Des publicités Facebook mènent à des sites frauduleux - Actus du 01/08/2024
Découvrez comment le cheval de Troie Android BingoMod vole de l'argent et efface les appareils, pourquoi l'obfuscation a ses deux côtés et comment Google Chrome renforce la sécurité des cookies avec un chiffrement lié aux applications. Protégez-vous contre les menaces numériques !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le nouveau cheval de Troie bancaire Android BingoMod vole de l'argent et efface les appareils
Des chercheurs en cybersécurité ont découvert un nouveau cheval de Troie d'accès à distance (RAT) pour Android, nommé BingoMod, qui effectue des transferts d'argent frauduleux et efface les appareils compromis pour dissimuler les traces du malware. Identifié par la société italienne Cleafy fin mai 2024, BingoMod est attribué à un acteur malveillant probablement de langue roumaine, en raison de commentaires en roumain dans son code source. Ce RAT moderne permet aux acteurs de menace de réaliser des prises de contrôle de comptes directement depuis l'appareil infecté, exploitant la technique de fraude sur appareil (ODF). BingoMod se distingue par son mécanisme d'auto-destruction, visant à supprimer les preuves des transferts frauduleux, et pourrait initier une réinitialisation complète de l'appareil. Les applications malveillantes se présentent comme des outils antivirus ou des mises à jour de Google Chrome, demandant des autorisations d'accessibilité pour exécuter des actions malveillantes. Le malware établit une connexion avec l'infrastructure de commande et de contrôle pour recevoir jusqu'à 40 commandes, permettant des transferts d'argent en temps réel. BingoMod utilise également des techniques d'obfuscation pour échapper à la détection et réalise des attaques de phishing via des superpositions et des notifications falsifiées.
Sources :
Obfuscation : il y a deux côtés à toute chose
L'article traite des techniques d'obfuscation utilisées par les cybercriminels pour dissimuler des logiciels malveillants et échapper à la détection. L'obfuscation consiste à rendre le code source difficile à comprendre tout en maintenant son fonctionnement, par des méthodes telles que la compression, la modification du flux de contrôle et l'encodage de chaînes. Ces techniques visent à anonymiser les attaquants et à masquer la signature des menaces, rendant ainsi les systèmes de détection basés sur des signatures inefficaces, notamment face aux exploits zero-day. Les attaquants adoptent des méthodes de communication plus discrètes et lentes, rendant la reconnaissance plus complexe. L'article souligne l'importance d'une stratégie de sécurité globale qui intègre l'analyse comportementale et l'apprentissage automatique. Les outils de détection et de réponse réseau (NDR) sont présentés comme des solutions avancées, capables de s'adapter aux menaces en constante évolution et d'analyser le trafic réseau sur des périodes prolongées pour détecter des anomalies. L'intégration de protocoles comme Mitre ATT&CK et ZEEK avec des outils EDR permet d'améliorer l'analyse de la sécurité en corrélant les activités suspectes sur les points de terminaison avec le trafic réseau.
Sources :
Google Chrome ajoute un chiffrement lié aux applications pour protéger les cookies contre les logiciels malveillants
Google a annoncé l'ajout d'une nouvelle couche de protection à son navigateur Chrome via un système de cryptage lié aux applications, visant à empêcher les malwares de voler des cookies sur les systèmes Windows. Will Harris de l'équipe de sécurité de Chrome a expliqué que, bien que le Data Protection API (DPAPI) protège les données au repos, il ne protège pas contre les applications malveillantes exécutant du code en tant qu'utilisateur connecté. Le cryptage lié aux applications améliore le DPAPI en intégrant l'identité de l'application dans les données chiffrées, rendant l'accès impossible à d'autres applications lors de la décryption. Cette méthode nécessite que les malwares obtiennent des privilèges système, rendant leur tâche plus difficile. Bien que cette protection soit actuellement limitée aux cookies, Google prévoit de l'étendre aux mots de passe et autres données d'authentification. Ce changement, introduit avec Chrome 127, s'inscrit dans une série d'améliorations de sécurité récentes, y compris une navigation sécurisée renforcée et des scans automatisés. Parallèlement, Google a décidé de ne pas déprécier les cookies tiers, ce qui a suscité des préoccupations concernant le suivi et l'impact sociétal de cette décision.
