© TheDigitalArtist / Pixabay
© TheDigitalArtist / Pixabay

Voleur d'informations et à la source de ransomwares, IcedID a été extrêmement actif dans le monde le mois dernier, et plus particulièrement en France.

Les logiciels malveillants n'apparaissent pas tous du jour au lendemain, mais certains se placent dans un sommeil tout relatif, parfois pendant plusieurs mois et années. Et lorsqu'ils se réveillent, les dégâts sont souvent considérables. C'est ce qui est arrivé au mois de mars avec IcedID, un cheval de Troie bancaire qui fut le malware ayant frappé le plus d'entreprises en France, devant les célèbres Qbot et Dridex.

IcedID, diffusé via une campagne massive autour de la Covid-19

En France, IcedID (86 %), Qbot (72 %) et Dridex (50 %) sont les logiciels malveillants ayant principalement sévi au mois de mars, comme l'indiquent les spécialistes cyber de Check Point Research. C'est la première fois que le trojan bancaire IcedID apparaît si haut dans le classement.

Sur le plan mondial, IcedID s'est très rapidement répandu au cours du mois de mars, touchant autour de 11 % des entreprises du globe. Pour sévir, les pirates informatiques ont lancé plusieurs campagnes de spam. L'une d'elles, de grande ampleur, a été diffusée sous le sceau de la Covid-19, de façon à inciter les potentielles victimes à ouvrir des pièces-jointes vérolées qui, sous la forme de documents Word, contiennent une macro malveillante, permettant de déposer le programme d'installation d'IcedID. Une fois installé, le cheval de Troie dérobe les informations des comptes de l'utilisateur, ses données bancaires notamment, et d'autres informations critiques dénichées sur son PC.

Mais IcedID, découvert pour la première fois en 2017, ne s'arrête pas à cette seule propriété. Le trojan fait aussi appel à d'autres malwares pour se propager, et il est exploité par certains hackers comme l'étape initiale de l'infection dans certaines campagnes de ransomware. L'injection de processus et la stéganographie (l'art de la dissimulation) restent ses principales techniques évasives pour dérober des données financières.

Le mobile a aussi son lot de puissants malwares

Le cheval de Troie bancaire Dridex, qui vise les ordinateurs Windows et se télécharge via une pièce-jointe contenue dans un email, était le logiciel malveillant le plus diffusé au monde au mois de mars, avec un impact auprès de 16 % des entreprises de la planète. En troisième position, derrière Dridex et IcedID, on retrouve Lokibot, qui se diffuse dans des courriers électroniques de phishing pour voler des identifiants de messagerie, mais aussi des mots de passe de portefeuilles de CryptoCoin et des serveurs FTP.

Sur mobile, d'autres malwares ont été particulièrement virulents ces dernières semaines. Hiddad, le plus diffusé en mars, est un logiciel malveillant qui sévit sur Android en reconditionnant des applications légitimes, pour les libérer ensuite dans un magasin tiers. Il permet d'afficher des annonces et peut aussi accéder à des détails de sécurité intégrés au système d'exploitation mobile de Google.

L'application malveillante xHelper, découverte il y a deux ans, est la seconde la plus diffusée sur mobile. Elle permet de télécharger d'autres applications néfastes et d'afficher des publicités. Même en cas de désinstallation de la part de l'utilisateur, elle est capable de se réinstaller.