Des pirates exploitent des bibliothèques npm malveillantes pour tromper des milliers d'utilisateurs - Actus du 19/12/2024
Découvrez comment des hackers exploitent Google Agenda, ciblent les instances SaaS de support à distance et trompent des milliers d'utilisateurs avec de fausses bibliothèques npm. Protégez-vous contre ces cybermenaces grandissantes!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Cette fausse notification sur Google Agenda est envoyée par des hackers
Les cybercriminels exploitent une nouvelle méthode de phishing en usurpant Google Agenda pour cibler plus de 300 entreprises et collectivités en un mois, selon un rapport de Check Point. En modifiant les en-têtes des emails, ils envoient des invitations qui semblent officielles, contenant souvent un fichier calendrier (.ics) avec un lien vers Google Forms. En cliquant sur ce lien, les victimes sont redirigées vers des pages trompeuses, souvent déguisées en vérification CAPTCHA ou en assistance, qui les mènent à des sites frauduleux liés au minage de cryptomonnaie. Ces faux sites cherchent à obtenir des informations personnelles et bancaires des utilisateurs. Pour se protéger, Google recommande d'activer l'option « expéditeurs connus » dans Google Agenda et de rester vigilant face aux invitations suspectes. Check Point conseille également de vérifier les liens avant de cliquer et d'utiliser l'authentification à deux facteurs sur les comptes sensibles. Les cybercriminels adaptent constamment leurs techniques, rendant la vigilance essentielle pour éviter de devenir une victime. Il est crucial de ne pas cliquer sans réfléchir et de toujours vérifier l'origine des messages.
Sources :
BeyondTrust affirme que des pirates informatiques ont piraté des instances SaaS de support à distance
BeyondTrust, une entreprise spécialisée dans la gestion des accès privilégiés, a subi une cyberattaque début décembre 2024, lorsque des hackers ont compromis certaines de ses instances de Remote Support SaaS. Le 2 décembre, la société a détecté un comportement anormal sur son réseau, confirmant rapidement que des acteurs malveillants avaient accédé à une clé API de Remote Support, leur permettant de réinitialiser les mots de passe des comptes d'application locaux. Le 5 décembre, BeyondTrust a révoqué la clé compromise et a informé les clients affectés tout en suspendant les instances concernées. L'impact sur les clients en aval reste incertain. En enquêtant sur l'incident, BeyondTrust a découvert deux vulnérabilités critiques, dont l'une, CVE-2024-12356, permet à un attaquant non authentifié d'exécuter des commandes système. La seconde, CVE-2024-12686, permet aux administrateurs d'injecter des commandes et de télécharger des fichiers malveillants. Bien que ces failles n'aient pas été explicitement liées à l'attaque, il est possible qu'elles aient été exploitées. BeyondTrust a appliqué des correctifs automatiquement sur ses instances cloud, tandis que les utilisateurs d'instances auto-hébergées doivent le faire manuellement. L'enquête est toujours en cours.
Sources :
Des milliers de personnes téléchargent des bibliothèques npm malveillantes se faisant passer pour des outils légitimes
Des acteurs malveillants ont récemment téléchargé des versions trompeuses de paquets npm légitimes, comme typescript-eslint et @types/node, qui ont accumulé des milliers de téléchargements. Les versions contrefaites, @typescripteslinter/eslint et types-node, sont conçues pour télécharger un cheval de Troie et récupérer des charges utiles secondaires. Selon Ax Sharma de Sonatype, ces attaques de typosquatting, bien que courantes, montrent un effort significatif pour tromper les développeurs. Les téléchargements élevés de "types-node" suggèrent que certains développeurs pourraient être tombés dans le piège, tandis que les acteurs malveillants pourraient avoir gonflé artificiellement ces chiffres pour renforcer la crédibilité de leurs composants malveillants. L'analyse a révélé que le listing npm de @typescripteslinter/eslint pointe vers un faux dépôt GitHub, et un fichier "prettier.bat" y est inclus, qui est en réalité un exécutable Windows malveillant. Le paquet types-node, quant à lui, se connecte à un URL Pastebin pour exécuter un exécutable trompeusement nommé "npm.exe". Ces incidents soulignent l'importance d'améliorer la sécurité de la chaîne d'approvisionnement et d'être vigilant lors du téléchargement de logiciels tiers.
