© TheDigitalArtist / Pixabay
© TheDigitalArtist / Pixabay

Le démantèlement d'Emotet en janvier n'a pas ralenti les activités des groupes cybercriminels. Ils se reportent depuis sur les alternatives Qbot et Trickbot.

La disparition du malware le plus dangereux au monde, Emotet, est progressivement en train de rebattre les cartes de la cybercriminalité. Alors qu'il n'était que le quatrième logiciel malveillant le plus répandu sur le globe en 2020, Trickbot, le cheval de Troie bancaire qui sévit sur Windows, est devenu en février le malware le plus diffusé au monde. En France, c'est Qbot, un trojan très ancien, qui a frappé le plus d'entreprises le mois dernier.

Pendant que Trickbot fait des dégâts dans le monde…

Le dernier rapport de Check Point Research fait état d'une importante activité de Trickbot, qui a eu un impact de 3,17 % auprès des entreprises mondiales, et un effet moindre en France, à hauteur de 1,95 %. Le cheval de Troie bancaire a essentiellement sévi au travers d'une campagne de spams incitant les utilisateurs issus des secteurs juridique et de l'assurance à télécharger un fichier .ZIP sur leur PC.

Le petit dossier contenait un fichier JavaScript malveillant. Une fois celui-ci ouvert, il tente alors de télécharger une autre charge utile toute aussi malveillante, le tout depuis un serveur distant.

En 2020, Trickbot, qui avait impacté 8 % des organisations, était parvenu à frapper le Universal Health Services (UHS), l'un des fournisseurs majeurs de soins de santé aux États-Unis. UHS fut d'ailleurs aussi touché par le rançongiciel Ryuk. Des attaques qui ont coûté à l'organisation la bagatelle de 67 millions de dollars en pertes de revenus et en frais.

…Qbot fait mal en France

Troisième logiciel malveillant le plus répandu au monde en février, Qbot a fait plus de dégâts en France, où il a ciblé 9,22 % des organisations du pays. Apparu en 2008, le cheval de Troie bancaire est souvent diffusé par le biais de campagnes de spam, dans le but de voler les informations d'identification bancaires et de capter les frappes au clavier des utilisateurs.

Pour faire son œuvre, Qbot utilise plusieurs techniques anti-machines virtuelles et anti-sandbox, qui viennent faire barrage au moment de l'analyse de la solution antivirus, et permettent au malware de ne pas être détecté.

Le logiciel de minage de CPU open source, XMrig, d'ailleurs utilisé sur la crypto-monnaie Monero, est apparu pour la première fois en mai 2017. Il figurait, en février, à la deuxième place du classement des malwares les plus diffusés au monde, avec un impact global de 3,08 %. La France, elle, est restée relativement épargnée par le logiciel (1,3%).