Fortinet vient de publier les résultats de sa recherche sur les principales menaces menée par FortiGuard au cours de la période du 1er Octobre au 31 Décembre 2012. FortiGuard Labs a étudié des échantillons de malwares qui montrent quatre méthodes typiquement utilisées par les cybercriminels aujourd’hui pour soutirer de l’argent à leurs victimes. En outre, le rapport montre une augmentation de l’activité des variantes de malwares sur mobiles en matière de kits de publicité Plankton sur Android ainsi qu’une hausse des scans de vulnérabilités des serveurs Web par les hacktivistes.
Quatre Malwares permettant de Gagner de l’Argent à Surveiller en 2013
Au cours des trois derniers mois, FortiGuard Labs a identifié quatre épidémies de malwares, montrant des niveaux d’activités élevés dans un délai de temps très court (allant d’une journée à une semaine). Ces derniers révèlent quatre méthodes typiquement utilisées par les cybercriminels aujourd’hui pour monétiser leurs malwares:
1. Simda.B: Ce malware sophistiqué se fait passer pour une mise à jour Flash pour inciter les utilisateurs à accepter la totalité des droits d’installation. Une fois installé, le malware vole les mots de passes de l’utilisateur, ce qui permet aux cybercriminels d’infiltrer les comptes des réseaux sociaux et emails de la victime pour spammer ou propager des malwares, d’accéder aux comptes admin des sites Web pour héberger des sites malveillants et détourner de l’argent des comptes des systèmes de paiement en ligne.
2. FakeAlert.D: Ce faux antivirus signale aux utilisateurs via une fenêtre pop-up d’apparence convaincante que leur ordinateur a été infecté par des virus, et que, moyennant des frais, le faux antivirus supprimera les virus de l’ordinateur de la victime.
3. Ransom.BE78: C’est un rançongiciel (ransomware en anglais), un malware frustrant qui empêche les utilisateurs d’accéder à leurs données personnelles. Typiquement, soit l’infection empêche de démarrer la machine de l’utilisateur, soit elle crypte les données stockées de la machine de la victime, puis exige le paiement pour recevoir la clé qui lui permettra de les décrypter. La principale différence entre le ransomware et le faux antivirus est que le ransomware ne donne pas le choix à la victime concernant l’installation. Le ransomware s’auto-installe sur la machine de l’utilisateur puis exige le paiement pour être supprimé du système.
4. Zbot.ANQ: Ce cheval de Troie est le composant “du côté client ” d’une version du fameux kit Zeus. Il intercepte les tentatives de connexion bancaire en ligne de l’utilisateur puis utilise l’ingénierie social pour inciter les utilisateurs à installer un composant mobile du malware sur leurs smartphones. Une fois que l’élément mobile est installé, les cybercriminels peuvent alors intercepter les SMS de confirmation bancaire, et par la suite, transférer les fonds à un compte de passeur d’argent (money mule en anglais).
“Bien que les méthodes de monétisation des malwares ont évolué au fil des années, les cybercriminels semblent aujourd’hui être plus ouverts et frontaux dans leurs demandes d’argent − pour des rendements plus rapides,” déclare Guillaume Lovet, Responsable Sénior de l’Equipe Réponses aux Menaces FortiGuard Labs de Fortinet. “Dorénavant, il ne s’agit pas seulement de voler des mots de passe en toute discrétion, il s’agit aussi d’intimider les utilisateurs infectés en les faisant payer. Les mesures de protection élémentaires que les utilisateurs peuvent prendre cependant n’ont pas changé. Ils devraient avoir des solutions de sécurité installées sur leurs ordinateurs, mettre à jour constamment leurs logiciels avec les dernières versions et correctifs, effectuer des scans réguliers et faire preuve de bon sens.”
Les Kits de Publicités sur Mobiles Android
Dans le dernier rapport sur les principales menaces, FortiGuard Labs a détecté une forte augmentation des kits de publicités Plankton sur Android. Cet élément de certaines applications intègre un ensemble d’outils communs qui affichent des publicités non désirées sur la barre d’état du téléphone, pistent l’utilisateur à travers leur numéro IMEI (International Mobile Equipment Identity) et ajoutent des icônes sur l’écran de l’appareil.
Au cours des trois derniers mois, l’activité du kit a diminué. A la place, FortiGuard Labs a détecté la hausse des kits de publicités qui semblent être directement inspirés de Plankton et qui ont atteint le même niveau élevé d’activités que Plankton il y a trois mois.
“L’activité des kits de publicités que nous avons observés indiquent soit, que les auteurs essaient d’éviter la détection, soit, que d’autres auteurs de Plankton tentent eux-aussi d’avoir une part du gâteau publicitaire. Quoiqu’il en soit, le niveau d’activités que nous avons constaté avec les kits de publicités aujourd’hui indiquent que les utilisateurs Android sont très ciblés et donc devraient être particulièrement vigilants lorqu’ils téléchargent des applications sur leurs smartphones,” déclare Guillaume Lovet.
Les utilisateurs peuvent se protéger en prêtant une attention particulière aux droits demandés par l’application au moment de l’installation. Il est également recommandé de télécharger des applications mobiles qui ont été très bien notées et vérifiées.
L’Outil de Scan des Hacktivistes Passe à la Vitesse Supérieure
Au troisième trimestre de 2012, FortiGuard Labs a détecté des niveaux d’activités élevés de ZmEu, un outil qui a été développé par des hackers Roumains pour scanner les serveurs Web fonctionnant sur des versions vulnérables du logiciel d’administration MySQL (phpMyAdmin) dans le but de prendre le contrôle de ces serveurs. Depuis Septembre, le niveau d’activités a été multiplié par neuf avant de se stabiliser finalement en Décembre.
“Ce pic d’activité indique un regain d’intérêt par les groupes d’hacktivistes pour faciliter les différents mouvements de protestation et activistes dans le monde. Nous nous attendons à ce qu’une telle activité de scans demeure élevée car les hacktivistes mènent de plus en plus de causes et font connaitre leurs succès,” poursuit Guillaume Lovet.
Pour sécuriser les serveurs Web contre cette menace, FortiGuard Labs recommande la mise à jour de la dernière version de PhPMyAdmin.