Sources :
Juniper met en garde contre le botnet Mirai qui cible les appareils SSR avec des mots de passe par défaut
Juniper Networks a averti que ses produits Session Smart Router (SSR) avec des mots de passe par défaut sont ciblés dans le cadre d'une campagne malveillante utilisant le malware Mirai. Cette alerte fait suite à des rapports d'anomalies sur les plateformes Session Smart Network (SSN) de plusieurs clients le 11 décembre 2024. Les systèmes infectés ont été utilisés comme sources d'attaques DDoS contre d'autres dispositifs sur leur réseau. Mirai, dont le code source a été divulgué en 2016, est capable de scanner les vulnérabilités connues et les identifiants par défaut pour infiltrer des appareils et les intégrer dans un botnet. Pour se protéger, les organisations doivent immédiatement changer leurs mots de passe par des mots de passe forts et uniques, auditer régulièrement les journaux d'accès, utiliser des pare-feu et maintenir leurs logiciels à jour. Les signes d'attaques Mirai incluent des analyses de ports inhabituelles, des tentatives de connexion SSH fréquentes, un volume de trafic sortant accru vers des adresses IP inattendues, des redémarrages aléatoires et des connexions depuis des adresses IP malveillantes. Si un système est infecté, la seule solution sûre est de le réinstaller complètement. Parallèlement, AhnLab a signalé que des serveurs Linux mal gérés sont ciblés par un nouveau malware DDoS appelé cShell.
Sources :
Fortinet met en garde contre une faille critique dans FortiWLM qui pourrait conduire à des exploits d'accès administrateur
Fortinet a publié un avis concernant une vulnérabilité critique, CVE-2023-34990, affectant le Wireless LAN Manager (FortiWLM), qui pourrait permettre à un attaquant distant non authentifié de lire des fichiers sensibles. Cette faille, notée 9.6 sur 10 au CVSS, résulte d'une traversée de chemin relative, permettant l'accès à des fichiers journaux et potentiellement l'exécution de code non autorisé via des requêtes web spécifiques. Les versions concernées incluent FortiWLM 8.6.0 à 8.6.5 et 8.5.0 à 8.5.4, toutes corrigées dans des mises à jour ultérieures. La vulnérabilité a été découverte par le chercheur en sécurité Zach Hanley. En exploitant cette faille, un attaquant pourrait obtenir des identifiants de session et compromettre des points d'accès authentifiés. De plus, cette vulnérabilité peut être combinée avec une autre faille, CVE-2023-48782, pour exécuter du code à distance. Fortinet a également corrigé une vulnérabilité d'injection de commande dans FortiManager, affectant plusieurs versions et modèles. Il est crucial pour les utilisateurs de maintenir leurs appareils à jour pour se protéger contre ces menaces croissantes.
Sources :
La CISA impose la sécurité du cloud aux agences fédérales d'ici 2025 en vertu de la directive contraignante 25-01
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié la Directive Opérationnelle Liante (BOD) 25-01, exigeant des agences fédérales civiles qu'elles sécurisent leurs environnements cloud en respectant les normes de configuration sécurisée des applications cloud (SCuBA). Cette directive vise à réduire les risques liés aux erreurs de configuration et aux contrôles de sécurité faibles, qui peuvent être exploités par des attaquants. Les agences doivent déployer des outils d'évaluation de configuration automatisés développés par la CISA et intégrer les résultats dans leur infrastructure de surveillance continue. Actuellement, les normes SCuBA concernent principalement Microsoft 365, mais d'autres produits cloud pourraient être ajoutés ultérieurement. Les agences doivent respecter plusieurs échéances, notamment l'identification des locataires cloud d'ici le 21 février 2025 et la mise en œuvre des politiques SCuBA d'ici le 20 juin 2025. Parallèlement, la CISA a recommandé l'utilisation d'applications de messagerie chiffrées de bout en bout pour les communications sensibles, en particulier pour les individus occupant des postes élevés. Ces mesures visent à renforcer la résilience et à protéger les communications contre les cybermenaces, notamment celles liées à des acteurs soutenus par des États.
Sources :
L'autorité néerlandaise de protection des données (DPA) inflige une amende de 4,75 millions d'euros à Netflix pour violation du RGPD concernant la transparence des données
L'Autorité néerlandaise de protection des données (DPA) a infligé une amende de 4,75 millions d'euros à Netflix pour ne pas avoir fourni suffisamment d'informations sur l'utilisation des données de ses utilisateurs entre 2018 et 2020. Une enquête, lancée en 2019, a révélé que la plateforme ne clarifiait pas dans sa déclaration de confidentialité comment elle utilisait les données collectées, telles que les adresses e-mail, les numéros de téléphone et les détails de paiement. De plus, les clients n'ont pas reçu d'informations adéquates lorsqu'ils ont demandé quelles données étaient collectées à leur sujet, ce qui constitue une violation du Règlement général sur la protection des données (RGPD). Netflix a également été critiqué pour son manque de transparence concernant le partage d'informations avec des tiers, la durée de conservation des données et les garanties de sécurité lors de la transmission d'informations en dehors de l'Europe. Bien que la société ait mis à jour sa déclaration de confidentialité, elle conteste l'amende. L'organisation de protection de la vie privée None of Your Business, à l'origine de la plainte, a exprimé sa satisfaction quant à la décision de la DPA, soulignant l'importance d'une communication claire sur la gestion des données personnelles.
