DeepFakes : Des pirates paient des SDF pour créer des faux bancaires - Actus du 06/08/2024
Un hacker détruit 13 000 appareils via une plateforme éducative, des identifiants volés utilisés comme porte d'entrée, et des personnalités russes espionnées depuis trois ans par un logiciel sophistiqué. Découvrez les dessous de ces cyberattaques et leurs impacts.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un pirate informatique détruit 13 000 appareils après avoir piraté une plateforme de gestion de classe
Un hacker a compromis la plateforme de gestion de classe Mobile Guardian, entraînant l'effacement à distance des données d'au moins 13 000 iPads et Chromebooks d'élèves, principalement à Singapour. Mobile Guardian, partenaire de "Google for Education", offre des solutions de gestion des appareils pour les écoles K-12. Le 4 août 2024, la plateforme a annoncé avoir subi une violation de sécurité, touchant ses instances en Amérique du Nord, en Europe et à Singapour. Bien que l'incident ne soit pas lié à une panne informatique survenue le 30 juillet, il a conduit à la suppression à distance des appareils d'une petite proportion d'utilisateurs, sans preuve d'accès ou d'exfiltration de données. Le service a été suspendu, limitant l'accès des utilisateurs à la plateforme. Le ministère de l'Éducation de Singapour a exprimé de vives inquiétudes, confirmant que 13 000 élèves de 26 écoles secondaires avaient été affectés. En réponse, le gouvernement a retiré l'application des appareils d'apprentissage des élèves et aide à la restauration des dispositifs touchés. Mobile Guardian n'a pas encore fourni d'informations sur l'impact global de l'incident.
Sources :
Point d'entrée : pourquoi les pirates informatiques ciblent les identifiants volés pour un accès initial
Les cybercriminels ciblent de plus en plus les identifiants volés pour accéder aux comptes utilisateurs, exploitant des mots de passe faibles ou réutilisés. Selon le rapport ENISA Threat Landscape 2023, le marché des courtiers en accès initial (IAB) connaît une croissance, les identifiants étant les biens les plus recherchés. Les malwares, souvent diffusés par phishing ou via des logiciels malveillants, permettent de voler des mots de passe, qui sont ensuite revendus sur le dark web. Les techniques de vol incluent des attaques par force brute et des campagnes de malvertising. L'ENISA a noté que l'utilisation d'identifiants volés était la première action dans 24 % des violations, juste derrière les ransomwares. Un exemple marquant est le mot de passe compromis de SolarWinds, utilisé par un stagiaire, qui a permis un accès non autorisé. Malgré les mesures de sécurité techniques, les cybercriminels continuent de contourner ces protections. Les experts en cybersécurité soulignent l'importance de renforcer la sécurité des mots de passe et de surveiller les identifiants compromis pour réduire les risques d'accès initial par des identifiants volés. La vigilance et l'éducation des utilisateurs sont essentielles pour contrer cette menace croissante.
Sources :
Plusieurs personnalités russes étaient espionnées par un logiciel sophistiqué depuis trois ans
Les experts de Kaspersky ont identifié un nouveau logiciel espion, LianSpy, ciblant des utilisateurs d'Android en Russie. Dans un rapport publié le 5 août, ils expliquent que ce malware exploite des vulnérabilités inconnues et ne vise pas une surveillance de masse, mais des cibles spécifiques, avec au moins dix personnalités touchées depuis 2021. LianSpy se dissimule derrière des applications légitimes, telles que des services financiers, et, une fois installé, il obtient des autorisations pour accéder à des données sensibles comme les contacts et les journaux d'appels. Il surveille discrètement l'activité des victimes, en enregistrant notamment l'écran lors de l'utilisation de messageries, sans s'intéresser aux informations bancaires. En parallèle, Kaspersky a mentionné une autre campagne d'espionnage, l'Opération Triangulation, qui exploitait des failles sur des appareils Apple, mais n'a pas attribué cette opération à un gouvernement ou groupe spécifique. Le gouvernement russe a accusé les États-Unis d'être derrière cette opération, ce que Apple a démenti. Cette découverte souligne les menaces croissantes liées à la cybersécurité, en particulier pour les utilisateurs de smartphones.
Sources :
Proton VPN ajoute des « icônes discrètes » pour masquer les applications sur les appareils Android
Proton VPN a récemment introduit plusieurs mises à jour pour ses applications Windows et Android, visant à aider les utilisateurs à contourner la censure et à se protéger des gouvernements autoritaires. Une des nouveautés majeures est la fonctionnalité 'Discreet Icon', qui permet de masquer l'icône de l'application Proton VPN pour qu'elle ressemble à une application de météo, de notes ou de calculatrice. Cela est particulièrement utile dans les pays où les VPN sont interdits, car cela réduit le risque d'être détecté lors de contrôles physiques. De plus, le protocole 'Stealth' a été ajouté à la version Windows, permettant de déguiser le trafic VPN en trafic internet normal, renforçant ainsi la confidentialité des utilisateurs dans des environnements surveillés. Proton VPN a également annoncé l'extension de son infrastructure serveur, avec de nouveaux serveurs dans des pays à faible indice de liberté, tels que l'Afghanistan et l'Arabie Saoudite. Ces serveurs, bien que situés dans des pays voisins, simuleront des adresses IP des pays ciblés grâce à un système appelé 'Smart Routing'. Ces fonctionnalités sont désormais disponibles pour tous les utilisateurs de Proton VPN après mise à jour de l'application.
