De faux recruteurs diffusent un cheval de Troie bancaire via des applications malveillantes - Actus du 10/12/2024
Découvrez comment la nouvelle faille RCE zero-day de Cleo facilite les attaques de vol de données, tandis que des faux recruteurs diffusent des chevaux de Troie bancaires via des applications malveillantes dans une escroquerie de phishing sophistiquée. Protégez vos informations !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
La nouvelle faille RCE zero-day de Cleo exploitée dans des attaques de vol de données
Des hackers exploitent activement une vulnérabilité zero-day dans le logiciel de transfert de fichiers géré par Cleo, affectant des produits tels que Cleo LexiCom, VLTrader et Harmony. Cette faille, identifiée comme CVE-2023-34362, permet une exécution de code à distance, mais le correctif proposé s'est avéré incomplet, laissant la porte ouverte aux cyberattaques. Cleo, utilisé par 4 000 entreprises, dont Target et Walmart, est confronté à des attaques similaires à celles du groupe Clop, qui avaient précédemment exploité des failles dans d'autres logiciels de transfert. Les experts relient ces attaques à un nouveau groupe de ransomware, Termite, qui a récemment ciblé Blue Yonder. Les chercheurs de Huntress ont détecté ces exploitations et recommandent de protéger les systèmes Cleo exposés à Internet derrière un pare-feu. Les attaques impliquent l'écriture de fichiers malveillants dans des répertoires spécifiques, permettant aux attaquants d'accéder à des données sensibles. Huntress a identifié au moins dix organisations touchées, principalement aux États-Unis. Les utilisateurs doivent désactiver la fonction d'autorun et vérifier les fichiers suspects pour éviter des compromissions. Un nouveau correctif est attendu prochainement.
Sources :
Au cœur de l'incident : découverte d'une attaque de phishing avancée
L'article de Tom Barnea, spécialiste en sécurité chez Varonis, explore une attaque de phishing sophistiquée qui a réussi à infiltrer une organisation. L'incident a commencé par un e-mail malveillant intitulé "ML Payment #05323", prétendument envoyé par le PDG d'une grande entreprise de transport maritime, rendant la détection difficile pour les utilisateurs non avertis. Le lien dans le message, bien que semblant protéger contre les attaques de prise de contrôle de compte (ATO), était en réalité un piège. L'attaquant a utilisé des plateformes légitimes, comme AWS, pour héberger un PDF malveillant, ce qui a permis de contourner les filtres de sécurité des e-mails. Après avoir accédé à l'environnement M365 de la victime, l'attaquant a créé une règle de suppression pour masquer ses traces. Grâce à une réponse rapide de l'équipe de sécurité du client, qui a désactivé le compte et réinitialisé les identifiants en moins de 30 minutes, l'attaque a été contenue. L'enquête a révélé que cet incident faisait partie d'une campagne de phishing plus large, utilisant des tactiques avancées pour tromper les utilisateurs et échapper à la détection.
Sources :
De faux recruteurs diffusent un cheval de Troie bancaire via des applications malveillantes dans le cadre d'une escroquerie par phishing
Des chercheurs en cybersécurité ont mis en lumière une campagne de phishing mobile sophistiquée, visant à distribuer une version mise à jour du trojan bancaire Antidot. Les attaquants se présentent comme des recruteurs, attirant des victimes avec des offres d'emploi alléchantes. Dans le cadre de ce processus frauduleux, les victimes sont incitées à télécharger une application malveillante qui agit comme un dropper, installant finalement la variante mise à jour d'Antidot sur leur appareil. Cette nouvelle version, surnommée AppLite Banker, est capable de siphonner des codes de déverrouillage et de prendre le contrôle à distance des appareils infectés. Les attaques utilisent diverses stratégies d'ingénierie sociale, promettant des opportunités d'emploi avec un taux horaire compétitif. Les victimes, après avoir interagi avec le prétendu recruteur, sont dirigées vers une page de phishing pour télécharger l'application malveillante. Zimperium a découvert un réseau de domaines frauduleux utilisés pour distribuer des fichiers APK malveillants. Ce malware, en plus de voler des informations sensibles, peut interagir avec l'écran de verrouillage et empêcher sa désinstallation. Les utilisateurs parlant plusieurs langues, dont le français, sont ciblés. Il est crucial d'adopter des mesures de protection robustes contre de telles menaces.