Sources :
UAC-0125 abuse des employés de Cloudflare pour distribuer des logiciels malveillants déguisés en application Army+
Le Computer Emergency Response Team d'Ukraine (CERT-UA) a révélé qu'un acteur malveillant, identifié comme UAC-0125, utilise le service Cloudflare Workers pour tromper le personnel militaire ukrainien en leur faisant télécharger un malware déguisé en application Army+, lancée par le ministère de la Défense en août 2024. Les utilisateurs visitant ces faux sites sont invités à télécharger un exécutable Windows, créé avec Nullsoft Scriptable Install System (NSIS). Ce fichier exécute un script PowerShell qui installe OpenSSH, génère des clés cryptographiques RSA et envoie la clé privée à un serveur contrôlé par l'attaquant via le réseau TOR, permettant ainsi un accès à distance à la machine de la victime. UAC-0125 est lié à un groupe de menaces persistantes avancées (APT) connu sous le nom d'APT44, associé à la GRU russe. Parallèlement, Fortra a signalé une augmentation des abus de services légitimes, notamment une hausse de 198 % des attaques de phishing sur Cloudflare Pages. Le Conseil européen a imposé des sanctions contre des individus et entités liés à des actions déstabilisatrices de la Russie, y compris des réseaux de désinformation et des opérations d'influence.
Sources :
Une attaque de phishing en cours utilise Google Agenda pour contourner les filtres anti-spam
Une attaque de phishing en cours exploite les invitations Google Calendar et les pages Google Drawings pour voler des identifiants tout en contournant les filtres anti-spam. Selon Check Point, qui surveille cette attaque, plus de 4 000 emails ont été envoyés en quatre semaines, ciblant 300 marques, y compris des institutions éducatives, des services de santé, des entreprises de construction et des banques. Les attaquants envoient des invitations de réunion qui semblent innocentes, surtout si d'autres invités sont reconnus. Ces invitations contiennent un lien menant à des formulaires ou des dessins Google, incitant l'utilisateur à cliquer sur un autre lien, souvent déguisé en reCaptcha ou bouton de support. En utilisant les services de Google Calendar, les attaquants rendent les en-têtes des emails légitimes, contournant ainsi les vérifications de sécurité DKIM, SPF et DMARC. Pour augmenter le nombre d'emails de phishing, ils peuvent également annuler l'événement et envoyer un message aux participants avec un lien supplémentaire. Bien que Google ait mis en place des protections, celles-ci doivent être activées par les administrateurs de Google Workspace. Check Point conseille aux utilisateurs de rester vigilants face aux invitations de réunion et de ne cliquer sur aucun lien à moins de faire confiance à l'expéditeur.
Sources :
L'opérateur du malware Raccoon Stealer écope de 5 ans de prison après avoir plaidé coupable
Mark Sokolovsky, un ressortissant ukrainien, a été condamné à cinq ans de prison pour son rôle dans l'opération cybercriminelle Raccoon Stealer. Ce malware, proposé sous un modèle de "malware-as-a-service", permettait à d'autres acteurs malveillants de louer ses services pour 75 $ par semaine ou 200 $ par mois. Raccoon Stealer était capable de collecter une variété de données sensibles, y compris des identifiants, des portefeuilles de cryptomonnaie et des informations de carte de crédit. Sokolovsky a été arrêté en mars 2022 aux Pays-Bas, et le FBI a ensuite démantelé l'infrastructure du malware en collaboration avec les autorités néerlandaises et italiennes. Après son extradition vers les États-Unis en février 2024, il a plaidé coupable à des accusations de fraude et de vol d'identité, acceptant de verser au moins 910 844,61 $ en restitution. Selon les autorités, Sokolovsky a joué un rôle clé dans une conspiration criminelle internationale, compromettant plus de 52 millions de données d'utilisateurs, utilisées pour des fraudes et des attaques par ransomware à l'échelle mondiale. Le FBI a également mis en place un site pour aider les victimes à vérifier si leurs informations avaient été compromises.
