Les logiciels malveillants les plus recherchés de mai 2023 : la nouvelle version de Guloader fournit un cloud crypté

Notre dernier Global Threat Index pour mai 2023 a vu des chercheurs faire état d'une nouvelle version du téléchargeur basé sur shellcode GuLoader, qui était le quatrième malware le plus répandu. Avec des charges utiles entièrement cryptées et des techniques anti-analyse, la dernière forme peut être stockée sans être détectée dans des services de cloud public bien connus, y compris Google Drive. Pendant ce temps, Qbot et Anubis prennent la première place sur leurs listes respectives, et l'éducation/recherche reste l'industrie la plus exploitée.

GuLoader est l'un des cybercriminels téléchargeurs les plus connus pour échapper à la détection antivirus. Avec plus de trois ans d'activité et un développement continu, la dernière version utilise une technique qui remplace le code dans un processus légitime, lui permettant d'échapper à la détection par les outils de sécurité de surveillance des processus. En utilisant un VBScript pour télécharger un shellcode crypté à partir du cloud, les victimes reçoivent un fichier moins suspect, ce qui réduit la probabilité de déclencher des alertes. L'utilisation du cryptage, du format binaire brut et de la séparation du chargeur rend les charges utiles invisibles pour les antivirus, permettant aux pirates de contourner la protection antivirus et d'exploiter Google Drive pour le stockage. Dans certains cas, ces charges utiles malveillantes peuvent rester actives pendant de longues périodes.

Le mois dernier, Qbot et Anubis ont également pris la première place sur leurs listes respectives. Malgré les efforts pour ralentir la distribution des logiciels malveillants en bloquant les macros dans les fichiers Office, les opérateurs Qbot ont rapidement adapté leur distribution et leur livraison. Il a récemment été vu abusant d'une faille de piratage de la bibliothèque de liens dynamiques (DLL) dans le programme Windows 10 WordPad pour infecter les ordinateurs.

Plus souvent qu'autrement, nous voyons des cybercriminels exploiter des outils accessibles au public pour stocker et diffuser des campagnes de logiciels malveillants. Nous ne pouvons plus croire aveuglément que les services que nous utilisons seront complètement sécurisés, quelle que soit la fiabilité de la source. C'est pourquoi nous devons être éduqués sur ce à quoi ressemblent les activités suspectes. Ne divulguez pas d'informations personnelles et ne téléchargez pas de pièces jointes à moins d'avoir vérifié que la demande est légitime et qu'il n'y a pas d'intention malveillante.

Le CPR a également révélé que « Web Servers Malicious URL Directory Traversal » était la vulnérabilité la plus exploitée, affectant 49 % des organisations dans le monde, suivie par « Apache Log4j Remote Code Execution » affectant 45 % des organisations dans le monde. "HTTP Headers Remote Code Execution" était la troisième vulnérabilité la plus utilisée, avec un impact global de 44%.

Principales familles de logiciels malveillants

*Les flèches se rapportent au changement de classement par rapport au mois précédent.

Qbotétait le malware le plus répandu le mois dernier avec un impact de 6 % sur les organisations mondiales, suivi parFormulaireavec un impact global de 5% etAgentTeslaavec un impact global de 3%.

Principaux secteurs attaqués dans le monde

Le mois dernier,Éducation/Rechercheest restée à la première place en tant qu'industrie la plus exploitée au monde, suivie parGouvernement/MilitaireetSoins de santé.

Principales vulnérabilités exploitées

Le mois dernier,"Traversée de répertoires d'URL malveillantes de serveurs Web"était la vulnérabilité la plus exploitée, impactant49%des organisations dans le monde, suivi par"Exécution de code à distance Apache Log4j"impactant45%d'organisations à travers le monde."Exécution de code à distance des en-têtes HTTP"était la troisième vulnérabilité la plus utilisée, avec un impact global de44%.

Principaux malwares mobiles

Le mois dernierAnubiss'est hissé au premier rang des logiciels malveillants mobiles les plus répandus, suivi deAhMytheethidad.

L'indice mondial d'impact des menaces de Check Point et sa carte ThreatCloud sont optimisés par l'intelligence ThreatCloud de Check Point. ThreatCloud fournit des informations en temps réel sur les menaces dérivées de centaines de millions de capteurs dans le monde, sur des réseaux, des terminaux et des mobiles. L'intelligence est enrichie de moteurs basés sur l'IA et de données de recherche exclusives de Check Point Research, la branche d'intelligence et de recherche de Check Point Software Technologies.