Sources :
PopeyeTools : démantèlement d’une place de marché criminelle spécialisée dans les CB
L'opération « SHIPWRECKED » a conduit à l'inculpation de trois administrateurs présumés de PopeyeTools, une plateforme de vente de données personnelles volées, qui a généré 1,7 million de dollars en exploitant les informations de 227 000 victimes. Les inculpés, Abdul Ghaffar et Abdul Sami du Pakistan, ainsi que Javed Mirza d'Afghanistan, risquent jusqu'à 10 ans de prison pour complot en vue de commettre une fraude et trafic de dispositifs d’accès. PopeyeTools se distinguait par ses politiques commerciales, offrant des remboursements pour les données invalides, rendant l'accès à ces informations frauduleuses accessible à de nombreux criminels. L'opération, menée par le ministère de la Justice américain en collaboration avec les autorités britanniques et malaisiennes, a permis la fermeture de la plateforme et la saisie de domaines et de cryptomonnaies, perturbant un réseau criminel actif depuis 2016. Cette affaire souligne l'importance de la coopération internationale dans la lutte contre les cybercrimes et met en lumière la sophistication croissante des plateformes criminelles en ligne. Les autorités continuent d'enquêter pour identifier d'autres acteurs impliqués, rappelant aux entreprises et aux particuliers la nécessité de protéger leurs données personnelles.
Sources :
L'avenir de la sécurité des réseaux : tests d'intrusion internes et externes automatisés
Les tests de pénétration traditionnels, bien que efficaces, présentent des limites en raison de leur coût élevé, de leurs exigences en ressources et de leur mise en œuvre peu fréquente. Les solutions automatisées de pentesting, tant internes qu'externes, révolutionnent la cybersécurité en permettant aux organisations de réaliser des évaluations de sécurité fréquentes, complètes et rentables. Les tests internes aident à détecter les menaces internes et à valider les plans de réponse aux incidents, tandis que les tests externes renforcent les défenses périmétriques contre les accès non autorisés. Ensemble, ces approches offrent une vue d'ensemble de la posture de sécurité d'une organisation, permettant de réduire les risques avant qu'ils ne se transforment en violations. L'automatisation permet des tests mensuels ou à la demande, garantissant une préparation constante. De plus, les solutions automatisées fournissent des résultats détaillés et des recommandations de remédiation, facilitant la conformité réglementaire. En résumé, vPenTest permet aux équipes informatiques de passer d'une sécurité réactive à une approche proactive, en s'assurant que les vulnérabilités sont traitées avant d'être exploitées, ce qui est essentiel face à l'évolution constante des menaces cybernétiques.
Sources :
La panne de Microsoft 365 entraîne la désactivation des applications Web Office et du centre d'administration
Le 10 décembre 2024, Microsoft a signalé une panne généralisée affectant Microsoft 365, notamment les applications web Office et le centre d'administration. Les utilisateurs ont rencontré des difficultés pour accéder à Outlook, OneDrive et d'autres services, recevant des messages d'erreur indiquant une interruption de service. Microsoft a indiqué que l'enquête se concentrait sur un problème de génération de jetons au sein de son infrastructure d'authentification, tout en examinant les modifications récentes pour identifier la cause profonde. Les utilisateurs touchés ont été conseillés d'utiliser les applications de bureau comme solution temporaire. Bien que les pages de statut des services de Microsoft ne montrent pas de problèmes, cette panne survient après une interruption similaire survenue deux semaines auparavant, qui avait également affecté plusieurs services. Microsoft a testé et déployé un correctif pour résoudre le problème, qui était lié à une modification récente ayant perturbé l'identification du temps d'expiration des jetons, entraînant des échecs dans les demandes d'authentification. Après une période de surveillance, la société a confirmé que le problème était désormais résolu.
Sources :
Des pirates chinois utilisent les tunnels de Visual Studio Code pour l'accès à distance
Des hackers chinois ciblant des fournisseurs de services informatiques en Europe du Sud ont été observés utilisant des tunnels de Visual Studio Code (VSCode) pour maintenir un accès à distance persistant à des systèmes compromis. Cette méthode exploite la fonctionnalité de développement à distance de Microsoft, permettant un accès sécurisé aux systèmes distants. Les tunnels sont établis via l'infrastructure Azure de Microsoft, rendant l'accès légitime et difficile à détecter. Cette campagne, nommée 'Operation Digital Eye', a eu lieu entre juin et juillet 2024 et a été identifiée par SentinelLabs et Tinexta Cyber. Bien que des preuves pointent vers le groupe STORM-0866, l'identité exacte des attaquants reste incertaine. Les hackers ont initialement accédé aux systèmes cibles via une injection SQL automatisée, déployant ensuite un webshell PHP pour exécuter des commandes à distance. Ils ont utilisé une version portable de VSCode pour établir un service Windows persistant, permettant un accès continu. Les chercheurs recommandent de surveiller les lancements suspects de VSCode et de restreindre l'utilisation des tunnels à distance. Cette technique, bien que rare, pourrait devenir plus courante, nécessitant une vigilance accrue des défenseurs.
