Présentation
Après un second trimestre marqué par une importante perturbation du botnet Necurs, entrainant une certaine accalmie des campagnes de documents malveillants, le troisième trimestre a changé la donne avec un volume record de messages. Si dans leur grande majorité ces messages propagaient le ransomware Locky, le troisième trimestre se démarque également par la grande diversité et l'évolution des autres types de ransomware et chevaux de Troie bancaires.
D'une part, nous avons constaté que les macros malveillantes gagnaient en complexité, avec de nouvelles techniques d'évitement des sandbox et des attaques plus ciblées, ainsi que l'évolution des techniques de piratage de la messagerie en entreprise (BEC, Business Email Compromise). D'autre part, le nombre de messages propageant le ransomware Locky par le biais de documents malveillants et de code JavaScript joints a atteint plusieurs centaines de millions en quelques jours seulement, les auteurs de l'attaque ayant choisi de couvrir des régions entières.
L'activité des kits d'exploit (EK) se stabilise à un niveau nettement inférieur depuis son niveau record au mois de janvier, mais nous avons toutefois décelé des opérations publicitaires malveillantes qui exploitent ces kits avec un degré de complexité et une échelle sans précédent. Dans le même temps, nous observons que les kits d'exploit et les attaques Zero Day visant les mobiles commencent à combler le vide laissé par la baisse des kits destinés aux postes de travail. Les menaces ciblant les appareils mobiles et les réseaux sociaux, associées à des phénomènes populaires comme le jeu Pokémon GO et les Jeux Olympiques de Rio, ont également fait les gros titres.
Vous trouverez ci-dessous les principales conclusions associées à ce troisième trimestre 2016.
Points clés
- Le volume d'e-mails malveillants contenant des pièces jointes JavaScript, en augmentation de 69 % par rapport au 2e trimestre, a atteint un niveau historique. Les nouvelles campagnes, comportant divers types de pièces jointes, sont parvenues à de nouveaux records au 2e trimestre, pour atteindre des centaines de millions de messages par jour. Les pièces jointes JavaScript restent en tête de ces vastes campagnes d'e-mails, mais les auteurs du ransomware Locky introduisent aussi désormais de nouveaux types de fichiers en pièce jointe.
- La plupart des e-mails avec documents joints malveillants correspondaient à la souche de ransomware Locky, très répandue. Parmi ces milliards de messages, 97 % correspondaient au ransomware Locky, pour une augmentation de 28 % par rapport au 2e trimestre et de 64 % par rapport au 1er, moment où Locky a été démasqué.
- La diversité des nouvelles variantes de ransomware a décuplé par rapport au dernier trimestre 2015. Cette diversité s'amplifie encore, et notamment les souches propagées par les kits d'exploit. Parmi ces variantes propagées par kit d'exploit, et dans les campagnes d'e-mails plus limitées, la variante CryptXXX reste la principale charge utile de ransomware, et apparaît même parfois dans des campagnes de spam.
- Les cybercriminels continuent également de perfectionner leurs techniques d'attaque BEC. Lors d'une telle attaque, l'imposteur se fait généralement passer pour un cadre supérieur auprès d'un collègue afin de le convaincre d'effectuer un transfert d'argent. L'usurpation des adresses de réponse a baissé d'environ 30 % depuis début 2016, tandis que l'usurpation des noms d'affichage est en augmentation et constitue désormais près d'un tiers des attaques BEC. Cette transition montre que les pirates perfectionnent et adaptent sans cesse leurs techniques. Aucune de ces attaques ne détrône toutefois encore le phishing « ordinaire » des identifiants de connexion, qui gagne lui-même en complexité.
- Les Chevaux de Troie bancaires se diversifient également, tandis que les pirates personnalisent leurs attaques. Après une période de relative accalmie, le populaire cheval de Troie bancaire Dridex émerge de nouveau dans certaines campagnes ciblées, en augmentation par rapport au 2e trimestre mais tout de même bien moins fréquent que lors des campagnes massives (à l'époque) de 2015. D'autres Chevaux de Troie bancaires (par exemple, Ursnif) apparaissent également dans des campagnes très personnalisées (quelques dizaines voire quelques centaines de milliers de messages), une tendance qui a commencé au 2e trimestre et se poursuit au 3e. En parallèle, un très grand nombre de Chevaux de Troie bancaires ont également été détectés dans des campagnes publicitaires malveillantes.
- L'activité des kits d'exploit reste stable mais à un niveau bien inférieur aux sommets atteints en 2015. Au 3e trimestre, cette activité a diminué de 65 % par rapport au 2e trimestre et de 93 % par rapport à son niveau record du mois de janvier, même si cette tendance à la baisse semble s'être ralentie. Avec la disparition du kit d’exploitation Angler, le kit RIG détrône le kit Neutrino et devient le principal kit d'exploit observé au cours du 3e trimestre.
- Les logiciels malveillants associés au jeu Pokémon GO ont engendré de nombreuses contrefaçons malveillantes. Les logiciels malveillants qui prennent la forme de clones d'applis malveillants à charge latérale, de modules complémentaires dangereux et d'autres applis risquées, ont tiré parti du succès grandissant de ce jeu. Les utilisateurs peuvent télécharger ces applis un peu partout, et même les principaux AppStore ne filtrent ces applis et leurs mises à jour que de façon limitée.
- Les kits d'exploit pour mobile et les attaques Zero Day ciblent les appareils iOS et Android. À l'heure actuelle, 10 à 20 virus Zero Day exploitables sont déjà présents dans la plupart des appareils portables. Près de 30 % d'entre eux sont dangereux et permettraient à leurs auteurs d'exécuter potentiellement du code malveillant sur les appareils infectés.
- Le contenu négatif augmente sur les réseaux sociaux. Le contenu négatif ou potentiellement dangereux, comme le spam, les propos orduriers et la pornographie, a augmenté de 50 % au 2e trimestre.
- Le phishing via réseau social a doublé depuis le 2e trimestre. Pour le phishing d'identifiants de connexion et de coordonnées bancaires, les réseaux sociaux sont un terrain fertile, que les auteurs d'attaque n'hésitent pas à exploiter pour duper les utilisateurs et obtenir leurs identifiants bancaires. Les comptes frauduleux (utilisés pour le type d'attaque dit phishing Angler) ont ouvert la voie.
- La pollinisation croisée entre mobiles et réseaux sociaux s'accélère. Les phénomènes à grande visibilité, tels que les Jeux Olympiques de Rio et le jeu Pokémon GO, ont ouvert des brèches à la propagation de logiciels malveillants destinés aux appareils mobiles, notamment d'exploits Zero Day, via les réseaux sociaux.
Pour consulter le résumé complet de Proofpoint sur les menaces du 3e trimestre, cliquez ici.