Sources :
Une fuite de données révèle des milliers de comptes d’un célèbre site pornographique
Le 31 juillet, Cybernews a révélé une fuite de données sur le site pornographique BangBros, exposant plus de 8 Go d'informations sensibles sur ses utilisateurs. Un fichier a été découvert sur ElasticSearch, accessible en ligne depuis le 4 juin, avant que l'accès ne soit finalement restreint. Les données compromises incluent des pseudonymes, des adresses IP, des informations sur les appareils utilisés, des messages de feedback, ainsi que des données de géolocalisation précises. Bien que les adresses e-mail et les mots de passe ne soient pas concernés, la fuite pourrait permettre aux cybercriminels de relier les habitudes de visionnage à des individus spécifiques, posant ainsi des risques majeurs pour la confidentialité. Mantas Kasiliauskis, chercheur en cybersécurité, a souligné les dangers potentiels de cette exposition, notamment la possibilité de retracer les utilisateurs. BangBros n'a pas répondu aux demandes de commentaires concernant cette situation. Les experts recommandent aux utilisateurs de protéger leur géolocalisation et d'éviter de partager des cookies avec des sites sensibles. Cette fuite met en lumière les vulnérabilités des plateformes en ligne et l'importance de la sécurité des données personnelles.
Sources :
Les publicités Facebook conduisent à de faux sites Web volant des informations de carte de crédit
Des utilisateurs de Facebook sont ciblés par un réseau de fraude e-commerce, utilisant des centaines de faux sites pour voler des données personnelles et financières via l'imitation de marques et des techniques de malvertising. L'équipe de Recorded Future a détecté cette campagne, nommée ERIAKOS, le 17 avril 2024, en raison de l'utilisation d'un même réseau de distribution de contenu. Ces sites frauduleux, accessibles uniquement sur mobile, ont été conçus pour échapper aux systèmes de détection automatisés. La campagne vise principalement les utilisateurs mobiles attirés par des publicités sur Facebook, souvent avec des offres à durée limitée. Environ 100 annonces Meta liées à un seul site frauduleux peuvent être diffusées par jour. Les faux sites imitent une grande plateforme de commerce en ligne et un fabricant d'outils, tout en utilisant de faux commentaires pour attirer des victimes. Les comptes marchands sont enregistrés en Chine, suggérant que les acteurs de la menace opèrent depuis ce pays. Ce n'est pas la première fois que des réseaux criminels tentent de récolter des informations de cartes de crédit, avec des précédents comme BogusBazaar, qui a généré plus de 50 millions de dollars. Des campagnes de malvertising ont également été observées, diffusant divers malwares.
Sources :
Les utilisateurs de cartes de crédit reçoivent des frais mystérieux sur shopify-charge.com
Des utilisateurs de cartes de crédit à travers le monde signalent des frais mystérieux de 1 $ ou 0 $ provenant de shopify-charge.com sur leurs relevés, sans avoir effectué d'achats. Ces frais, apparus depuis le 21 juillet 2024, touchent divers types de cartes, y compris celles de Discover et Capital One, et concernent même des cartes désactivées. Des membres de Reddit ont exprimé leurs inquiétudes, certains ayant contacté le support pour confirmer qu'il s'agissait d'une arnaque. Bien que shopify-charge.com soit un site légitime lié à Shopify, de nombreux utilisateurs affirment n'avoir jamais utilisé leur carte sur cette plateforme. Les tentatives de prélèvement incluent un numéro de téléphone associé à une société de recouvrement, Halsted Financial, qui a déclaré ne pas savoir pourquoi leur numéro était lié à ces frais. Une récente violation de données chez un fournisseur de Shopify a suscité des spéculations sur un lien potentiel, bien que les données compromises n'incluaient pas d'informations de paiement. Shopify n'a pas répondu aux demandes de commentaires. Les utilisateurs sont encouragés à partager toute information supplémentaire concernant ces frais suspects.
Sources :
DigiCert va retarder la révocation des certificats pour les infrastructures critiques
DigiCert a annoncé un processus de révocation massive de certificats de sécurité TLS en raison d'un problème de non-conformité lié à la vérification du contrôle de domaine. Les 6 807 clients concernés doivent réémettre 83 267 certificats d'ici le 31 juillet 2024, 19h30 UTC, sous peine de perdre la connectivité de leurs sites et services. Ce problème a été identifié comme résultant d'une mise à jour système de 2019, qui a conduit à des validations incorrectes. Bien que DigiCert encourage les opérateurs d'infrastructures critiques à demander un délai pour éviter des interruptions de service, cette option est limitée aux cas exceptionnels. Les clients doivent soumettre une demande par e-mail avant la date limite pour que DigiCert puisse négocier un report avec les représentants des navigateurs. Si aucune demande n'est reçue, les certificats seront révoqués comme prévu. DigiCert a également averti que tous les certificats concernés seront révoqués au plus tard le 3 août 2024, 19h30 UTC. La CISA a également conseillé aux clients de contacter DigiCert s'ils ne peuvent pas réémettre leurs certificats avant la nouvelle échéance.