Sources :
DeepFakes : des pirates paient des SDF pour créer des faux bancaires
Des pirates informatiques, regroupés sous le nom de « Photo Drop », exploitent des personnes vulnérables, telles que des SDF et des étudiants, en les payant pour créer des deepfakes bancaires à partir de leurs photographies. Ces deepfakes sont utilisés pour ouvrir des comptes en ligne dans des banques numériques, des plateformes de cryptomonnaies et des casinos, où la vérification d'identité est souvent requise. Les pirates utilisent des documents d'identité volés, souvent obtenus lors de précédents piratages, pour constituer des kits de fraude. Ces kits incluent des photos de la même personne dans diverses poses, permettant d'incorporer des informations falsifiées. Les prix de ces services sont abordables, avec des packs de photos vendus pour quelques dizaines d'euros. Le groupe « Photo Drop » se présente comme une entreprise légitime, attirant des complices involontaires par des promesses de rémunération. L'instigateur, connu sous le nom de Sam, recrute des photographes dans différents pays pour réaliser ces séances photo. Bien que la technologie de détection des deepfakes soit encore efficace, l'ingéniosité des pirates rend leur exploitation de plus en plus sophistiquée, posant un risque croissant pour la sécurité financière.
Sources :
Esprits suspects : menaces internes dans le monde du SaaS
Les menaces internes représentent un véritable défi pour la sécurité des données des entreprises, qu'elles soient intentionnelles ou non. Selon une étude de la CSA, 26 % des incidents de sécurité liés aux SaaS impliquent un insider. La détection de ces menaces avant qu'elles ne provoquent des violations de données est cruciale, surtout lorsque les utilisateurs légitimes se connectent avec des identifiants valides. Les plateformes de détection et de réponse aux menaces d'identité (ITDR) jouent un rôle clé en surveillant les comportements suspects au sein des applications SaaS. Elles analysent les journaux d'événements pour identifier des indicateurs de compromission (IOC) liés à des anomalies comportementales. Les menaces internes peuvent inclure le vol de données, la manipulation de données, l'abus de privilèges et l'utilisation inappropriée des identifiants. Bien que chaque IOC puisse avoir des justifications légitimes, leur accumulation nécessite une enquête approfondie. Pour contrer ces menaces, une approche combinée de la gestion de la posture de sécurité SaaS (SSPM) et de l'ITDR est essentielle. Tandis que le SSPM se concentre sur la prévention, l'ITDR se concentre sur la détection et la réponse, permettant ainsi aux équipes de sécurité d'agir rapidement contre les menaces internes avant qu'elles ne causent des dommages significatifs.
Sources :
Les pirates informatiques nord-coréens Moonstone Sleet diffusent des packages JS malveillants dans le registre npm
Le groupe de menaces lié à la Corée du Nord, connu sous le nom de Moonstone Sleet, a récemment publié des paquets malveillants sur le registre npm, visant à infecter les systèmes Windows. Les paquets, appelés harthat-api et harthat-hash, ont été mis en ligne le 7 juillet 2024, mais n'ont attiré aucune attention et ont été rapidement retirés. Datadog Security Labs, qui suit cette menace sous le nom de Stressed Pungsan, a noté que ces paquets réutilisent du code d'un dépôt GitHub populaire. Les chaînes d'attaques de ce collectif malveillant diffusent des fichiers ZIP frauduleux via LinkedIn, incitant les cibles à exécuter des charges utiles sous prétexte d'évaluations de compétences techniques. Une fois chargés, les paquets malveillants se connectent à un serveur contrôlé par l'attaquant pour télécharger des charges supplémentaires. Bien que le DLL téléchargé ne semble pas exécuter d'actions malveillantes, cela pourrait indiquer un test de leur infrastructure de livraison. Parallèlement, le Centre national de cybersécurité de Corée du Sud a mis en garde contre des attaques menées par d'autres groupes nord-coréens, tels qu'Andariel et Kimsuky, ciblant des secteurs spécifiques avec des familles de logiciels malveillants.
Sources :
Le procès des membres présumés de REvil : Une affaire de cybercriminalité de grande envergure
En janvier 2022, le FSB russe a arrêté quatorze personnes à Saint-Pétersbourg, Moscou et Lipetsk, dont huit sont actuellement jugées pour des activités de cybercriminalité, notamment le carding. Daniil Puzyrevsky, considéré comme le leader du groupe, aurait commencé ses activités illicites en 2015 et impliqué ses camarades dans des opérations frauduleuses. L'attaque contre Colonial Pipeline, attribuée au groupe DarkSide, a eu des répercussions majeures sur l'approvisionnement en carburant aux États-Unis. Cette opération s'inscrit dans un contexte de cyberattaques croissantes, notamment contre Kaseya et Quanta Computer. Bien que les États-Unis et la Russie aient initialement collaboré pour traquer les membres de REvil, l'invasion de l'Ukraine par la Russie a mis fin à cette coopération. Les avocats des accusés contestent les preuves, arguant que l'enquête n'a pas établi l'existence des cartes bancaires mentionnées ni identifié les banques concernées. Malgré ces contestations, le tribunal a rejeté les demandes de la défense, considérant qu'elles visaient à retarder le procès. Les tensions géopolitiques continuent d'entraver la lutte contre la cybercriminalité entre les deux nations.
