FortiGuard Labs a observé, au cours de la période du 1er Janvier au 31 Mars 2013, que le botnet ZeroAccess générant des Bitcoins, a été la principale menace de ce trimestre d’après les données recueillies par les boitiers FortiGate situés à travers le monde. Fortinet a publié le rapport établi par FortiGuard Labs, rapport qui livre également une analyse des cyber-attaques de la Corée du Sud ainsi que deux nouvelles variantes d’adware sur les appareils Android au cours des 90 derniers jours.
ZeroAccess ne montre aucun signe de ralentissement
“Au premier trimestre 2013, nous avons vu les propriétaires du botnet ZeroAccess assurer et augmenter le nombre de bots sous son contrôle,” déclare Richard Henderson, stratégiste de sécurité et chercheur en menaces au sein de FortiGuard Labs de Fortinet. “Au cours des derniers 90 jours, les propriétaires de ZeroAccess ont envoyé à leurs hôtes infectés 20 mises à jour logicielles.”
Selon les rapports des dispositifs FortiGate à travers le monde, ZeroAccess est la principale menace en matière de botnets que l’équipe a observé. ZeroAccess est principalement utilisé pour la fraude par clic et la création de Bitcoins. La valeur de la monnaie électronique, décentralisée et basée sur l’open source, continue à exploser, ce qui signifie probablement que la somme d’argent qui est générée par ZeroAccess se chiffre en millions de dollars ou plus.
“Comme la popularité et la valeur de Bitcoin augmente, nous pourrions voir d’autres propriétaires de botnets tenter de les utiliser à l’identique ou pour perturber le marché des Bitcoins,” poursuit Henderson.
En Mars et Avril, Mt. Gox, la plus grande bourse d’échange Bitcoin du monde, a lutté contre une attaque continue par déni de services distribués (DDoS) visant à déstabiliser la devise et/ou à en profiter. L’analyse de ZeroAccess par FortiGuard Labs, qui peut charger des modules DDoS sur les machines infectées, révèle que le botnet ne dispose pas actuellement d’un module DDoS attaché à son arsenal. Ceci indique que d’autres propriétaires de botnets tentent de profiter des fluctuations de la devise Bitcoin.
Le développement de nouvelles infections ZeroAccess est resté régulier au cours des 90 derniers jours. Depuis Août 2012, FortiGuard Labs surveille activement ZeroAccess, et l’équipe a constaté une croissance quasiment linéaire en matière de nouvelles infections. Plus récemment, l’équipe a noté 100 000 nouvelles infections par semaine et près de 3 millions d’adresses IP uniques rapportant des infections. On estime que ZeroAccess pourrait générer à ses propriétaires jusqu’à 100 000$ par jour en recettes publicitaires frauduleuses.
L’attaque Wiper touche les entreprises sud coréennes
Une attaque massive de malwares ciblant les institutions financières et réseaux de télévision Sud Coréens en Mars a causé d’énormes dommages, détruisant des milliers de disques durs. FortiGuard Labs, s’appuyant sur son partenariat avec les secteurs publics et privés en Corée du Sud, a découvert des informations relatives à la nature de l’attaque et à la façon dont le malware s’est propagé. La recherche de l’équipe montre que les assaillants ont réussi à reprendre le contrôle des systèmes de gestion des correctifs et utiliser la nature fiable de ces systèmes pour distribuer des malwares dans les réseaux de leurs cibles. Le nettoyage et la remise en état continuent, et les coupables responsables de ces faits restent non identifiés.
Deux nouvelles variantes d’adware se propageant sur les appareils Android
Deux nouvelles variantes d’adware sur les appareils Android, Android.NewyearL.B et Android.Plankton.B, ont provoqué un grand nombre d’infections mondiales au cours des 90 derniers jours.
“Les nouveaux kits de publicité que nous avons observé indiquent que les auteurs font de leur mieux pour éviter la détection,” déclare David Maciejak, chercheur sénior de FortiGuard Labs chez Fortinet. “Il est également possible que Newyear et Plankton soient créés par le même auteur, mais maintenus distincts afin de générer plus d’infections.”
Les deux malwares sont intégrés dans diverses applications et peuvent afficher des publicités, pister les utilisateurs à travers le numéro IMEI du téléphone et modifier l’écran du téléphone.
“La forte augmentation d’adware sur Android peut très vraisemblablement être attribuée aux utilisateurs qui croient installer des applications légitimes contenant un code embarqué d’adware,” déclare Guillaume Lovet, Responsable Senior à FortiGuard Labs. “Cela indique que quelqu’un ou un groupe a été capable de monétiser ces infections, probablement par le biais de programmes illicites d’affiliation publicitaires.”
Les utilisateurs peuvent se protéger en prêtant une attention particulière aux droits demandés par l’application au moment de l’installation. Il est également recommandé de télécharger des applications mobiles qui ont été très bien notées et vérifiées.