Ces 3 chargeurs étaient à l'origine de 80% des intrusions cette année • The Register

Aug 04, 2023

Trois chargeurs de malwares – QBot, SocGholish et Raspberry Robin – sont responsables de 80 % des attaques observées sur les ordinateurs et les réseaux jusqu'à présent cette année.

Le magasin de sécurité ReliaQuest a rapporté vendredi que les principaux logiciels malveillants qui devraient être détectés et bloqués par les défenses informatiques sont QBot (également connu sous le nom de QakBot, QuackBot et Pinkslipbot), le chargeur le plus observé entre le 1er janvier et le 31 juillet, responsable de 30 % des intrusions. tentatives enregistrées. SocGholish est arrivé deuxième avec 27 pour cent, et Raspberry Robin a revendiqué 23 pour cent. Les sept autres chargeurs de la gamme sont loin derrière les trois leaders : Gootloader avec 3 pour cent, et Guloader, Chromeloader et Ursnif avec 2 pour cent.

Comme leur nom l’indique, les chargeurs constituent une étape intermédiaire dans une infection par un logiciel malveillant. Le chargeur est exécuté sur l'ordinateur d'une victime, par exemple, par un malfaiteur exploitant une vulnérabilité ou en envoyant simplement un e-mail contenant une pièce jointe malveillante à ouvrir. Lorsque le chargeur est en cours d'exécution, il sécurise généralement son pied dans le système, en prenant des mesures pour maintenir la persistance, et récupère la principale charge utile du malware à exécuter, qui peut être un ransomware, une porte dérobée ou autre.

Cela donne aux équipes une certaine flexibilité après une intrusion et permet également de masquer les éventuels logiciels malveillants déployés sur une machine. Être capable de repérer et d’arrêter un chargeur pourrait stopper net une infection importante par un logiciel malveillant au sein de votre organisation.

Ces chargeurs provoquent cependant des migraines pour les équipes de sécurité, car comme l'a souligné ReliaQuest, « l'atténuation d'un chargeur peut ne pas fonctionner pour un autre, même s'il charge le même malware ».

Selon l'analyse, QBot, que ReliaQuest décrit comme « le cheval de Troie agile », est un cheval de Troie bancaire vieux de 16 ans qui a depuis évolué pour diffuser des ransomwares, voler des données sensibles, permettre des mouvements latéraux dans les environnements des organisations et déployer du code à distance. logiciel d'exécution.

En juin, le groupe de renseignement sur les menaces Black Lotus Labs de Lumen a découvert le chargeur utilisant de nouvelles méthodes de diffusion de logiciels malveillants et une infrastructure de commande et de contrôle, un quart de celles utilisées étant actives pendant une journée seulement. Cette évolution est probablement une réponse à la décision de Microsoft l'année dernière de bloquer par défaut les macros provenant d'Internet pour les utilisateurs d'Office, selon les chercheurs en sécurité.

"L'agilité de QakBot était évidente dans la réponse de ses opérateurs à la marque du Web de Microsoft (MOTW) : ils ont changé leurs tactiques de livraison, choisissant d'utiliser la contrebande HTML", a déclaré ReliaQuest. "Dans d'autres cas, les opérateurs de QakBot ont expérimenté des types de fichiers pour leurs charges utiles, afin d'échapper aux mesures d'atténuation."

Cela inclut l’utilisation de fichiers OneNote malveillants dans leurs e-mails de phishing, comme ce fut le cas lors d’une campagne de février 2023 ciblant des organisations américaines.

Le chargeur numéro deux, SocGholish, est un morceau de code basé sur JavaScript qui cible Windows. Il a été lié à la société russe Evil Corp et au courtier d'accès initial Exotic Lily, qui s'introduit dans les réseaux d'entreprise et vend ensuite cet accès à d'autres criminels.

SocGholish est généralement déployé via des campagnes de compromission et d'ingénierie sociale, se faisant passer pour une fausse mise à jour qui, une fois téléchargée, dépose le code malveillant sur l'appareil de la victime. À un moment donné, Exotic Lily envoyait plus de 5 000 e-mails par jour à quelque 650 organisations mondiales ciblées, selon le Threat Analysis Group de Google.

L'automne dernier, un groupe criminel identifié comme TA569 a compromis plus de 250 sites Web de journaux américains, puis a utilisé cet accès pour diffuser le logiciel malveillant SocGholish auprès des lecteurs des publications via des publicités et des vidéos malveillantes basées sur JavaScript.

Plus récemment, au premier semestre 2023, ReliaQuest a suivi les opérateurs de SocGholish menant des « attaques agressives de points d'eau ».

"Ils ont compromis et infecté les sites Web de grandes organisations engagées dans des opérations commerciales communes au potentiel lucratif", ont déclaré les chercheurs en menaces. "Des visiteurs sans méfiance ont inévitablement téléchargé la charge utile SocGholish, conduisant à des infections généralisées."

Le top trois est complété par Raspberry Robin, qui cible également les systèmes Windows et a évolué à partir d'un ver qui se propage via des clés USB.