Sources :
Collaboration Russie / Interpol / Allemagne ?
Fedor Alexandrovitch Andreev, un Moscovite de 37 ans, a été arrêté à Moscou le 15 juillet 2024 à la demande d'Interpol, en raison de son implication présumée avec le groupe de hackers Trickbot, également connu sous le nom de Wizard Spider. En Allemagne, il fait face à quatre chefs d'accusation, notamment l'organisation de communautés criminelles, le sabotage informatique et l'extorsion. Andreev, recherché sous les pseudonymes « azot » et « angelo », aurait d'abord été testeur de logiciels malveillants avant de devenir chef d'équipe au sein de Trickbot. Ce groupe est responsable de la création de virus bancaires ayant permis de voler plus de 8 millions d'euros en Allemagne. Les activités de Trickbot, qui ont débuté en 2016, incluent l'infection de systèmes informatiques et le déploiement de ransomwares, causant des dommages estimés à plus de 6,8 millions d'euros en Allemagne. La structure du groupe est hiérarchique et orientée vers le profit, avec plus de 100 membres à un moment donné. L'arrestation d'Andreev soulève des questions sur la coopération entre la Russie et les autorités internationales, notamment Interpol.
Sources :
Technique du Allô : professionnels XXL
Un groupe de pirates informatiques, connu sous le nom de « Crime Talk », propose des services de « Allôteurs » sur le dark web, visant à manipuler des comptes en ligne pour le compte de clients. Leur offre inclut des appels aux banques, PayPal, commerçants, et autres institutions afin de récupérer l'accès à des comptes, changer des adresses électroniques, ou faciliter des transferts d'argent. Présentés comme disponibles 24 heures sur 24 et 7 jours sur 7, ces pirates se vantent de disposer de « locuteurs natifs anglais expérimentés ». Le tarif pour chaque appel est fixé à 10 dollars, et leur crédibilité semble élevée, ce qui est préoccupant. Ils ont diffusé leur annonce sur un marché noir qui impose des frais d'inscription variant de 100 à 1000 dollars, selon les motivations des vendeurs. Le logo du groupe arbore trois drapeaux, chinois, russe et américain, symbolisant leur portée internationale. Cette activité illégale met en lumière les dangers croissants liés à la cybersécurité et à la vulnérabilité des systèmes financiers face à des acteurs malveillants.
Sources :
Le nouveau logiciel espion Android LianSpy échappe à la détection à l'aide de Yandex Cloud
LianSpy est un logiciel espion Android récemment découvert par Kaspersky, ciblant des utilisateurs en Russie depuis au moins 2021. Utilisant Yandex Cloud pour ses communications de commande et de contrôle, il évite ainsi la détection. Ce malware est capable de capturer des screencasts, d'exfiltrer des fichiers et de collecter des journaux d'appels. Son mode de distribution reste flou, mais il pourrait passer par une vulnérabilité inconnue ou un accès physique au téléphone. Les applications infectées se déguisent en Alipay ou en services système Android. Une fois activé, LianSpy demande des permissions étendues pour accéder aux contacts et aux notifications, tout en se cachant de l'interface utilisateur. Il peut également contourner les protections de confidentialité d'Android 12 en masquant les icônes de notification. Les données volées sont stockées de manière chiffrée dans une base de données SQL, et les communications sont unidirectionnelles, ce qui complique l'attribution. L'utilisation de services légitimes comme Yandex Disk pour le stockage des données volées ajoute une couche d'obfuscation. LianSpy représente une menace sophistiquée, exploitant des privilèges root pour des enregistrements d'écran discrets et des tactiques d'espionnage avancées.
Sources :
Un pirate diffuse plus d’un million de cartes bancaires pour les vacances !
Un pirate informatique, surnommé « Docteur Logs », a mis en vente 1,3 million de données bancaires sur le dark web, collectées via des sites piégés. Parmi ces données figurent des informations personnelles telles que des adresses électroniques, des numéros de carte de crédit, des CVV, ainsi que des identités et numéros de téléphone. Environ 12 449 Français, 30 256 Canadiens et 779 Belges sont concernés. Bien que les cartes ne soient plus valables, les informations peuvent être utilisées pour diverses escroqueries, notamment le vol d'identité, le phishing, la fraude sur des comptes existants, le spam, l'ingénierie sociale et la fraude fiscale. Les cybercriminels peuvent ainsi ouvrir de nouveaux comptes, envoyer des messages trompeurs ou pirater d'autres comptes en ligne. ZATAZ, qui surveille ces activités, a alerté ses partenaires bancaires sur cette menace. Cette situation souligne l'importance de la vigilance face aux risques liés à la sécurité des données personnelles, même lorsque les cartes bancaires elles-mêmes ne sont plus actives. Les utilisateurs sont encouragés à rester informés et à protéger leurs informations personnelles contre d'éventuelles malversations.