Sources :
Des pirates russes utilisent des proxys RDP pour voler des données lors d'attaques MiTM
Le groupe de hackers russes APT29, également connu sous le nom de "Midnight Blizzard", utilise un réseau de 193 serveurs proxy RDP (Remote Desktop Protocol) pour mener des attaques de type man-in-the-middle (MiTM) afin de voler des données et des identifiants. Ces attaques exploitent l'outil PyRDP pour scanner les systèmes des victimes, dérober des informations en arrière-plan et exécuter des applications malveillantes à distance. Selon Trend Micro, qui suit ces acteurs sous le nom d'Earth Koshchei, les cibles incluent des organisations gouvernementales, militaires, diplomatiques, ainsi que des fournisseurs de services informatiques et de télécommunications, principalement aux États-Unis, en France, en Australie, en Ukraine, au Portugal, en Allemagne, en Israël, en Grèce, en Turquie et aux Pays-Bas. Les hackers trompent les victimes en les incitant à se connecter à des serveurs RDP malveillants via des fichiers joints à des courriels de phishing. Une fois la connexion établie, ils ont un accès complet aux ressources locales, leur permettant de voler des informations sensibles. Pour se cacher, APT29 utilise des VPN commerciaux, des nœuds de sortie TOR et des services de proxy résidentiels. Les utilisateurs de Windows doivent se connecter uniquement à des serveurs RDP de confiance pour se protéger.
Sources :
Les États-Unis envisagent d'interdire les routeurs TP-Link en raison des risques liés à la cybersécurité
Le gouvernement américain envisage d'interdire les routeurs TP-Link à partir de l'année prochaine en raison de risques potentiels pour la sécurité nationale, suite à des enquêtes en cours sur leur utilisation dans des cyberattaques. Selon le Wall Street Journal, les départements de la Justice, du Commerce et de la Défense examinent la situation, avec des subpoenas déjà émis à l'encontre de l'entreprise. TP-Link détient environ 65 % du marché américain des routeurs pour petites entreprises et foyers, une part de marché qui pourrait être artificielle en raison de la vente de ses appareils à des prix inférieurs à leur coût de fabrication. Plus de 300 fournisseurs d'accès Internet américains distribuent des routeurs TP-Link comme appareils par défaut. Une enquête a été déclenchée après qu'un rapport de Microsoft ait révélé qu'un botnet composé principalement de routeurs TP-Link était utilisé par des acteurs chinois pour mener des attaques. En parallèle, l'administration Biden a également pris des mesures contre d'autres entreprises chinoises en raison de préoccupations similaires en matière de sécurité nationale. TP-Link a exprimé sa volonté de collaborer avec le gouvernement américain pour prouver la conformité de ses pratiques de sécurité.
Sources :
Le phishing de HubSpot cible 20 000 comptes Microsoft Azure
Une campagne de phishing ciblant des entreprises des secteurs automobile, chimique et de fabrication industrielle en Allemagne et au Royaume-Uni a compromis environ 20 000 comptes Microsoft Azure. Les acteurs malveillants ont exploité HubSpot, en utilisant des liens du Form Builder et des PDF imitant DocuSign pour rediriger les victimes vers des pages de collecte de données d'identification. Selon le rapport de l'équipe Unit 42 de Palo Alto Networks, cette campagne, active de juin à septembre 2024, a utilisé au moins dix-sept formulaires trompeurs créés via HubSpot pour inciter les utilisateurs à fournir leurs informations sensibles. Bien que l'infrastructure de HubSpot n'ait pas été compromise, elle a servi d'intermédiaire pour diriger les victimes vers des sites contrôlés par les attaquants, imitant des pages de connexion à Microsoft Outlook et Azure. Les emails de phishing, contenant des liens vers HubSpot, ont réussi à passer les filtres de sécurité, bien qu'ils aient échoué aux vérifications SPF, DKIM et DMARC. Après une compromission, les attaquants ont utilisé des VPN pour masquer leur localisation et tenter de reprendre le contrôle des comptes, entraînant une lutte pour l'accès entre les victimes et les attaquants.
