Faille de Proofpoint exploitée pour millions d'e-mails de phishing - Actus du 29/07/2024
Découvrez comment une faille critique de Proofpoint est exploitée pour envoyer des millions de phishing mails chaque jour. Après la SNCF, les sabotages ciblent désormais les réseaux de fibres optiques. Ne manquez pas notre analyse détaillée !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les paramètres de Proofpoint exploités pour envoyer des millions d'e-mails de phishing chaque jour
Une vaste campagne de phishing, nommée "EchoSpoofing", a exploité des permissions faibles dans le service de protection par email de Proofpoint pour envoyer des millions d'emails frauduleux, se faisant passer pour des entreprises renommées telles que Disney, Nike, IBM et Coca-Cola. Débutée en janvier 2024, cette campagne a atteint un pic de 14 millions d'emails par jour en juin. Les emails contenaient des signatures SPF et DKIM correctement configurées, les rendant authentiques aux yeux des destinataires, et visaient à voler des informations personnelles sensibles. Guardio Labs a découvert cette faille et a aidé Proofpoint à la corriger en mai 2024. Les attaquants ont utilisé leurs propres serveurs SMTP et des comptes Microsoft Office 365 compromis pour relayer les emails via les serveurs de Proofpoint. En raison d'un enregistrement SPF trop permissif, n'importe quel compte Office 365 pouvait relayer des emails, ce qui a permis aux messages de passer les filtres de spam. En réponse, Proofpoint a renforcé la sécurité, introduisant de nouvelles vérifications et options de configuration pour limiter les abus. Malgré cela, certains comptes compromis restent actifs, ce qui soulève des préoccupations continues.
Sources :
Une faille de routage des e-mails de Proofpoint exploitée pour envoyer des millions d'e-mails de phishing falsifiés
Un acteur de menace inconnu a été lié à une vaste campagne d'escroquerie exploitant une mauvaise configuration de routage des e-mails dans les défenses de Proofpoint, un fournisseur de sécurité des e-mails. Cette campagne a permis l'envoi de millions de messages usurpant des entreprises populaires telles que Best Buy, IBM, Nike et Walt Disney. Selon Nati Tal de Guardio Labs, ces e-mails, authentifiés par des signatures SPF et DKIM, ont contourné les protections de sécurité pour tromper les destinataires et voler des fonds et des informations de carte de crédit. L'activité aurait commencé en janvier 2024, atteignant un pic de 14 millions d'e-mails par jour en juin, alors que Proofpoint mettait en place des contre-mesures. Les messages étaient envoyés depuis des serveurs SMTP sur des serveurs privés virtuels, exploitant une faille de configuration permissive sur les serveurs de Proofpoint. Cette méthode, appelée EchoSpoofing, permettait aux attaquants de masquer leur identité et de générer des revenus illégaux tout en minimisant le risque de détection. Proofpoint a conseillé à ses clients de modifier leurs paramètres pour contrer cette activité de spam et a appelé les fournisseurs de services de messagerie à restreindre l'envoi de messages en masse par des locataires non vérifiés.
Sources :
Après la SNCF, des sabotages visent des réseaux de fibres optiques
Des actes de sabotage ciblent désormais les réseaux de fibres optiques en France, après avoir déjà perturbé les lignes TGV. Ces attaques, qui ont commencé début juillet, ont touché plusieurs opérateurs tels que Free et SFR, affectant six départements, dont les Bouches-du-Rhône et l'Aude, mais épargnant Paris. Les coupures ont eu lieu dans la nuit du 26 au 27 juillet, avec des incidents similaires observés en 2020 et 2022, ce qui a permis de renforcer la protection des infrastructures parisiennes. Les motivations derrière ces actes semblent liées à des mouvements anarchistes, comme en témoigne un incident en Italie où des armoires de fibre optique ont été incendiées. Un groupe se revendiquant de l'anarchisme insurrectionnel a également revendiqué des attaques contre des infrastructures à Toulouse, affichant des slogans provocateurs. Bien que les récents sabotages n'aient pas encore été revendiqués, des liens avec des groupes anarchistes italiens sont suspectés, notamment à travers des réseaux sociaux. Ces événements soulèvent des questions sur la sécurité des infrastructures critiques et sur les motivations des groupes impliqués dans ces actes de malveillance.