Sources :
La police empêche deux meurtres commandités via le dark web
Yue Zhou, une résidente de New York âgée de 42 ans, a été accusée de tentative de meurtre après avoir tenté d'engager un tueur à gages via le dark web. Entre mars et avril 2019, elle a transféré 5 000 $ en bitcoins pour assassiner l'épouse de son ancien partenaire, fournissant des détails sur la routine de la victime. Zhou a ensuite tenté de faire tuer la fille adulte de son ancien partenaire, offrant cette fois 10 000 $ et des "services sexuels" en échange. Cependant, elle ignorait que la plateforme utilisée était un piège. Le bureau du procureur a souligné la détermination de Zhou à commettre ces meurtres, qui n'ont été déjoués que grâce à la nature factice du site. Parallèlement, en Biélorussie, un homme a été arrêté pour avoir incendié une maison sur commande d'un narco-shop, le "Scorpion", pour 200 dollars. Il a utilisé des cocktails Molotov après avoir repéré les lieux. Les autorités pensent que le responsable du narco-shop se cache en Suisse et pourrait être lié à un cartel. Ces affaires illustrent les dangers croissants liés à l'utilisation du dark web pour des activités criminelles.
Sources :
Les boutiques de musées français indirectement impactées par une cyber attaque
Dans la nuit du 3 au 4 août, une cyberattaque par rançongiciel a ciblé le système de centralisation des données des boutiques de près de quarante musées en France, dont le Grand Palais. Les cybercriminels ont réussi à chiffrer les données financières et exigent une rançon sous 48 heures, menaçant de publier les informations en cas de non-paiement. Bien que les attaques par ransomware aient diminué récemment, cet incident a suscité des inquiétudes, notamment parce qu'il pourrait affecter la gestion des musées. Le directeur des systèmes d’information du Grand Palais a alerté les autorités, entraînant l'ouverture d'une enquête par la Brigade de lutte contre la cybercriminalité. Il a été précisé que l'attaque ne touche pas les systèmes d'information des musées eux-mêmes, et le musée du Louvre a démenti toute implication. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a également été informée et a confirmé que l'incident n'affecte pas les préparatifs des Jeux Olympiques de Paris 2024. L'enquête se poursuit pour déterminer l'ampleur des dégâts et la nature de l'attaque, qui pourrait être un bluff destiné à créer une distraction.
Sources :
Google corrige une nouvelle vulnérabilité du noyau Android exploitée dans la nature
Google a corrigé une vulnérabilité de haute sévérité affectant le noyau Android, identifiée comme CVE-2024-36971, qui est actuellement exploitée dans la nature. Cette faille permet l'exécution de code à distance et pourrait être ciblée par des acteurs malveillants, notamment des fournisseurs de logiciels espions. Dans son bulletin de sécurité d'août 2024, Google a indiqué que cette vulnérabilité pourrait faire l'objet d'une exploitation limitée et ciblée, sans fournir de détails sur les attaques ou les groupes responsables. Il n'est pas encore confirmé si les appareils Pixel sont touchés. En plus de cette faille, le patch d'août corrige 47 autres vulnérabilités, y compris 12 problèmes d'escalade de privilèges et des failles de divulgation d'informations. Google a également signalé des problèmes précédents dans le firmware des Pixel, soulignant que les impacts vont au-delà des appareils Pixel et affectent l'ensemble de la plateforme Android. Parallèlement, la CISA a ajouté une autre vulnérabilité, CVE-2018-0824, à son catalogue, suite à des attaques menées par un acteur étatique chinois, APT41, contre un institut de recherche taïwanais.
Sources :
Une nouvelle faille zero-day dans Apache OFBiz ERP permet l'exécution de code à distance
Une nouvelle vulnérabilité de type zero-day a été révélée dans le système de planification des ressources d'entreprise (ERP) open-source Apache OFBiz, permettant une exécution de code à distance. Suivie sous le nom CVE-2024-38856, cette faille a un score CVSS de 9,8 sur 10 et affecte les versions d'Apache OFBiz antérieures à 18.12.15. Selon SonicWall, qui a découvert cette vulnérabilité, le problème réside dans le mécanisme d'authentification, permettant à un utilisateur non authentifié d'accéder à des fonctionnalités normalement réservées aux utilisateurs connectés, ouvrant ainsi la voie à une exécution de code à distance. Cette vulnérabilité constitue également un contournement de la CVE-2024-36104, une faille de traversée de chemin corrigée en juin 2024. SonicWall a précisé que la faille se trouve dans la fonctionnalité d'override view, exposant des points d'accès critiques aux acteurs malveillants. De plus, une autre vulnérabilité critique (CVE-2024-32113) a été exploitée activement pour déployer le botnet Mirai. En décembre 2023, SonicWall avait déjà signalé une faille zero-day dans le même logiciel, entraînant de nombreuses tentatives d'exploitation.