Sources :
La récente campagne SideWinder cible les ports et les installations maritimes
Le groupe de cyberespionnage SideWinder est de retour avec une nouvelle campagne ciblant des installations maritimes dans l'océan Indien et la mer Méditerranée. Selon des chercheurs de l'équipe de recherche et d'intelligence des menaces de BlackBerry, cette campagne démontre les capacités avancées des attaquants, qui utilisent des techniques de spearphishing pour infiltrer les systèmes des entreprises visées. Les courriels de phishing contiennent des pièces jointes malveillantes, souvent déguisées en notifications sensibles, telles que des licenciements ou des rapports d'incidents, incitant ainsi les employés à ouvrir les documents. Une fois le malware installé, les attaquants exploitent une vulnérabilité connue, CVE-2017-0199, pour établir leur présence sur le système, en ciblant des systèmes non corrigés. SideWinder, également connu sous les noms de Razor Tiger et Rattlesnake, est un acteur de menace avancé (APT) actif depuis 2012, soupçonné d'être lié à l'Inde. Ce groupe a déjà ciblé des organisations militaires et gouvernementales dans des pays voisins comme l'Afghanistan et la Chine. Les détails techniques de cette campagne ont été publiés sur le blog des chercheurs, soulignant l'importance de la cybersécurité face à des menaces sophistiquées.
Sources :
Le malware Android Mandrake fait à nouveau son apparition sur Google Play Store
Le malware Mandrake, initialement détecté en 2020, a refait surface sur le Google Play Store, infectant discrètement des milliers d'utilisateurs. Selon un rapport de Kaspersky, ce logiciel malveillant a été trouvé dans cinq applications différentes, totalisant 32 000 téléchargements entre 2022 et 2024. Les chercheurs ont observé des "couches d'obfuscation" dans le code, permettant aux applications malveillantes de contourner les vérifications de sécurité de Google. Mandrake utilise également des techniques de communication discrètes avec son serveur de commande et de contrôle, comme le pinning de certificats pour empêcher l'interception du trafic SSL, ainsi que des méthodes d'évasion de sandbox et d'anti-analyse pour rester sous le radar. Les cinq applications identifiées sont : AirFS, Astro Explorer, Amber, CryptoPulsing et Brain Matrix, dont certaines ont été mises à jour jusqu'en 2024. Bien que l'identité de l'acteur de menace derrière cette campagne reste inconnue, Kaspersky suspecte qu'il s'agit du même groupe responsable de la campagne de 2020. Les utilisateurs touchés proviennent principalement du Royaume-Uni, d'Allemagne, du Canada, du Mexique, d'Espagne, d'Italie et du Pérou.
Sources :
WhatsApp autorise l'exécution de scripts Python et PHP sur Windows sans avertissement
WhatsApp pour Windows présente une vulnérabilité de sécurité préoccupante, selon le chercheur Saumyajeet Das. Contrairement à d'autres types de fichiers, WhatsApp ne bloque pas l'exécution de scripts Python (.PYZ, .PYZW) et PHP, permettant ainsi à des attaquants d'envoyer des scripts malveillants sans avertissement. Bien que WhatsApp bloque généralement des fichiers potentiellement dangereux comme les .exe et .bat, cette lacune expose les utilisateurs à des risques de sécurité. Bleeping Computer a confirmé ces constatations, montrant que WhatsApp ne génère pas d'alertes pour ces types de fichiers. Après avoir signalé cette vulnérabilité à Meta via son programme de récompense pour bugs, Das a été informé que la société ne la considérait pas comme un problème de sécurité. Meta insiste sur le fait que la responsabilité de la sécurité incombe aux utilisateurs, les avertissant de ne pas ouvrir de fichiers provenant de sources non fiables. Cette situation est d'autant plus alarmante compte tenu des précédents cas de piratage de comptes WhatsApp. Malgré les risques potentiels, Meta ne prévoit pas d'ajouter les fichiers Python et PHP à sa liste de blocage, incitant ainsi les utilisateurs à faire preuve de prudence lors de l'interaction avec des fichiers sur WhatsApp.
