Analyse des menaces

Rapport sur le phishing et les malwares - T2 2022 : le trafic des malwares en hausse de 21% au T2

Natalie Petitto

24 août 2022

25 min

Suite au pic de mars 2022, suivi d’une accalmie en avril, le trafic des malwares véhiculés par email est reparti à la hausse en mai et juin. Le phishing, dont le volume a toujours été bien plus important que celui des malwares, a connu des hausses successives tout au long des mois du deuxième trimestre, et plus particulièrement en juin, dont les niveaux alarmants sont comparables à ceux de janvier 2022.

Une évolution en dents de scie

Après une augmentation de 201 % en l’espace d’un mois en mars 2022, le trafic de malwares a plongé de 48 %, passant de 32,9 millions à 17 millions entre mars et avril. Le mois suivant, en mai, nous avons observé une hausse de 31 %, ce qui correspond à 22,4 millions d’emails véhiculant des malwares. En juin, les niveaux étaient encore plus élevés, avec 28,9 millions de malwares détectés, soit une augmentation de 29 % par rapport au mois précédent.

Phishing emails followed a different pattern, increasing each month in Q2. In April, phishing emails increased 23% MoM, (36.6 million) followed by a 12% increase in May (41 million), and an 88% increase in June (77 million).

Q2 Report FR

La tendance est différente pour les emails de phishing, avec une augmentation continue au cours du deuxième trimestre. En avril, les emails de phishing, au nombre 36,6 millions, étaient déjà en hausse de 23 %, avant de continuer sur une hausse de 12 % en mai (41 millions d’emails), et de 88 % en juin (77 millions).

Q2 Report  FR 1

Au cours de la première moitié de l’année 2022, les emails de phishing et de malware ont atteint des sommets. De fait, au premier semestre, Vade a détecté 125 005 545 emails de malware et 315 846 480 emails de phishing. Or , et il est important de le souligner, le nombre d’emails de malware détectés pour toute l’année 2021 par Vade s’élevait à 241 900 915. À moins d’un fort ralentissement au deuxième semestre, le nombre de malwares en 2022 surpassera probablement les volumes enregistrés en 2021.

Les hackers continuent d’exploiter la réputation des marques

Signature du phishing, l’usurpation des marques est l’outil numéro un par les hackers, en s’appuyant sur la confiance des utilisateurs et les pousser à cliquer sur un email de phishing. Au deuxième trimestre, Facebook reste encore la plus grande victime de ce procédé. Au, une entreprise de télécommunication japonaise, est la deuxième marque la plus usurpée à la même période, suivie de Microsoft, Crédit Agricole et WhatsApp. Trimestre après trimestre, la première place est tour à tour occupée par Microsoft et Facebook. Dans l’ensemble, Microsoft a été la marque la plus usurpée au cours du premier trimestre et semestre.

Q2 Report  FR 2

Top 10 des marques usurpées lors d’attaques de phishing au T2 2022, uniquement sur la base des URL de phishing

Au T2, le secteur des services financiers était le plus touché par les usurpations de marque, et représentait 31 % de toutes les URL de phishing uniques détectées par Vade. À la deuxième place, nous retrouvons sans surprise les réseaux sociaux (23 %), Internet/Telco (20 %) et le cloud (17 %).

Q2 Report  FR 3

Neuf marques des services financiers étaient présentes dans le top 25, plus que tout autre secteur présent dans ce classement. Talonné par le secteur Internet/Telco, avec cinq marques présentes dans le classement, suivi du e-commerce et de la logistique, avec quatre marques.

Q2 Report  FR 4

Tendances du phishing et des malwares : un contexte agité et sous forte pression économique

Quels qu’ils soient, les hackers suivent de près l’actualité. À la faveur de l’inflation, des stocks fluctuants et du déclin des cryptomonnaies, les hackers ont profité d’un deuxième trimestre fortement agité et sous pression économique pour agir.

Le malware Emotet court toujours

Revenu sur le devant de la scène après une brève pause en 2021, le malware a fait d’autres victimes parmi les entreprises au deuxième trimestre. En Europe, les attaques ont augmenté de 44 % au T2, avec 70 762 emails, contre 49 216 attaques au T1. Par ailleurs, le volume d’emails piégés avec le malware Emotet est bien plus élevé en Europe que dans le reste du monde. Aux États-Unis, par exemple, on comptait seulement 2 290 emails Emotet, soit une baisse de 32 %. Comme l’indique le tableau ci-dessous, l’activité liée au malware Emotet a connu un pic en avril, avant de diminuer entre avril et début mai, puis de reprendre mi-mai avant de percer à la mi-juin.