Sources :
Protégez votre empreinte numérique : Guide de conseil en matière de protection des données et de confidentialité
Dans un monde numérique en constante évolution, la protection des données personnelles et organisationnelles est cruciale face à des menaces cybernétiques croissantes. Beaucoup sous-estiment les risques liés à la vie privée lors du partage d'informations en ligne ou peinent à se conformer aux réglementations complexes. Les mesures techniques de cybersécurité, telles que le chiffrement, sont essentielles pour limiter les accès non autorisés. La transparence et l'éthique des données renforcent la confiance entre consommateurs et partenaires, tandis que le respect des réglementations évite des sanctions financières lourdes. La minimisation des données, en ne collectant que les informations nécessaires, réduit les surfaces d'attaque potentielles. Les individus peuvent également contribuer à leur sécurité en partageant judicieusement des informations, en configurant leurs paramètres de confidentialité, en utilisant des mots de passe forts, en maintenant leurs logiciels à jour et en lisant les politiques de confidentialité. L'avenir de la protection des données sera façonné par des avancées technologiques, une sensibilisation accrue à la vie privée et des réglementations de plus en plus strictes. Face à des scandales de confidentialité et à des exigences réglementaires croissantes, une gestion responsable des informations est essentielle pour tirer parti des avantages numériques tout en protégeant les droits individuels.
Sources :
Google corrige le noyau Android Zero Day exploité lors d'attaques ciblées
Le 5 août 2024, Google a publié des mises à jour de sécurité pour Android, corrigeant 46 vulnérabilités, dont une faille critique de type "zero-day" identifiée comme CVE-2024-36971. Cette vulnérabilité, qui concerne la gestion des routes réseau dans le noyau Linux, permet une exécution de code à distance (RCE) et nécessite des privilèges d'exécution système pour être exploitée. Selon Google, des indications suggèrent que cette faille est exploitée de manière ciblée, permettant à des acteurs malveillants d'exécuter du code arbitraire sur des appareils non corrigés, sans interaction de l'utilisateur. Clément Lecigne, chercheur en sécurité chez Google, a découvert cette vulnérabilité. Bien que Google n'ait pas divulgué d'informations sur les attaquants, son équipe TAG a souvent identifié des zero-days utilisés dans des attaques de surveillance parrainées par des États. Les correctifs seront disponibles dans les 48 heures sur le dépôt AOSP. En parallèle, Google a également corrigé une autre faille exploitée plus tôt cette année, permettant de déverrouiller des appareils Android. Les mises à jour de sécurité sont déployées immédiatement pour les appareils Pixel, tandis que d'autres fabricants peuvent prendre plus de temps pour les appliquer.
Sources :
Les utilisateurs de Google Chrome uBlock Origin doivent changer de bloqueur de publicités
Les utilisateurs de Google Chrome doivent envisager de changer de bloqueur de publicités, car uBlock Origin ne sera plus disponible sur ce navigateur. À partir de Chrome 127, uBlock Origin affichera des avertissements concernant cette indisponibilité sur la page chrome://extensions/. Cette décision découle de la dépréciation de Chrome Manifest V2, qui a contraint l'équipe de uBlock Origin à informer ses utilisateurs. En réponse, ils proposent l'extension uBO Lite (uBOL), une version allégée conforme à Manifest V3, mais qui sacrifie de nombreuses fonctionnalités de l'extension originale. uBOL ne se mettra pas automatiquement à jour depuis uBO, les utilisateurs devront donc l'installer manuellement ou choisir un autre bloqueur de publicités. Bien que uBlock Origin ne soit plus accessible sur Chrome, il reste utilisable sur d'autres navigateurs comme Mozilla Firefox, qui prennent en charge Manifest V2. Google a introduit Manifest V3 en 2018, imposant des règles plus strictes pour les extensions, et a averti que celles qui ne s'y conformaient pas perdraient leur support. Les utilisateurs de Chrome doivent donc se tourner vers des alternatives pour préserver une expérience de navigation sans publicité, essentielle face à la montée des malvertising et du suivi en ligne.
Sources :
Les faux sites Google Authenticator exploitent les publicités Google pour diffuser des logiciels malveillants
Des chercheurs de Malwarebytes ont récemment découvert une campagne de malware exploitant Google Ads pour promouvoir de faux sites Google Authenticator. Les hackers ont utilisé des annonces sponsorisées pour tromper les utilisateurs, en affichant un lien semblant légitime vers "google.com" dans les résultats de recherche. Cependant, la description de l'annonce comportait des éléments suspects, notamment l'absence de lien officiel avec Google. En cliquant sur l'annonce, les utilisateurs étaient redirigés à travers plusieurs liens intermédiaires vers un site de phishing, chromeweb-authenticators.com, qui imite le design du site authentique. Ce site distribue le malware DeerStealer, un spyware capable de voler des informations sensibles. Cette campagne n'est pas isolée, car une précédente campagne similaire avait déjà été signalée par AnyRun, indiquant un lien potentiel entre les attaquants. DeerStealer, dérivé d'un autre malware appelé Xfiles, présente des différences notables dans son fonctionnement. Cette situation souligne l'importance pour les utilisateurs de rester vigilants face aux annonces sponsorisées et de se doter de solutions antimalware pour se protéger contre de telles menaces. Les utilisateurs doivent être prudents lors du téléchargement de logiciels, en particulier ceux liés à la sécurité.
