Communiqués de presse

Les chercheurs de Kaspersky ont découvert une nouvelle famille de chevaux de Troie qui cible les utilisateurs de Google Play. Le Cheval de Troie d’abonnement, qu’on appelle Fleckpe, se propage via des éditeurs photos ou des fonds d’écran, abonnant alors les utilisateurs non avertis à des services payant. Fleckpe a infecté plus de 620 000 appareils depuis sa détection en 2022, faisant des victimes à travers le globe.

Une recherche fondée sur l’étude des incidents signalés aux clients de la solution Kaspersky Managed Detection and Response (MDR) a révélé que les analystes SOC ont détecté quotidiennement en 2022 plus de trois incidents de haute gravité avec une implication humaine directe.

En analysant des offres de vente d'applications malveillantes sur Google Play via le Darknet, les experts de Kaspersky ont découvert que certaines applications mobiles malveillantes, ainsi que des comptes de développeurs d’app stores, y sont vendus à des tarifs pouvant atteindre jusqu'à 20 000 USD

En février, les experts de Kaspersky ont découvert une attaque exploitant une vulnérabilité zero-day dans le Common Log File System (CLFS) de Microsoft. Un groupe de cybercriminels a utilisé un exploit développé pour s’adapter à différentes versions du système d'exploitation Windows, y compris Windows 11, et a tenté de déployer le ransomware Nokoyawa par ce biais. Microsoft a attribué la CVE-2023-28252 à cette vulnérabilité et l'a corrigée hier dans le cadre du Patch Tuesday. L'acteur de la menace a également tenté d'exécuter des exploits similaires d'élévation de privilèges dans des attaques contre de petites et moyennes entreprises au Moyen-Orient, en Amérique du Nord, et précédemment en Asie.

Kaspersky a dernièrement investigué sur DeathNote, l'un des clusters du groupe Lazarus. DeathNote s'est radicalement transformé au fil des ans. Actif à partir de 2019, le cluster a d’abord ciblé des entreprises de crypto-monnaies du monde entier, avant d’être responsable, fin 2022, de campagnes ciblées qui ont affecté des entreprises informatiques et des sociétés de défense en Europe, en Amérique latine, en Corée du Sud et en Afrique. Le dernier rapport de Kaspersky fait état de ce changement des cibles de DeathNote ainsi que du développement et du perfectionnement de ses outils, techniques et procédures au cours des quatre dernières années.

Avec la généralisation des appareils connectés, les usages d’Internet se sont accélérés et développés, exposant de plus en plus les enfants et adolescents au risque cyber. Contenu sensible ou choquant, arnaques, doxing, phishing, smishing…les menaces qui rôdent sont multiples et fréquentes. Chiffres à l’appui, la dernière étude de Kaspersky rapporte que 26% des enfants européens et 20 % des adultes ont déjà été victimes d’attaques par phishing.

Kaspersky a enquêté sur une attaque de la chaîne d'approvisionnement lancée par le biais de 3CXDesktopApp, un programme de VoIP très utilisé. Le malware à l'origine de cette attaque, baptisé Gopuram, fait l'objet d'un suivi en interne depuis 2020, mais le nombre d'infections a commencé à augmenter en mars 2023. Le dernier rapport de Kaspersky offre un aperçu sur cette porte dérobée Gopuram, avec une analyse approfondie de la dernière campagne qui a affecté les entreprises, a fortiori les sociétés de crypto-monnaies, et ce dans le monde entier.

En octobre 2022, les chercheurs de Kaspersky ont découvert une campagne de menaces persistantes avancées (APT) ciblant des organisations situées sur les zones particulièrement affectées par le conflit militaire en cours entre l’Ukraine et la Russie. Baptisée CommonMagic, cette campagne d'espionnage, active a minima depuis septembre 2021, exploite un logiciel malveillant jusqu'alors inconnu pour collecter des données concernant ses cibles. Ces dernières comprennent des organisations administratives, agricoles et de transport situées dans les régions de Donetsk, Luhansk et de Crimée.

Kaspersky présente une nouvelle version d’un de ses outils de déchiffrement, servant à aider les victimes d’attaques ransomware basées sur le code source de Conti. Conti est un groupe de ransomware qui domine la scène du cybercrime depuis 2019. Les données relatives à Conti, dont son code-source, ont fuité en mars 2022 à la suite d’un conflit interne lié à la crise géopolitique en Europe. La modification découverte a été diffusée par un groupe de ransomware inconnu ciblant des entreprises et institutions publiques.