Q2 Report  5

Activité d’Emotet au T2 2022

Au motif d’un remboursement d’impôts, un spyware échappe à la vigilance de 47 antivirus

Des emails prétendument envoyés par l’administration fiscale, en réalité des spywares, ont touché plus de 9 000 utilisateurs indiens au mois de juin 2022. Le 6 juin, Vade a été le premier à détecter la campagne lancée par une adresse IP malveillante, avec l’envoi de plus de 1 000 emails. Au 13 juin, plus de 7 000 emails avaient été envoyés.

Expédiés depuis une adresse compromise, ces emails étaient travestis en communication officielle du service des impôts indien (incometaxindia.gov.in) et comprenaient l’objet suivant : « Dernier avertissement après échec de votre paiement d’impôts ». Un lien figurait dans le corps, ainsi que des instructions : « Téléchargez et enregistrez une copie de votre reçu de paiement ci-dessous. »

Q2 Report  6Email de phishing usurpant l’identité du gouvernement indien

Le lien ci-dessous redirige vers un site web qui télécharge une archive nommée « Facture d’imposition » (ou autres noms différents).

Q2 Report  7

Le lien suivant provient du site web légitime d’une entreprise de construction indienne, vraisemblablement compromis.

Q2 Report 8

Le site web final où s’effectue le téléchargement de l’archive malveillante change fréquemment, ce qui permet au hacker d’alterner entre sites web compromis en cas de fermeture d’un des sites ou lorsqu’un lien est mort. L’adresse email compromise permet quant à elle d’éviter la détection, comme illustré ci-dessous dans la vérification SPF.

Q2 Report  9Vérification SPF

Sur 68 programmes antivirus, seuls 21 sont parvenus à détecter le fichier exécutable contenant l’archive, preuve inéluctable de la sophistication de la campagne et de la difficulté globale à détecter le fichier. La menace a enfin été déterminée comme spyware.

Q2 Report  10

Scan VirusTotal

Phishing de la chaîne logistique

En mai 2022, Vade a détecté une attaque de phishing à grande échelle, usurpant le nom de marque Maersk, un des plus grands armateurs du monde, spécialisé dans le transport maritime. Dans un contexte de crise mondiale de la chaîne logistique, qui perturbe les opérations commerciales de nombreuses entreprises, les hackers ont saisi l’occasion de tromper de nombreux utilisateurs. Leur méthode ? Envoyer des emails contenant prétendument des documents d’expédition, qui renvoyaient vers une page de phishing Maersk.

Q2 Report  11

Page de phishing aux couleurs de Maersk

La campagne de phishing, détectée entre janvier 2022 et mai 2022, ciblait plus de 18 000 utilisateurs en Nouvelle-Zélande, qui compte parmi les pays les plus durement touchés par la crise d’approvisionnement.

Arnaques aux NFT

Alors que l’économie mondiale est en proie à l’inflation et à une crise économique qui dure depuis le début de la pandémie, les cryptomonnaies, après leur brève heure de gloire, ont amorcé un déclin progressif qui n’a pas échappé aux hackers. Le 12 juin 2022, Vade a détecté une attaque de phishing, à grande échelle usurpant le nom de marque TrustWallet, un portefeuille de cryptomonnaie.

Q2 Report  12

Email de phishing TrustWallet

L’email de phishing, envoyé à partir d’un compte Zendesk malveillant, invitait l’utilisateur à vérifier son compte au plus vite sur le site de TrustWallet afin d’éviter la suspension de son portefeuille. La page de phishing TrustWallet présente un niveau de détail impressionnant, et sa crédibilité est renforcée par des visuels impeccables.

Q2 Report  13

Page de phishing TrustWallet avec compte à rebours d’ouverture

Q2 Report 14

Page de phishing TrustWallet finale avec phrase de récupération

La boîte de réception : destination no 1 des hackers

La facilité avec laquelle les hackers sont en mesure de lancer des cyberattaques punitives contre une adresse de messagerie fait des emails un vecteur de choix pour les attaques et une menace constante pour les entreprises et les utilisateurs finaux. Les emails de phishing usurpent le nom des marques qui nous semblent les plus fiables : sous couvert d’une communication légitime, le nombre potentiel de victimes est donc immense. Les malwares véhiculés par email sont bien plus simples à distribuer que les attaques à distance, et offrent même aux hackers les moins expérimentés une arme aussi rapide et efficace qu’elle est destructrice.

En réponse, la sécurité de l’email alimentée par IA, combinée à la sensibilisation continue des utilisateurs peut considérablement réduire le risque pour votre entreprise.