Sources :
Un gang de ransomware cible les travailleurs informatiques avec le nouveau malware SharpRhino
Le groupe de ransomware Hunters International cible les professionnels de l'informatique avec un nouveau cheval de Troie d'accès à distance (RAT) nommé SharpRhino. Ce malware, développé en C#, permet aux cybercriminels d'infecter initialement les systèmes, d'élever leurs privilèges, d'exécuter des commandes PowerShell et de déployer des charges utiles de ransomware. Selon des chercheurs de Quorum Cyber, SharpRhino est diffusé via un site de typosquatting imitant Angry IP Scanner, un outil légitime utilisé par les informaticiens. Lancé fin 2023, Hunters International est soupçonné d'être une rebranding de Hive, en raison de similitudes de code. Parmi ses victimes notables figurent des entreprises comme Austal USA et Hoya. En 2024, le groupe a revendiqué 134 attaques, le plaçant au dixième rang des groupes les plus actifs. SharpRhino se propage via un installateur signé numériquement, modifiant le registre Windows pour assurer sa persistance. Il exécute des scripts PowerShell pour des actions malveillantes. Les utilisateurs sont conseillés de se méfier des résultats sponsorisés dans les recherches, d'utiliser des bloqueurs de publicités et de maintenir leurs logiciels à jour pour réduire les risques d'attaques par ransomware.
Sources :
La panne de Microsoft Azure perturbe les services dans toute l'Amérique du Nord
Le 5 août 2024, Microsoft a connu une panne majeure de son service Azure, qui a duré plus de deux heures et a affecté de nombreux clients en Amérique du Nord et en Amérique latine. L'incident a débuté vers 18h22 UTC, touchant principalement les services utilisant Azure Front Door (AFD), un réseau de distribution de contenu cloud. Microsoft a attribué la panne à un "changement de configuration" et a indiqué avoir annulé ce changement, permettant une récupération progressive des services à partir de 19h25 UTC. Cependant, des utilisateurs au Royaume-Uni et au Brésil ont également signalé des problèmes de connexion à Azure DevOps. Pendant la panne, la page de statut Azure n'a pas fourni d'informations pendant environ une heure et a été inaccessible pour de nombreux clients. Cette panne survient après une autre interruption significative la semaine précédente, causée par une attaque DDoS qui a mis à mal les composants AFD et CDN. Microsoft a reconnu que des erreurs dans la mise en œuvre de ses défenses avaient amplifié l'impact de cette attaque. Les pannes récurrentes soulignent des problèmes persistants dans la gestion des configurations et la sécurité des services Azure.
Sources :
Crowdstrike : Delta Air Lines refuse l'aide gratuite pour résoudre une panne informatique
Les tensions juridiques entre Delta Air Lines et CrowdStrike s'intensifient suite à une panne informatique majeure. CrowdStrike affirme que cette panne, causée par une mise à jour défectueuse de son logiciel de cybersécurité Falcon, a entraîné le crash de plus de 8,5 millions d'appareils Windows. Delta a subi des interruptions de service pendant cinq jours, perturbant des milliers de vols et entraînant des pertes de 500 millions de dollars. Malgré l'offre d'assistance gratuite de CrowdStrike pour résoudre le problème, Delta a refusé cette aide, ce qui a conduit à une décision de poursuivre la société de cybersécurité pour protéger ses actionnaires et sa réputation. Le PDG de Delta, Ed Bastian, a exprimé son mécontentement face à l'absence d'aide concrète de CrowdStrike. En réponse, CrowdStrike a rejeté les accusations de négligence, soulignant qu'elle avait proposé une assistance immédiate, qui avait été déclinée. La société appelle Delta à reconsidérer sa position et à préserver les données liées à l'incident en vue d'une éventuelle procédure judiciaire. Les deux parties semblent déterminées à défendre leurs intérêts dans cette affaire complexe.
Sources :
Windows Smart App Control, contournement de SmartScreen exploité depuis 2018
Une vulnérabilité dans Windows Smart App Control et SmartScreen permet aux attaquants de lancer des programmes sans déclencher d'avertissements de sécurité, exploitée depuis au moins 2018. Smart App Control, remplaçant de SmartScreen dans Windows 11, utilise des services d'intelligence d'application pour prédire la sécurité et bloquer les applications non fiables. Une faille, appelée "LNK stomping", concerne la gestion des fichiers LNK, permettant aux acteurs malveillants de contourner les contrôles de sécurité. En créant des fichiers LNK avec des chemins cibles non standards, les attaquants peuvent faire en sorte que l'explorateur Windows modifie ces fichiers, supprimant ainsi l'étiquette "Mark of the Web" (MotW) qui déclenche les vérifications de sécurité. Elastic Security Labs a découvert que cette vulnérabilité a été exploitée dans la nature, avec des échantillons trouvés sur VirusTotal. D'autres faiblesses, comme la signature de logiciels malveillants et le détournement de réputation, permettent également de contourner ces protections. Les chercheurs avertissent que ces failles fondamentales peuvent permettre un accès initial sans avertissements de sécurité. Ils recommandent aux équipes de sécurité de ne pas se fier uniquement aux fonctionnalités de sécurité natives de l'OS. Un outil open-source a été mis à disposition pour vérifier le niveau de confiance des fichiers.