Sources :
Cyberattaque contre IGT : le géant du jeu et de la loterie tente de rétablir ses systèmes
International Game Technology (IGT), un leader mondial dans le secteur des jeux, a récemment subi une cyberattaque majeure qui a perturbé ses opérations. Survenue dimanche dernier, cette attaque a contraint l'entreprise à désactiver plusieurs systèmes pour protéger ses infrastructures, entraînant des interruptions significatives dans ses services. IGT a informé la Securities and Exchange Commission qu'une enquête était en cours et que des solutions temporaires avaient été mises en place pour continuer à servir ses clients. Bien qu'aucun groupe n'ait revendiqué la responsabilité de l'attaque, cet incident rappelle les menaces croissantes pesant sur l'industrie du jeu, qui a déjà été ciblée par des cybercriminels, comme en témoigne l'attaque contre MGM Resorts. IGT n'a pas encore évalué l'impact financier de cette cyberattaque, mais des précédents montrent que les conséquences peuvent être lourdes, tant sur le plan économique que réputationnel. Avec un chiffre d'affaires annuel dépassant les 2 milliards de dollars, toute interruption prolongée pourrait affecter durablement sa performance. L'incident souligne la vulnérabilité des infrastructures numériques, même pour des entreprises technologiquement avancées, et la nécessité de renforcer la cybersécurité dans ce secteur.
Sources :
Démantèlement d'un gang de phishing par téléphone : huit personnes arrêtées en Belgique et aux Pays-Bas
Les autorités belges et néerlandaises ont arrêté huit suspects liés à un gang de "phishing téléphonique" principalement actif aux Pays-Bas, visant à dérober des données financières et des fonds. Dans le cadre d'une opération internationale, 17 perquisitions ont été menées, entraînant la saisie d'importantes sommes d'argent, d'armes à feu, ainsi que d'appareils électroniques, de montres de luxe et de bijoux. Les suspects ont mené des campagnes de phishing à grande échelle, se faisant passer pour des policiers ou des employés de banque, et ciblant particulièrement les personnes âgées. Ils envoyaient des messages frauduleux par email, SMS et WhatsApp, incitant les victimes à cliquer sur des liens pour capturer leurs informations. Les fonds volés ont été utilisés pour des vacances luxueuses en Espagne et pour acheter des articles de marques prestigieuses. L'enquête, initiée par les autorités belges en 2022, a révélé que l'organisation était dirigée depuis Rotterdam. Parmi les suspects arrêtés, quatre sont originaires de différentes villes néerlandaises, et un cinquième a été interpellé en Belgique. Les criminels ont dépensé l'argent volé lors de fêtes dans des clubs huppés, partageant leurs excès sur les réseaux sociaux.
Sources :
Des pirates informatiques utilisent les tunnels distants de Visual Studio Code comme arme de cyberespionnage
Un groupe de cyberespionnage soupçonné d'être lié à la Chine a mené des attaques ciblant des fournisseurs de services informatiques en Europe du Sud, dans le cadre d'une campagne nommée Opération Digital Eye. Les intrusions, détectées et neutralisées entre fin juin et mi-juillet 2024, ont été attribuées à des acteurs malveillants utilisant Visual Studio Code et l'infrastructure Microsoft Azure pour des activités de commandement et de contrôle. Les chercheurs de SentinelOne et Tinexta Cyber ont noté que ces attaques auraient pu permettre aux intrus d'établir des points d'ancrage stratégiques. Les chaînes d'attaque observées impliquent des injections SQL pour accéder aux applications et serveurs, suivies du déploiement d'un shell web PHP, PHPsert, pour maintenir un accès persistant. Des éléments tels que des commentaires en chinois simplifié et l'utilisation d'infrastructures roumaines renforcent l'hypothèse d'une implication chinoise. Les opérateurs étaient actifs pendant les heures de travail en Chine, soulignant la nature stratégique de ces attaques. En exploitant des outils de développement légitimes, les groupes APT chinois cherchent à dissimuler leurs activités malveillantes, ce qui leur permet d'infiltrer la chaîne d'approvisionnement numérique.
