Rapport ESET sur les menaces – deuxième trimestre 2022

Les quatre derniers mois ont été le temps des vacances d'été pour beaucoup d'entre nous dans l'hémisphère nord. Il semble que certains opérateurs de logiciels malveillants aient également profité de cette période pour éventuellement se reposer, se recentrer et réanalyser leurs procédures et activités actuelles.

D'après notre télémétrie, le mois d'août a été un mois de vacances pour les opérateurs d'Emotet, la souche de téléchargeurs la plus influente. Le gang à l'origine de cette souche s'est également adapté à la décision de Microsoft de désactiver les macros VBA dans les documents provenant d'Internet et s'est concentré sur des campagnes basées sur de l’instrumentalisation de fichiers Microsoft Office et des fichiers LNK.

Au T2 2022, nous avons assisté à la poursuite de la forte baisse des attaques par le protocole de bureau à distance (RDP), qui ont probablement continué à s'essouffler en raison de la guerre entre la Russie et l'Ukraine, ainsi que du retour dans les bureaux après la campagne COVID et de l'amélioration générale de la sécurité des environnements d'entreprise.

Même avec des chiffres en baisse, les adresses IP russes ont continué à être responsables de la plus grande partie des attaques RDP. En T1 2022, la Russie était également le pays le plus ciblé par les ransomwares, certaines de ces attaques étant motivées par la guerre sur le plan politique ou idéologique. Cependant, comme vous pourrez le lire dans le rapport ESET sur les menaces T2 2022, cette vague d'hacktivisme a décliné en T2, et les opérateurs de ransomware ont tourné leur attention vers les États-Unis, la Chine et Israël.

En ce qui concerne les menaces qui touchent principalement les particuliers, nous avons constaté une multiplication par six des détections de leurres de phishing sur le thème de l'expédition, présentant la plupart du temps aux victimes de fausses demandes de DHL et USPS pour vérifier les adresses d'expédition.

Le regroupement de groupes cybercriminels connu sous le nom de Magecart, dont le nombre a été multiplié par trois en T1 2022, est resté la principale menace s'attaquant aux données des cartes de crédit des acheteurs en ligne. La chute des taux de change des crypto-monnaies a également eu une incidence sur les menaces en ligne : les criminels se sont tournés vers le vol de crypto-monnaies au lieu de les extraire, comme en témoignent le doublement des tentatives de phishing sur le thème des crypto-monnaies et l'augmentation du nombre de voleurs de crypto-monnaies.

Les quatre derniers mois ont également été intéressants en termes de recherche. Nos chercheurs ont découvert une porte dérobée macOS inconnue jusqu'alors et l'ont ensuite attribuée à ScarCruft, ont découvert une version mise à jour du loader de logiciels malveillants ArguePatch du groupe APT Sandworm, ont découvert des charges utiles Lazarus dans des applications trojanisées et ont analysé une instance de la campagne de Lazarus Operation In(ter)ception ciblant les appareils macOS dans le cadre d'un harcèlement moral en crypto-monnaies. Ils ont également découvert des vulnérabilités de dépassement de tampon dans le micrologiciel UEFI de Lenovo et une nouvelle campagne utilisant une fausse mise à jour de Salesforce comme appât.

Au cours des derniers mois, nous avons continué à partager nos connaissances lors des conférences de cybersécurité Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon et BSides Montréal, où nous avons divulgué nos découvertes sur les campagnes déployées par OilRig, APT35, Agrius, Sandworm, Lazarus et POLONIUM. Nous avons également parlé de l'avenir des menaces UEFI, disséqué le chargeur unique que nous avons nommé Wslink, et expliqué comment ESET Research procède à l'attribution des menaces et des campagnes malveillantes. Pour les mois à venir, nous sommes heureux de vous inviter aux conférences ESET à AVAR, Ekoparty, et bien d'autres.

Je vous souhaite une lecture instructive.

ESET Threat Report T2 2022

Read full report

Suivez ESET Recherche sur Twitter