Sources :
Des pirates nord-coréens exploitent une faille de mise à jour VPN pour installer des logiciels malveillants
Le Centre national de cybersécurité de Corée du Sud (NCSC) a averti que des hackers nord-coréens ont exploité des failles dans une mise à jour de logiciel VPN pour déployer des malwares et infiltrer des réseaux. Cette activité est liée à un projet de modernisation des usines annoncé par Kim Jong-un en janvier 2023, visant à voler des secrets commerciaux sud-coréens. Deux groupes de menaces, Kimsuky (APT43) et Andariel (APT45), sont impliqués, tous deux soutenus par l'État et associés au groupe Lazarus. Dans un premier cas, Kimsuky a compromis un site web d'une organisation de construction sud-coréenne pour diffuser un logiciel malveillant via des installateurs trompeurs. Ces installateurs, signés numériquement avec un certificat valide, ont permis de voler des données sensibles. Dans un second cas, Andariel a exploité une vulnérabilité dans un logiciel VPN pour installer le malware DoraRAT, ciblant des entreprises de construction. Le NCSC recommande des inspections de sécurité, des politiques strictes de distribution de logiciels, des mises à jour régulières et une formation continue des employés pour contrer ces menaces.
Sources :
Keytronic rapporte des pertes de plus de 17 millions de dollars après une attaque de ransomware
Keytronic, un fournisseur de services de fabrication électronique, a annoncé des pertes de plus de 17 millions de dollars suite à une attaque par ransomware survenue en mai 2024. Fondée en 1969, l'entreprise, qui fabrique principalement des assemblages de circuits imprimés, a détecté l'incident le 6 mai, entraînant des perturbations dans ses opérations aux États-Unis et au Mexique. Dans un dépôt auprès de la SEC, Keytronic a indiqué avoir engagé environ 2,3 millions de dollars de dépenses supplémentaires et estimé une perte de 15 millions de dollars de revenus au cours du quatrième trimestre. Bien que la plupart des commandes soient récupérables et devraient être honorées en 2025, l'attaque a également entraîné le vol d'informations personnelles. Le groupe de ransomware Black Basta a revendiqué l'attaque, affirmant avoir exfiltré une variété de données, y compris des fichiers sensibles. Black Basta, actif depuis avril 2022, a ciblé de nombreuses victimes notables, collectant au moins 100 millions de dollars en rançons. Keytronic n'a pas encore fourni d'informations sur le nombre de personnes affectées par cette violation de données.
Sources :
Agressions homophobes : deux nouvelles arrestations concernant des administrateurs du forum COCO
Deux nouvelles arrestations ont été effectuées concernant des administrateurs du forum COCO.GG, fermé en raison d'agressions homophobes. Ce forum, actif depuis des décennies, avait suscité de nombreuses plaintes et était devenu un lieu de rencontres sexuelles où se produisaient des violences. Les autorités, dont la CyberGEND et l'ONAF, ont intensifié l'enquête après la fermeture du site. Un individu clé, surnommé Jorogumo, un pirate informatique français, est suspecté d'être à l'origine de plusieurs "chasses à l'homme", bien qu'il délègue souvent ces actions. Jorogumo a des liens avec le groupe d'hacktivistes russe NoName057(16), ce qui soulève des inquiétudes quant à ses motivations, notamment la création d'un groupe "anti-pédo russe". Les récentes arrestations soulignent la gravité de la situation. Les autorités rappellent aux citoyens de signaler toute activité suspecte sans recourir à la violence, car posséder des documents pédopornographiques est un délit grave, entraînant des peines sévères. Les violences volontaires peuvent mener à des peines de prison allant jusqu'à 10 ans et des amendes de 150 000 euros. Les citoyens sont encouragés à laisser les professionnels gérer ces enquêtes.
Sources :
Google Chrome va bloquer les voleurs d'informations grâce au chiffrement lié aux applications
Google Chrome a récemment annoncé une nouvelle mesure de sécurité pour contrer les attaques de logiciels malveillants visant à voler des informations. Dans un article, Will Harris de l'équipe de sécurité de Chrome a expliqué que le navigateur intégrera désormais un chiffrement lié aux applications pour les utilisateurs de Windows, afin de protéger contre le vol de cookies par des infostealers. Ce chiffrement fonctionnera en synergie avec l'API de protection des données de Windows (DPAPI), qui sécurise les données au repos. Cependant, DPAPI ne peut pas protéger contre les applications malveillantes exécutées par un utilisateur connecté, ce que les infostealers exploitent.
Le chiffrement lié aux applications (App-Bound Encryption) empêche les applications de fonctionner de manière malveillante en vérifiant l'identité de l'application avant de déchiffrer les données. Si une autre application tente de déchiffrer ces données, cela échouera. Cette fonctionnalité, intégrée avec des privilèges SYSTEM, rendra difficile pour les malwares de contourner cette mesure de sécurité. Prévue pour être déployée avec Chrome 127, cette fonctionnalité protégera d'abord les cookies, puis, à l'avenir, les mots de passe et les informations de paiement, réduisant ainsi considérablement les attaques des infostealers.
