues. Le secteur de l’éducation reste la cible privilégiée, ce qui souligne la vulnérabilité persistante de ce secteur aux cyberattaques.
Le mois dernier, AgentTesla a été découvert en train d’être diffusé via des fichiers d’archives contenant une extension malveillante Microsoft Compiled HTML Help (.CHM). Ces fichiers, déguisés en documents de commande et d’expédition classiques, étaient distribués par courrier électronique avec des pièces jointes .GZ ou .zip, incitant les destinataires à télécharger le logiciel malveillant. Une fois installé, AgentTesla présente une gamme de fonctionnalités nuisibles, notamment l’enregistrement de frappe, la capture de données du presse-papiers, l’accès aux systèmes de fichiers et la transmission secrète de données volées à un serveur de commande et de contrôle (C&C).
« Nous ne pouvons pas ignorer les tactiques sophistiquées utilisées par les pirates pour distribuer des logiciels malveillants, comme l’usurpation d’identité de marques de confiance ou l’utilisation de pièces jointes malveillantes », a déclaré Rudi van Rooyen, ingénieur commercial chez Check Point Software. « Alors que nous entrons dans la haute saison des achats en novembre, il est crucial de rester vigilant. Les cybercriminels profitent de l’activité accrue des achats en ligne, et aucune région, y compris l’Afrique, n’est à l’abri de ces menaces. »
CPR a également révélé que « Zyxel ZyWALL Command Injection (CVE-2023-28771) » était la vulnérabilité la plus exploitée, affectant 42 % des organisations dans le monde, suivie par « Command Injection Over HTTP » qui affecte 42 % des organisations dans le monde. « Web Servers Malicious URL Directory Traversal » était la troisième vulnérabilité la plus utilisée, avec un impact global de 42 %.
Principales familles de malwares et leur impact en Afrique
*Les flèches concernent l’évolution du classement par rapport au mois précédent.
Formbook était le malware le plus répandu le mois dernier avec un impact de 3 % sur les organisations mondiales, suivi par NJRat avec un impact mondial de 2 % et Remcos avec un impact mondial de 2 %.
1. ↔ Formbook — Formbook est un infostealer ciblant le système d’exploitation Windows et a été détecté pour la première fois en 2016. Il est commercialisé sous le nom de Malware as a Service (MaaS) dans les forums de piratage clandestins pour ses techniques d’évasion puissantes et son prix relativement bas. FormBook collecte les informations d’identification de divers navigateurs Web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers conformément aux ordres de son C&C. Son impact au Kenya et au Nigéria est significatif, soit 16,9 % et 9,2 % respectivement, tandis qu’en Afrique du Sud, il est plus faible, à 3 %.
2. ↑ NJRat — NJRat est un cheval de Troie d’accès à distance, ciblant principalement les agences et organisations gouvernementales du Moyen-Orient. Le cheval de Troie est apparu pour la première fois en 2012 et possède de multiples capacités : capturer des frappes au clavier, accéder à l’appareil photo de la victime, voler les informations d’identification stockées dans les navigateurs, charger et télécharger des fichiers, effectuer des manipulations de processus et de fichiers et afficher le bureau de la victime. NJRat infecte les victimes via des attaques de phishing et des téléchargements en voiture, et se propage via des clés USB infectées ou des lecteurs en réseau, avec le support du logiciel serveur Command & Control. L’impact de NJRat en Afrique du Sud est légèrement supérieur à 2 % tandis qu’au Maroc il est de 8 %.
3. ↓ Remcos — Remcos est un RAT apparu pour la première fois dans la nature en 2016. Remcos se distribue via des documents Microsoft Office malveillants, qui sont joints aux e-mails SPAM, et est conçu pour contourner la sécurité UAC de Microsoft Windows et exécuter des logiciels malveillants de haut niveau. privilèges. Bien que sa présence à l’échelle mondiale soit préoccupante, Remcos n’a pas fait une apparition significative en Afrique.
Principales industries attaquées en Afrique
Le mois dernier, l’éducation/recherche est restée en première place en tant qu’industrie la plus attaquée au monde, suivie par les communications et le gouvernement/militaire. Cependant, en Afrique, les principales industries attaquées sont :
1. Communications
2. FAI/MSP
3. Finances et banque
4. Gouvernement et armée
Principales vulnérabilités exploitées
Le mois dernier, « Zyxel ZyWALL Command Injection (CVE-2023-28771) » était la vulnérabilité la plus exploitée, touchant 42 % des organisations dans le monde, suivie par « Command Injection Over HTTP » qui touchait 42 % des organisations dans le monde. « Web Servers Malicious URL Directory Traversal » était la troisième vulnérabilité la plus utilisée, avec un impact global de 42 %.
1. ↑ Injection de commandes Zyxel ZyWALL (CVE-2023-28771) – Une vulnérabilité d’injection de commandes existe dans Zyxel ZyWALL. Une exploitation réussie de cette vulnérabilité permettrait à des attaquants distants d’exécuter des commandes arbitraires du système d’exploitation dans le système affecté.
2. ↔ Injection de commandes sur HTTP (CVE-2021-43936, CVE-2022-24086) – Une vulnérabilité d’injection de commandes sur HTTP a été signalée. Un attaquant distant peut exploiter ce problème en envoyant une requête spécialement conçue à la victime. Une exploitation réussie permettrait à un attaquant d’exécuter du code arbitraire sur la machine cible.
3. ↓ Traversée de répertoires d’URL malveillantes de serveurs Web (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015- 7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Il existe une vulnérabilité de traversée de répertoire sur différents serveurs Web. La vulnérabilité est due à une erreur de validation d’entrée dans un serveur Web qui ne nettoie pas correctement l’URL pour les modèles de traversée de répertoire. Une exploitation réussie permet à des attaquants distants non authentifiés de divulguer ou d’accéder à des fichiers arbitraires sur le serveur vulnérable.
Principaux logiciels malveillants mobiles
Le mois dernier, Anubis est resté au premier rang des logiciels malveillants mobiles les plus répandus, suivi par AhMyth et Hiddad.
1. Anubis — Anubis est un cheval de Troie bancaire malveillant conçu pour les téléphones mobiles Android. Depuis sa détection initiale, il a acquis des fonctions supplémentaires, notamment la fonctionnalité du cheval de Troie d’accès à distance (RAT), l’enregistreur de frappe, les capacités d’enregistrement audio et diverses fonctionnalités de ransomware. Il a été détecté sur des centaines d’applications différentes disponibles dans le Google Store.
2. AhMyth – AhMyth est un cheval de Troie d’accès à distance (RAT) découvert en 2017. Il est distribué via des applications Android disponibles sur les magasins d’applications et sur divers sites Web. Lorsqu’un utilisateur installe l’une de ces applications infectées, le logiciel malveillant peut collecter des informations sensibles sur l’appareil et effectuer des actions telles que l’enregistrement de touches, la prise de captures d’écran, l’envoi de messages SMS et l’activation de l’appareil photo, qui est généralement utilisé pour voler des informations sensibles.
3. Hiddad – Hiddad est un malware Android qui reconditionne des applications légitimes, puis les diffuse dans une boutique tierce. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux détails de sécurité clés intégrés au système d’exploitation.
L’indice d’impact mondial des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud (https://threatmap.CheckPoint.com/) de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde, sur les réseaux, les points finaux et les mobiles. L’intelligence est enrichie de moteurs basés sur l’IA et de données de recherche exclusives de Check Point Research, la branche intelligence et recherche de Check Point Software Technologies.
La liste complète des dix principales familles de malwares en octobre est disponible sur le blog Check Point.