Sources :
Opération Destabilise : démantèlement de réseaux russes de blanchiment et cybercrime
Une enquête internationale a révélé un réseau complexe de criminalité transnationale reliant trafiquants de drogue, cybercriminels, élites russes et opérations d'espionnage. À ce jour, 84 arrestations ont été effectuées, dont celle d'Ekaterina Zhdanova en France, accusée d'avoir soutenu le groupe Trickbot/Conti/Ryuk. Cette opération met en lumière un système de blanchiment d'argent sophistiqué, orchestré par les réseaux Smart et TGR Group basés à Moscou, facilitant des transferts d'argent en contournant les sanctions. L'utilisation de cryptomonnaies a été particulièrement efficace pour financer des activités criminelles et étatiques russes. Les investigations ont révélé des liens entre cybercriminalité, trafic de drogue et espionnage, créant un écosystème criminel mondial. L'opération Destabilise, la plus importante de la NCA en dix ans, a eu un impact significatif sur les finances des groupes criminels, perturbant leurs opérations et les contraignant à augmenter leurs commissions. Bien que la NCA n'ait pas confirmé de liens avec un réseau d'espionnage bulgare récemment démantelé, l'enquête souligne comment la criminalité organisée utilise la technologie pour blanchir des milliards à l'échelle mondiale, illustrant la nécessité d'une coopération internationale renforcée.
Sources :
Crimenetwork : un administrateur présumé de la plus grande place de marché criminelle germanophone arrêté
La police allemande a récemment démantelé Crimenetwork, la plus grande place de marché criminelle germanophone, active depuis 2012, et a arrêté un administrateur présumé. Cette opération a permis la saisie de données et d'actifs significatifs, marquant un tournant dans la lutte contre la cybercriminalité en Allemagne. Crimenetwork, qui comptait plus de 100 000 utilisateurs et 100 vendeurs, a généré environ 95 millions de dollars en bitcoins et 4 millions en Monero depuis 2018. Les transactions sur cette plateforme se faisaient principalement en cryptomonnaies, offrant un certain anonymat aux utilisateurs. La fermeture de Crimenetwork s'inscrit dans une série d'actions internationales visant à démanteler des réseaux criminels, illustrant une coopération accrue entre les forces de l'ordre à l'échelle mondiale. Bien que ces mesures ne suppriment pas totalement la menace de la cybercriminalité, elles perturbent considérablement les infrastructures criminelles et permettent d'envisager d'autres arrestations. Ce démantèlement représente une victoire significative dans la lutte contre la cybercriminalité, tout en soulignant l'importance d'une vigilance continue face à ces menaces. Les efforts pour traquer ces plateformes se poursuivent, avec des actions récentes contre d'autres services illégaux.
Sources :
Campagnes de phishing et de logiciels malveillants en cours en décembre 2024
Les cyberattaquants continuent d'innover pour compromettre leurs cibles. Un rapport d'ANY.RUN met en lumière plusieurs attaques récentes. Tout d'abord, une attaque de type "zero-day" utilise des fichiers Word et des archives ZIP corrompus, échappant à la détection des systèmes de sécurité. Ces fichiers, une fois ouverts, restaurent des contenus malveillants, permettant aux attaquants d'infecter les systèmes. Ensuite, une attaque par malware sans fichier, via un script PowerShell, déploie le Quasar RAT sur les appareils infectés. Ce processus utilise des techniques de Living off the Land pour injecter le malware dans des processus légitimes, sans laisser de traces sur le disque dur. Enfin, les cybercriminels exploitent le stockage Azure pour héberger des pages de phishing, trompant les victimes en leur faisant croire à la légitimité des formulaires de connexion. Ces attaques utilisent des scripts sophistiqués pour exfiltrer les informations d'identification des utilisateurs. Pour contrer ces menaces, ANY.RUN propose un environnement de sandbox interactif permettant d'analyser les malwares et les attaques de phishing en toute sécurité, avec des fonctionnalités de détection en temps réel et de journalisation des activités malveillantes.