Sources :
Les machines virtuelles de OneBlood cryptées suite à une attaque de ransomware
OneBlood, un important centre de collecte de sang aux États-Unis, fait face à une panne de ses systèmes informatiques suite à une attaque par ransomware. Cette situation soulève des inquiétudes quant à l'approvisionnement en sang dans le Sud-Est du pays, affectant potentiellement les chirurgies et traitements. L'organisation a confirmé que l'attaque a eu lieu le week-end dernier, entraînant le chiffrement de son infrastructure VMware. En conséquence, OneBlood a dû recourir à des processus manuels, ce qui complique la gestion des stocks et réduit sa capacité opérationnelle. Bien que l'organisation continue de collecter, tester et distribuer du sang, elle opère à une capacité significativement diminuée. Plus de 250 hôpitaux ont été invités à activer leurs protocoles de pénurie de sang. Pour atténuer l'impact de l'attaque, une coalition de centres de don de sang a été formée pour diriger des produits sanguins vers OneBlood. L'organisation souligne un besoin urgent de dons de sang O positif, O négatif et de plaquettes. Bien que OneBlood n'ait pas encore fourni de détails sur l'incident, elle a promis d'informer les personnes potentiellement touchées et de proposer des services de surveillance de crédit.
Sources :
CISA et FBI : les attaques DDoS n’auront pas d’impact sur l’intégrité des élections américaines
Le 31 juillet 2024, la CISA et le FBI ont déclaré que les attaques par déni de service distribué (DDoS) visant l'infrastructure électorale américaine n'affecteront pas l'intégrité des élections générales de 2024. Bien que ces attaques puissent entraver l'accès à certaines informations, comme les outils de recherche des électeurs ou les rapports non officiels de la nuit électorale, elles ne perturberont pas le vote lui-même ni la transmission des résultats. Les agences ont souligné qu'il n'existe aucune preuve que de telles attaques aient compromis les systèmes de vote ou empêché les électeurs de voter. Les acteurs malveillants peuvent tenter de semer le doute sur la sécurité des élections, mais les données essentielles et les systèmes internes resteront protégés. Les électeurs sont encouragés à se renseigner auprès de sources officielles pour des informations sur l'inscription, les lieux de vote et les résultats. En cas d'attaques suspectes, ils doivent contacter le FBI. À moins de 100 jours des élections, il est crucial de clarifier que, bien que des perturbations mineures puissent survenir, elles n'affecteront pas le processus démocratique. Les agences avaient déjà émis un avertissement similaire en octobre 2022.
Sources :
Les publicités Google diffusent un faux site Google Authenticator qui installe des logiciels malveillants
Google a été victime de sa propre plateforme publicitaire, permettant à des acteurs malveillants de créer des annonces trompeuses pour Google Authenticator, diffusant le malware DeerStealer. Ces campagnes de malvertising exploitent la plateforme de recherche de Google, où des publicités imitant des sites de logiciels légitimes installent des malwares sur les appareils des utilisateurs. Dans une récente campagne identifiée par Malwarebytes, des annonces pour Google Authenticator apparaissent lors de recherches, affichant des URL de confiance comme 'google.com'. Ce stratagème de dissimulation d'URL a déjà été observé dans d'autres campagnes malveillantes. Malgré la vérification de l'identité des annonceurs par Google, les acteurs malveillants contournent les systèmes de détection en créant des milliers de comptes et en manipulant le texte. Google a déclaré avoir bloqué l'annonceur signalé et intensifie ses efforts pour détecter ces campagnes nuisibles, ayant supprimé 3,4 milliards d'annonces en 2023. Les utilisateurs sont conseillés d'éviter de cliquer sur les résultats sponsorisés, d'utiliser un bloqueur de publicités et de vérifier les URL avant de télécharger des fichiers. Le téléchargement de ces faux sites déclenche l'installation de DeerStealer, qui vole des informations sensibles.
Sources :
Fresnillo, premier producteur mondial d'argent, révèle une cyberattaque
Fresnillo PLC, le plus grand producteur d'argent au monde, a récemment annoncé avoir été victime d'une cyberattaque ayant entraîné un accès non autorisé à certaines de ses données informatiques. Dans un communiqué, la société a précisé qu'elle avait immédiatement mis en place des mesures pour contenir la violation et qu'elle collaborait avec des spécialistes externes pour évaluer l'impact de l'incident. Malgré cette attaque, Fresnillo a assuré que ses opérations n'avaient pas été affectées et qu'aucun impact financier ou matériel n'était prévu. L'entreprise a souligné l'importance de la cybersécurité et a promis de mener une enquête approfondie sur l'incident. Fresnillo exploite huit mines au Mexique et possède plusieurs projets d'exploration dans ce pays ainsi qu'au Pérou et au Chili. La société est cotée à la Bourse de Londres et à la Bourse mexicaine. Ce cyberincident survient dans un contexte où d'autres entreprises minières, comme Northern Minerals et Copper Mountain Mining Corporation, ont également subi des violations de sécurité récemment. Fresnillo continue de surveiller la situation et d'évaluer les risques potentiels liés à cette cyberattaque.
