Les quatre derniers mois ont été la période des vacances d'été pour beaucoup d'entre nous dans l'hémisphère nord. Il semble que certains opérateurs de logiciels malveillants aient également profité de cette période pour éventuellement se reposer, se recentrer et réanalyser leurs procédures et activités actuelles.

D'après notre télémétrie, le mois d'août était un mois de vacances pour les opérateurs de Emotet, la variété de téléchargement la plus influente. Le gang derrière cela s'est également adapté à la décision de Microsoft de désactiver les macros VBA dans les documents provenant d'Internet et s'est concentré sur des campagnes basées sur des fichiers Microsoft Office et des fichiers LNK militarisés.

Au T2 2022, nous avons constaté la poursuite de la forte baisse des attaques RDP (Remote Desktop Protocol), qui ont probablement continué de s'essouffler en raison de la guerre russo-ukrainienne, ainsi que le retour aux bureaux post-COVID et l'amélioration globale de la sécurité des environnements d'entreprise.

Même avec des nombres en baisse, les adresses IP russes ont continué d'être responsables de la plus grande partie des attaques RDP. Au T1 2022, la Russie était également le pays le plus ciblé par les ransomwares, certaines des attaques étant politiquement ou idéologiquement motivées par la guerre. Cependant, comme vous le lirez dans le rapport ESET Threat Report T2 2022, cette vague d'hacktivisme a diminué en T2, et les opérateurs de ransomwares ont tourné leur attention vers les États-Unis, la Chine et Israël.

En termes de menaces affectant principalement les utilisateurs à domicile, nous avons constaté une multiplication par six des détections de leurres de phishing sur le thème de l'expédition, présentant la plupart du temps aux victimes de fausses demandes DHL et USPS pour vérifier les adresses d'expédition.

Un écumeur Web connu sous le nom de Magecart, qui a triplé au T1 2022, est resté la principale menace après les détails de carte de crédit des acheteurs en ligne. La chute des taux de change des crypto-monnaies a également affecté les menaces en ligne - les criminels se sont tournés vers le vol des crypto-monnaies au lieu de les exploiter, comme en témoigne la multiplication par deux des leurres de phishing sur le thème des crypto-monnaies et le nombre croissant de crypto-voleurs.

Les quatre derniers mois ont également été intéressants en termes de recherche. Nos chercheurs ont découvert une inconnue jusqu'alors porte dérobée macOS et l'attribua plus tard à ScarCruft, découvrit une version mise à jour du groupe Sandworm APT Chargeur de logiciels malveillants ArguePatch, découvert Lazare charges utiles in applications cheval de Troie, et a analysé une instance du Lazare Campagne Opération In(ter)ception ciblant les appareils macOS tout en harponnant dans les crypto-eaux. Ils ont également découvert vulnérabilités de dépassement de mémoire tampon dans le micrologiciel Lenovo UEFI et une nouvelle campagne utilisant un fausse mise à jour de Salesforce comme leurre.

Au cours des derniers mois, nous avons continué à partager nos connaissances lors des conférences sur la cybersécurité Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon et BSides Montréal, où nous avons divulgué nos conclusions sur les campagnes déployées par OilRig, APT35, Agrius, Sandworm, Lazare et POLONIUM. Nous avons également parlé de l'avenir des menaces UEFI, disséqué le chargeur unique que nous avons nommé Wslink et expliqué comment ESET Research attribue les menaces et les campagnes malveillantes. Pour les mois à venir, nous sommes heureux de vous inviter aux discussions ESET à AVAR, Ekoparty et bien d'autres.

Je vous souhaite une lecture éclairée.

FOLLOW Recherche ESET sur Twitter pour des mises à jour régulières sur les tendances clés et les principales menaces.