Sources :
Le CERT-UA met en garde contre des attaques de phishing visant les forces de défense et de sécurité ukrainiennes
Le Computer Emergency Response Team d'Ukraine (CERT-UA) a alerté sur une nouvelle série d'attaques informatiques visant des entreprises de défense et des forces de sécurité ukrainiennes. Ces attaques de phishing sont attribuées à un acteur malveillant lié à la Russie, connu sous le nom de UAC-0185 (ou UNC4221), actif depuis au moins 2022. Les courriels de phishing imitaient des messages officiels de la Ligue des industriels et entrepreneurs ukrainiens, annonçant une conférence à Kyiv le 5 décembre, censée aligner les produits de l'industrie de défense nationale avec les normes de l'OTAN. Les messages contiennent un lien malveillant incitant les destinataires à cliquer pour obtenir des informations importantes, mais cela entraîne le téléchargement d'un fichier de raccourci Windows qui exécute un code JavaScript via PowerShell, permettant aux attaquants de prendre le contrôle à distance du système compromis. CERT-UA a indiqué que l'objectif principal de ces attaques est de voler des identifiants d'applications de messagerie comme Signal, Telegram et WhatsApp, ainsi que des systèmes militaires ukrainiens. Mandiant a également révélé que UNC4221 collecte des données pertinentes pour le champ de bataille à travers des opérations de phishing et des malwares Android.
Sources :
Des entreprises victimes du malware RedLine via des logiciels d’entreprise piratés
Malgré le démantèlement de l'infrastructure principale du malware RedLine en novembre 2023, ce dernier continue de cibler les entreprises russes, particulièrement vulnérables depuis les sanctions occidentales liées à l'invasion de l'Ukraine. Depuis janvier 2024, une campagne de cyberattaques utilise RedLine, déguisé en solution pour contourner les restrictions logicielles, infectant les appareils des victimes qui désactivent leurs antivirus. Ce phénomène illustre une tactique classique des cybercriminels : l'exploitation de logiciels piratés comme vecteurs d'infection. Les entreprises russes, confrontées à un accès limité aux logiciels occidentaux, se tournent vers des solutions illégales, augmentant ainsi leur exposition aux cyberattaques. Les données volées peuvent être revendues sur des marchés noirs ou utilisées pour des attaques secondaires, amplifiant les dommages. Bien que Maxim Rudometov ait été inculpé pour son rôle dans le développement de RedLine, les opérateurs continuent de trouver des moyens de diffuser le malware. Les chercheurs de Kaspersky notent que les attaquants ciblent principalement les systèmes des entreprises russophones, reflétant une tendance inquiétante vers des attaques ciblant des organisations plutôt que des individus. Cette situation souligne l'importance de la vigilance face à la cybercriminalité.
Sources :
Scattered Spider : un jeune pirate de 19 ans accusé de cyberattaques massives
Remington Ogletree, un hacker autodidacte, a été arrêté en février 2024 après avoir utilisé des tactiques d’ingénierie sociale pour compromettre des systèmes informatiques. Membre présumé du collectif Scattered Spider, il a ciblé des entreprises comme MGM Resorts et Caesars Entertainment, exploitant la sécurité insuffisante des sociétés d’externalisation. En 2023, ce groupe a gagné en notoriété grâce à des cyberattaques paralysantes, y compris des piratages de Coinbase et Twilio. Ogletree, qui se vantait de ses exploits sur Telegram, a réussi à convaincre un employé d’une société de télécommunications de lui fournir des identifiants via un faux lien, compromettant ainsi 12 comptes d’une institution financière et envoyant 140 000 messages de phishing. Il a également tenté de blanchir 75 000 dollars via un service infiltré par le FBI, ce qui a conduit à son arrestation. Ces événements soulignent la vulnérabilité des entreprises face aux cybermenaces, notamment celles liées aux BPO, souvent moins sécurisées. Pour contrer ces risques, il est crucial d’adopter des formations régulières, des protocoles d’authentification renforcés et une vigilance accrue contre les attaques d’ingénierie sociale. La lutte contre la cybercriminalité nécessite une vigilance constante.
Sources :
IPTV illégal : des condamnations exemplaires et un tournant dans la lutte contre le streaming pirate
La lutte contre l'IPTV illégal connaît un tournant significatif, illustré par la condamnation d'un vendeur à 8 ans de prison en Grèce. Les autorités intensifient leurs efforts non seulement contre les revendeurs, mais aussi contre les abonnés, marquant une étape clé dans la lutte contre le piratage audiovisuel. En réponse aux débordements de septembre, une vaste campagne d'arrestations et de poursuites a été lancée, visant à dissuader les utilisateurs potentiels. En Europe, l'opération « Taken Down » a montré la capacité des autorités à collaborer pour cibler le piratage à grande échelle, avec des pertes financières pour les ayants droit atteignant 10 milliards d'euros par an. En Italie, des amendes allant jusqu'à 5 000 euros sont prévues pour les utilisateurs finaux, et les données des abonnés seront transmises à la police, augmentant la pression sur les consommateurs. Bien que des mesures strictes soient mises en place, aucune poursuite de grande ampleur n'a encore été lancée contre les abonnés. Les agences américaines collaborent également avec des pays européens pour démanteler les infrastructures de piratage, soulignant la nécessité pour les consommateurs de prendre conscience des risques légaux croissants liés à l'IPTV illégal.