Sources :
La version stable de Google Chrome 127 corrige plusieurs bugs de sécurité
Les utilisateurs de Google Chrome doivent mettre à jour leurs appareils avec la dernière version stable, Chrome 127, qui corrige plusieurs vulnérabilités de sécurité. Bien que ces failles soient sérieuses, aucune d'elles n'est considérée comme un zero-day. Cette mise à jour, publiée presque un mois après une précédente, inclut des correctifs pour des problèmes critiques tels que CVE-2024-6990, une vulnérabilité de gravité critique liée à une utilisation non initialisée dans Dawn, et deux autres failles de haute gravité, CVE-2024-7255 et CVE-2024-7256, signalées par des chercheurs. Ces correctifs concernent les versions 127.0.6533.88/89 pour Windows et Mac, ainsi que 127.0.6533.88 pour Linux, et la version 127.0.6533.84 pour Android. Étant donné que ces vulnérabilités affectent le moteur Chromium, tous les navigateurs basés sur Chromium, y compris Microsoft Edge, sont également concernés. Cette mise à jour intervient après une panne majeure du gestionnaire de mots de passe qui a touché les utilisateurs de Chrome. Bien que Google n'ait pas signalé d'exploitation active de ces failles, il est crucial que tous les utilisateurs mettent à jour leurs appareils rapidement pour garantir leur sécurité.
Sources :
TryCloudflare exploité dans des campagnes malveillantes diffusant des logiciels malveillants
Des chercheurs ont découvert que la fonctionnalité TryCloudflare de Cloudflare est activement exploitée dans des campagnes de malware. Cette fonctionnalité permet aux utilisateurs de bénéficier des services de sécurité de Cloudflare sans compte, facilitant ainsi l'accès à distance. Cependant, des hackers en abusent pour livrer des malwares, notamment des chevaux de Troie d'accès à distance (RAT). Selon un rapport de Proofpoint, l'exploitation malveillante a été observée pour la première fois en février 2024, avec une augmentation des attaques entre mai et juillet. Le processus d'attaque commence par inciter la victime à ouvrir une pièce jointe malveillante ou à cliquer sur un lien. Cela établit une connexion avec un serveur externe via WebDAV pour télécharger un fichier .lnk ou .vbs, qui à son tour télécharge un package d'installation Python et divers scripts pour installer le malware sur l'appareil ciblé. Les campagnes récentes ont principalement ciblé le RAT 'Xworm', mais d'autres malwares comme AsyncRAT et VenomRAT ont également été utilisés. Les chercheurs ont fourni une analyse technique détaillée de cette stratégie d'attaque, bien que l'identité des acteurs malveillants reste inconnue.
Sources :
JO de Paris 2024 : une députée LFI partage une fausse info sur les épreuves fabriquée par la Russie
La députée LFI Ersilia Soudais a récemment partagé sur le réseau social X une fausse une du journal Libération, prétendant que des athlètes avaient subi des urgences médicales après s'être baignés dans la Seine. Cette information, rapidement supprimée, provenait de réseaux de propagande russes, ayant été initialement diffusée sur VKontakte et Telegram. La couverture trompeuse s'appuyait sur une image du triathlète canadien Tyler Mislawchuk, qui a vomi après sa course, mais qui a précisé que cela n'était pas lié à la qualité de l'eau. Malgré la suppression de la publication, la fausse information continue de circuler sur les réseaux sociaux. Cette situation s'inscrit dans une campagne de désinformation orchestrée par le Kremlin, similaire à l'opération Doppelgänger, visant à diffuser de fausses informations depuis l'invasion de l'Ukraine. Un rapport de l'entreprise de cybersécurité HarfangLab souligne la prolifération de faux sites et d'articles de propagande. Les Jeux olympiques de Paris sont particulièrement ciblés, avec des acteurs de la désinformation s'adaptant rapidement aux polémiques, rendant la vérification des informations d'autant plus complexe.
Sources :
Le nouveau malware LianSpy se cache en bloquant la fonction de sécurité Android
Un nouveau malware Android, nommé 'LianSpy', a été découvert, ciblant principalement les utilisateurs russes. Se faisant passer pour une application Alipay ou un service système, il a réussi à rester indétecté depuis juillet 2021 grâce à ses capacités de furtivité avancées. Les chercheurs de Kaspersky suspectent que les attaquants exploitent une vulnérabilité zero-day ou ont un accès physique aux appareils pour infecter les cibles. LianSpy obtient des privilèges root, permettant de prendre des captures d'écran, de voler des fichiers et de collecter des journaux d'appels. Il contourne les indicateurs de confidentialité d'Android 12 et versions ultérieures, en bloquant les notifications de capture d'écran et d'activation de la caméra. Une fois installé, il demande des permissions pour accéder aux notifications, contacts et activités en arrière-plan, tout en évitant de s'exécuter dans un environnement d'analyse. Les données volées sont stockées sous forme chiffrée et exfiltrées vers Yandex Disk, nécessitant une clé RSA privée pour y accéder. LianSpy utilise également des services pour supprimer les notifications gênantes, ciblant spécifiquement les utilisateurs russes, comme l'indiquent les phrases codées en anglais et en russe.