Sources :
La CISA exhorte à passer à des applications de messagerie cryptées de type Signal après des piratages de télécommunications
Le 18 décembre 2024, la CISA a recommandé aux responsables gouvernementaux et politiques de passer à des applications de messagerie chiffrées de bout en bout, comme Signal, suite à une série de violations de télécommunications touchant plusieurs pays, dont huit opérateurs aux États-Unis. Ces violations, confirmées par la CISA et le FBI, ont été attribuées au groupe de menaces soutenu par la Chine, Salt Typhoon, qui a infiltré des entreprises de télécommunications américaines telles que T-Mobile et AT&T. Bien que la durée d'accès des attaquants reste floue, il est rapporté qu'ils ont eu accès aux systèmes pendant des mois. La CISA a averti que toutes les communications entre appareils mobiles et services Internet sont à risque d'interception. Elle a donc conseillé aux individus ciblés de revoir leurs pratiques de sécurité, en adoptant des applications de messagerie sécurisées comme Signal, compatibles avec divers systèmes d'exploitation. En plus de cela, la CISA a recommandé l'utilisation de l'authentification multifactorielle résistante au phishing, de gestionnaires de mots de passe, et de mises à jour régulières des logiciels pour renforcer la sécurité contre les cyberattaques.
Sources :
Les extensions malveillantes de Microsoft VSCode ciblent les développeurs et la communauté crypto
Des extensions malveillantes pour Visual Studio Code (VSCode) ont été découvertes sur le marché VSCode, ciblant les développeurs et la communauté des cryptomonnaies dans le cadre d'attaques de chaîne d'approvisionnement. Selon un rapport de Reversing Labs, ces extensions ont commencé à apparaître en octobre 2024, avec une campagne comprenant 18 extensions malveillantes, dont certaines visaient des investisseurs en cryptomonnaies et des outils de productivité comme Zoom. Les extensions soumises incluent des noms tels que EVM.Blockchain-Toolkit et plusieurs variantes de Solidity pour Ethereum. En parallèle, un package malveillant sur NPM, 'etherscancontacthandler', a été téléchargé 350 fois. Les attaquants ont ajouté de faux avis et gonflé les chiffres d'installation pour paraître légitimes. Toutes les extensions avaient la même fonctionnalité malveillante, téléchargeant des charges utiles obfusquées depuis des domaines suspects. Les chercheurs ont identifié des fichiers CMD Windows cachés qui exécutent des commandes PowerShell pour déchiffrer des chaînes AES et déployer d'autres charges sur les systèmes compromis. Les experts recommandent de valider la sécurité et la légitimité du code lors du téléchargement de composants pour éviter des compromissions de chaîne d'approvisionnement.
Sources :
Encore une base de données FREE à vendre ? La mauvaise blague d’un pirate amateur
Un pirate a récemment tenté de vendre une prétendue base de données volée à Free Pro sur le forum Breached, le 18 décembre 2024. Cette annonce, maladroite et similaire à des arnaques précédentes, révèle une supercherie évidente. Le pirate, qui a alterné entre fausses identités masculine et féminine, a utilisé des photos génériques trouvées en ligne, notamment une image d'un policier russe provenant de DepositPhoto. Son compte Telegram, créé le jour même de l'annonce, témoigne d'un manque de préparation et d'un amateurisme flagrant. L'échantillon de la base de données prétendument volée ne contient que des informations déjà connues, renforçant l'idée qu'il s'agit d'un leurre pour attirer les curieux et les imprudents. Les méthodes employées, telles que la manipulation et la désinformation, sont typiques des escroqueries en ligne. Les potentiels acheteurs risquent de perdre leur argent pour une promesse illusoire de trésor numérique. Cette opération, à la fois ridicule et peu crédible, souligne l'importance de rester vigilant face à la cybercriminalité et de ne pas se laisser piéger par des arnaques similaires.
Sources :
Le PDG de Recorded Future salue la désignation « indésirable » par la Russie
Recorded Future, une entreprise américaine spécialisée dans l'intelligence des menaces, est devenue la première société de cybersécurité désignée comme "organisation indésirable" par le gouvernement russe. Cette désignation, introduite il y a près d'une décennie pour qualifier les ONG occidentales, interdit toute activité de Recorded Future en Russie. Le bureau du procureur général russe a déclaré que la société fournissait un soutien technique et des informations pour des campagnes de propagande occidentales visant la Russie. Les autorités russes accusent Recorded Future d'interagir avec la CIA et d'autres services de renseignement, ainsi que de fournir des données à l'Ukraine sur les activités de l'armée russe, facilitant ainsi des cyberattaques contre des entités russes. Bien que l'entreprise n'ait pas encore publié de déclaration officielle, son PDG, Christopher Ahlberg, a salué ce statut d'"indésirable" comme un "compliment rare". Recorded Future se décrit comme la plus grande entreprise d'intelligence des menaces au monde, avec plus de 1 900 clients dans plus de 75 pays. En septembre, la société a annoncé son acquisition par Mastercard pour 2,65 milliards de dollars.