Sources :
Opération HAECHI V : une offensive mondiale contre la cybercriminalité et les délits financiers
L'opération HAECHI V, menée par Interpol, a été une initiative internationale marquante contre la cybercriminalité et les délits financiers, impliquant 40 pays et aboutissant à 5 500 arrestations et la saisie de 400 millions de dollars. Entre juillet et novembre 2024, les forces de l'ordre ont résolu 8 309 affaires, un chiffre presque doublé par rapport à l'année précédente. Les types de fraudes ciblées incluent le phishing vocal, les escroqueries par email, et les fraudes liées aux crypto-monnaies, comme le « USDT Token Approval Scam ». L'outil I-GRIP a joué un rôle clé, permettant d'intercepter près de 39 millions de dollars volés à une entreprise à Singapour. Un des succès notables a été le démantèlement d'un réseau de phishing vocal en Corée et en Chine, illustrant l'importance de la coopération régionale. HAECHI V a également sensibilisé les autorités à de nouvelles menaces et a démontré que la technologie, alliée à une collaboration internationale, est essentielle pour contrer les crimes financiers. Cette opération souligne que la lutte contre la cybercriminalité nécessite une réponse coordonnée et rapide pour protéger les systèmes financiers mondiaux.
Sources :
Une attaque de ransomware frappe un important fabricant d'appareils de chirurgie cardiaque
Artivion, un fabricant majeur de dispositifs médicaux pour la chirurgie cardiaque, a révélé avoir subi une attaque par ransomware le 21 novembre, perturbant ses opérations et entraînant la mise hors ligne de certains systèmes. Basée à Atlanta, l'entreprise emploie plus de 1 250 personnes et opère dans plus de 100 pays, avec des installations de fabrication aux États-Unis et en Allemagne. Dans un dépôt auprès de la SEC, Artivion a indiqué que les attaquants avaient crypté des systèmes et volé des données, bien qu'elle n'ait pas explicitement mentionné le ransomware. L'entreprise a pris des mesures de réponse, y compris la mise hors ligne de certains systèmes et l'engagement de conseillers externes pour évaluer et remédier à l'incident. Bien que les perturbations dans ses opérations aient été en grande partie résolues, Artivion s'attend à des coûts supplémentaires non couverts par son assurance. D'autres organisations du secteur de la santé aux États-Unis ont également été touchées par des attaques similaires récemment, soulignant une tendance inquiétante dans le domaine de la cybersécurité. Si les demandes de rançon ne sont pas satisfaites, il est probable que les attaquants revendiquent la responsabilité de l'attaque.
Sources :
La faille OpenWrt Sysupgrade permet aux pirates de diffuser des images de firmware malveillantes
Une vulnérabilité dans la fonctionnalité Attended Sysupgrade d'OpenWrt, un système d'exploitation open-source pour appareils embarqués, a permis la distribution potentielle de firmware malveillant. Découverte par le chercheur RyotaK de Flatt Security lors d'une mise à jour de routeur, cette faille critique (CVE-2024-54143, score CVSS v4 : 9.3) résulte d'une injection de commandes et d'une troncature de hachage. Le service Attended Sysupgrade permet aux utilisateurs de créer des images de firmware personnalisées tout en préservant les paquets et les paramètres précédemment installés. Cependant, une mauvaise gestion des entrées et l'utilisation d'un hachage SHA-256 tronqué à 12 caractères ont rendu possible l'injection de commandes arbitraires. RyotaK a démontré qu'il était possible de modifier des artefacts de firmware pour livrer des versions malveillantes. Après la divulgation, l'équipe d'OpenWrt a rapidement corrigé la faille et a suspendu le service concerné. Bien qu'aucune exploitation de cette vulnérabilité n'ait été confirmée, les utilisateurs sont fortement conseillés de vérifier et de mettre à jour leurs images de firmware pour garantir la sécurité de leurs appareils.