Sources :
Un nouveau malware Android efface votre appareil après avoir vidé vos comptes bancaires
Un nouveau malware Android, nommé 'BingoMod', a été découvert par des chercheurs de Cleafy. Ce logiciel malveillant, distribué via des campagnes de smishing, se présente comme un outil de sécurité mobile légitime et peut voler jusqu'à 15 000 EUR par transaction. BingoMod utilise des techniques de fraude sur appareil (ODF) pour siphonner des fonds des comptes bancaires des victimes. Une fois installé, il demande des autorisations d'accès aux services d'accessibilité, permettant un contrôle étendu du dispositif. Le malware peut voler des identifiants de connexion, prendre des captures d'écran et intercepter des SMS. Les opérateurs peuvent envoyer des commandes à BingoMod pour exécuter des actions spécifiques sur le téléphone de la victime. Pour éviter la détection, les créateurs du malware ont intégré des mécanismes d'obfuscation du code. En cas de succès dans le vol d'argent, BingoMod peut recevoir des ordres pour effacer les données du téléphone, en ciblant principalement le stockage externe. Bien que BingoMod soit encore en développement, il représente une menace sérieuse pour les utilisateurs d'Android, en particulier ceux qui téléchargent des applications de sécurité non vérifiées. Les chercheurs suspectent qu'il pourrait être développé par un auteur roumain, mais d'autres contributeurs pourraient également être impliqués.
Sources :
JO Paris 2024 : des hackers ont ciblé deux sites olympiques en particulier
Le 31 juillet, le Premier ministre Gabriel Attal a annoncé lors d'une conférence de presse que les Jeux olympiques de Paris ont été la cible de 68 cyberattaques depuis leur début. Il a précisé que toutes ces attaques, y compris deux visant les sites de Bercy et de la Villette le 25 juillet, ont été détectées et neutralisées à temps. L'ANSSI, l'agence française de cybersécurité, a indiqué que la majorité des attaques étaient de faible intensité, principalement des dénis de service distribués (DDoS), et qu'aucune n'avait perturbé la cérémonie d'ouverture ni les premières épreuves. Les tentatives d'attaque sur les sites olympiques ont été bloquées grâce à des systèmes de supervision mis en place par l'ANSSI. Par ailleurs, des groupes d'hacktivistes, notamment un collectif ultra-nationaliste russe, ont revendiqué des attaques DDoS contre des entreprises partenaires des JO, comme ArcelorMittal et Aquatique Show, sans impact significatif. Ces actions semblent davantage motivées par un désir de visibilité médiatique qu'une réelle intention de nuire. D'autres revendications similaires pourraient survenir durant la compétition, mais jusqu'à présent, les mesures de sécurité ont été efficaces.
Sources :
X exploite les publications des utilisateurs pour entraîner son IA Grok
Le géant des réseaux sociaux X (anciennement Twitter) a discrètement commencé à utiliser les publications de ses utilisateurs pour entraîner son modèle d'intelligence artificielle, Grok AI. Cette décision, qui va à l'encontre de l'engagement antérieur de X en matière de protection de la vie privée, a suscité des critiques et attiré l'attention des régulateurs. La fonctionnalité de formation de Grok AI a été activée par défaut dans les comptes des utilisateurs, permettant à X d'exploiter leurs données sans consentement explicite. Cette situation a été révélée lorsqu'un utilisateur a signalé ce paramètre préactivé sur les réseaux sociaux, soulevant des préoccupations quant à la conformité avec le RGPD de l'UE, qui interdit de telles pratiques. Les autorités de protection des données, comme le Bureau du Commissaire à l'information du Royaume-Uni et la Commission de protection des données d'Irlande, ont exprimé leur surprise et ont demandé à X d'être plus transparent sur l'utilisation des données des utilisateurs. Les utilisateurs peuvent désactiver cette option en accédant aux paramètres de confidentialité de leur compte X. Cette situation met en lumière les enjeux de la transparence et du consentement dans l'utilisation des données personnelles pour l'entraînement des modèles d'IA.