Sources :
Ubisoft corrige les conflits 24H2 de Windows 11 provoquant des plantages de jeu
Ubisoft a récemment résolu des problèmes de compatibilité avec Windows 11 version 24H2, qui causaient des plantages et des problèmes audio dans certains de ses jeux, notamment Assassin's Creed, Star Wars Outlaws et Avatar: Frontiers of Pandora. Microsoft avait temporairement bloqué les mises à jour de Windows 24H2 sur les systèmes affectés après de nombreux rapports d'utilisateurs sur des plateformes comme Reddit et les forums Microsoft. Les joueurs ont signalé des plantages immédiats ou des écrans noirs après le chargement de leurs parties. Pour éviter une aggravation de la situation, Microsoft a appliqué un blocage de sécurité sur les mises à jour. Cependant, après que Ubisoft a publié des correctifs temporaires, Microsoft a levé ces restrictions pour Star Wars Outlaws et Avatar: Frontiers of Pandora. Ubisoft recommande d'utiliser le Gestionnaire des tâches pour fermer les jeux en cas de problème persistant. Microsoft a également averti les utilisateurs de ne pas utiliser l'Assistant d'installation de Windows 11 ou l'outil de création de médias tant que les problèmes ne sont pas complètement résolus. D'autres blocages de mise à jour ont été mis en place pour des problèmes liés à Google Workspace Sync et à des pilotes audio Intel incompatibles.
Sources :
Radiant associe un vol de crypto-monnaie de 50 millions de dollars à des pirates informatiques nord-coréens
Radiant Capital a attribué le vol de 50 millions de dollars en cryptomonnaies à des hackers nord-coréens, suite à une cyberattaque survenue le 16 octobre 2024. L'enquête, menée avec l'aide de Mandiant, a identifié le groupe de hackers comme étant Citrine Sleet, également connu sous les noms UNC4736 et AppleJeus. Les États-Unis avaient déjà averti que des acteurs nord-coréens ciblaient des entreprises de cryptomonnaies pour générer et blanchir des fonds. Radiant, une plateforme de finance décentralisée (DeFi), a subi une violation de sécurité due à un malware sophistiqué qui a compromis les appareils de trois développeurs de confiance. Les hackers ont exploité un processus de multi-signature, collectant des signatures valides sous prétexte d'erreurs de transaction, ce qui a permis le vol de fonds sur les marchés Arbitrum et Binance Smart Chain. L'attaque a contourné les mesures de sécurité des portefeuilles matériels et a semblé normale lors des vérifications. Radiant souligne la nécessité de solutions de sécurité plus robustes et collabore avec les forces de l'ordre américaines pour récupérer les fonds volés.
Sources :
Google Workspace Sync, une application obsolète, bloque les mises à niveau de Windows 11 24H2
Microsoft bloque désormais la mise à jour de Windows 11 24H2 sur les ordinateurs utilisant des installations obsolètes de Google Workspace Sync pour Microsoft Outlook (GWSMO), en raison de problèmes de lancement d'Outlook. GWSMO permet aux utilisateurs de gérer leurs emails, calendriers, contacts et tâches Google Workspace directement dans Outlook. Les utilisateurs concernés rencontrent des erreurs telles que "Impossible de démarrer Microsoft Outlook" et d'autres messages d'erreur liés à MAPI. Pour résoudre ces problèmes, il est nécessaire de mettre à jour GWSMO vers la version 4.3.68.0, publiée le 22 novembre. Cependant, une fois la mise à jour vers Windows 11 24H2 effectuée, il ne sera pas possible de désinstaller ou de réinstaller GWSMO. Microsoft a donc mis en place un blocage de compatibilité pour les appareils utilisant GWSMO, identifié par l'ID de protection 54318776 dans les rapports de Windows Update for Business. Les utilisateurs sont conseillés de ne pas tenter de mettre à jour manuellement leurs appareils tant que le problème n'est pas résolu. D'autres blocages de mise à jour ont également été appliqués pour divers problèmes liés à des jeux et des pilotes audio incompatibles.
Sources :
Le ransomware Black Basta évolue avec le bombardement d'e-mails, les codes QR et l'ingénierie sociale
Les acteurs de la menace liés au ransomware Black Basta ont modifié leurs tactiques de social engineering depuis début octobre 2024, en distribuant des charges utiles telles que Zbot et DarkGate. Rapid7 a rapporté que les utilisateurs ciblés sont souvent bombardés d'emails, ce qui facilite le contact initial via Microsoft Teams, où les attaquants se font passer pour du personnel de support. Ils incitent les victimes à installer des logiciels d'accès à distance comme AnyDesk, permettant ainsi de livrer des programmes malveillants supplémentaires. Les chercheurs de Rapid7 ont également observé des tentatives d'utilisation du client OpenSSH pour établir un reverse shell et l'envoi de QR codes malveillants pour voler des identifiants. Black Basta, qui a émergé après la dissolution de Conti en 2022, a diversifié ses techniques, intégrant des familles de malwares sur mesure. L'évolution de Black Basta montre un passage d'une approche purement basée sur les botnets à un modèle hybride combinant social engineering et malware. Parallèlement, d'autres groupes de ransomware, comme Rhysida, utilisent des techniques similaires pour tromper les utilisateurs en leur faisant télécharger des fichiers infectés via des domaines trompeurs.
Sources :
Où se cache Bachar al-Assad ? La traque de son avion sur les réseaux sociaux sème le doute
Bachar al-Assad, le président syrien déchu, aurait trouvé refuge à Moscou, selon des sources russes, qui évoquent des raisons humanitaires pour cet asile. Cependant, aucune image de son arrivée n’a été diffusée, et des rumeurs de crash d’avion ont circulé après un suivi aérien suspect. Le 7 décembre, un avion cargo Ilyushin Il-76T de Syrian Air a décollé vers une destination inconnue, initialement en direction de la côte méditerranéenne, mais a fait demi-tour après avoir survolé Homs, perdant le signal à une altitude basse. Les raisons de cette perte de signal demeurent floues, avec des spéculations sur un possible atterrissage ou crash, bien que Flightradar24 ait noté que l’appareil était ancien et soumis à des interférences GPS. Parallèlement, un avion militaire russe a décollé de Lattaquié vers Moscou, sans que l’identité des passagers ne soit confirmée. Un autre vol, un jet Embraer, a également suscité l’intérêt des experts, mais rien ne prouve qu’il transportait Assad. Si ce dernier est bien à Moscou, il pourrait être protégé par le régime russe.
Sources :
Un gang de cybercriminels arrêté après avoir transformé des Airbnb en centres de fraude
Huit membres d'un réseau international de cybercriminalité, ayant volé des millions d'euros et transformé des locations Airbnb en centres de fraude, ont été arrêtés en Belgique et aux Pays-Bas. L'opération, coordonnée par Europol, a eu lieu le 3 décembre et a impliqué 17 perquisitions simultanées. Les suspects, âgés de 23 à 66 ans, sont accusés de phishing, de fraude en ligne, de blanchiment d'argent et d'appartenance à une organisation criminelle. La police a saisi des appareils de stockage de données, des téléphones, des objets de luxe achetés avec les gains du cybercrime, ainsi que d'importantes sommes d'argent. Les fraudeurs louaient des propriétés Airbnb pour y établir des centres d'appels temporaires, contactant des victimes à travers l'Europe en se faisant passer pour des employés de banque. Ils incitaient les victimes à entrer leurs informations personnelles sur des sites de phishing, leur permettant de vider rapidement leurs comptes. Les fraudeurs menaient également un style de vie ostentatoire, affichant leurs richesses sur les réseaux sociaux. Europol met en garde contre les communications non sollicitées et recommande de vérifier les problèmes de compte directement avec les banques.
Sources :
Le fournisseur d'énergie roumain Electrica victime d'une attaque de ransomware
Le 9 décembre 2024, Electrica Group, un fournisseur d'électricité majeur en Roumanie, a été victime d'une attaque par ransomware, toujours en cours à ce moment-là. L'entreprise, qui dessert plus de 3,8 millions d'utilisateurs à travers le pays, a été fondée en 1998 et est cotée à la Bourse de Bucarest et de Londres depuis 2014. Electrica a annoncé qu'elle collabore avec les autorités nationales de cybersécurité pour enquêter sur cette cyberattaque. Le PDG, Alexandru Aurelian Chirita, a précisé que les systèmes critiques du groupe n'avaient pas été affectés et que les perturbations rencontrées par les consommateurs étaient dues à des mesures de protection temporaires. Le ministère de l'Énergie a confirmé qu'il s'agissait d'une attaque par ransomware, mais a assuré que les systèmes SCADA, utilisés pour contrôler le réseau de distribution, restaient opérationnels et isolés. Cette cyberattaque survient dans un contexte de tensions politiques, après l'annulation des élections présidentielles par la Cour constitutionnelle roumaine, en raison d'une campagne d'influence sur TikTok liée à la Russie, et d'une vague de cyberattaques ciblant l'infrastructure électorale du pays.