Sources :
Comment le chiffrement consultable change la donne en matière de sécurité des données
L'article aborde les défis liés à la protection des données sensibles, souvent laissées non chiffrées et vulnérables malgré des systèmes de sécurité complexes. La conformité en matière de sécurité des bases de données manque souvent de définitions claires concernant le chiffrement fort. Cela entraîne un processus où les données doivent être déchiffrées pour être utilisées, augmentant ainsi le risque de compromission. Jennifer Glenn, analyste chez IDC, souligne que la transformation numérique a rendu les données plus accessibles tout en les exposant davantage aux menaces. En réponse à ces défis, Paperclip a développé la solution SAFE, une technologie de chiffrement searchable qui permet de maintenir les données chiffrées tout en assurant leur accessibilité pour les opérations. SAFE, qualifiée de plateforme de technologie améliorant la confidentialité, permet une gestion complète des données (CRUD) sans perturber les utilisateurs finaux. Cette solution SaaS peut être mise en œuvre rapidement, en moins de 30 jours, et s'applique à divers secteurs tels que la finance, la santé et l'éducation. En somme, SAFE vise à réduire la complexité et à protéger les données contre le vol et les attaques de rançon.
Sources :
ZATAZ découvre l’équivalent de 798 DVD de données piratées
L'article de ZATAZ met en lumière la découverte d'un espace de stockage malveillant, similaire à la caverne d'Ali Baba, où des logiciels de triche pour jeux vidéo, comme EvolvedAim, étaient commercialisés. Ces logiciels, attirant principalement des jeunes adultes, promettaient des avantages dans des jeux populaires tels que Call Of Duty et Fortnite, tout en dissimulant des chevaux de Troie capables de collecter des informations personnelles. L'histoire se concentre sur Paul, un commerçant, et sa fille Élodie, qui, après avoir échoué dans son jeu, installe ce logiciel. Bien qu'Élodie réussisse à gagner des parties, elle ignore qu'elle a ouvert la porte à un programme malveillant. Ce dernier, une fois installé, modifie les mots de passe de Paul, le rendant vulnérable. Finalement, BlackShade, le pirate, exploite les données collectées, entraînant la perte de la boutique de Paul et une prise de conscience amère des dangers d'Internet. L'article souligne l'importance de la vigilance face aux menaces numériques, en particulier pour les jeunes utilisateurs, et met en garde contre les conséquences désastreuses de l'utilisation de logiciels non vérifiés.
Sources :
Opération contre le Malware PlugX : la France clic sur le bouton OFF
Une initiative lancée par le Parquet de Paris depuis le 18 juillet vise à lutter contre le malware PlugX, un trojan d’accès à distance utilisé par des acteurs menaçants liés à la Chine depuis 2008. Cette opération fait suite à une action de la société française Sekoia, qui a pris le contrôle d’un serveur de commande associé à PlugX en achetant une adresse IP pour 7 dollars. Depuis, près de 100 000 adresses IP envoient quotidiennement des requêtes vers le domaine saisi. PlugX, développé par Zhao Jibin, a évolué en plusieurs variantes et est souvent attribué à des entreprises liées au ministère chinois de la Sécurité d’État. Sekoia a proposé une solution de désinfection via Europol, laissant aux autorités nationales le soin de décider de l’effacement du malware. PlugX se propage via un document Word malveillant exploitant une vulnérabilité spécifique. Il possède une fonction d’autodestruction, rendant sa détection difficile. Des chercheurs ont identifié des groupes comme TA410, impliqués dans des attaques contre diverses organisations à travers le monde, utilisant des techniques sophistiquées pour infiltrer et contrôler les systèmes ciblés.
Sources :
Tentative d’assassinat de Trump : le FBI hack le téléphone du tireur en 40 minutes
Après une tentative d'assassinat de Donald Trump à Bethel Park, en Pennsylvanie, le FBI a réussi à déverrouiller le téléphone du tireur, Thomas Matthew Crooks, en seulement 40 minutes. Le jeune homme de 20 ans a ouvert le feu lors d'un rassemblement, causant la mort d'une personne et blessant deux autres. Pour accéder aux données de son smartphone Samsung fonctionnant sous Android, le FBI a utilisé une valise de la société israélienne Cellebrite, spécialisée dans le renseignement numérique. Bien que le téléphone ait d'abord résisté aux tentatives de déverrouillage, les agents ont finalement pu obtenir les informations nécessaires. Les appareils Android, en particulier ceux de Samsung, présentent des vulnérabilités qui facilitent leur piratage, contrairement aux iPhones récents qui sont plus sécurisés. Les données extraites du téléphone de Crooks incluaient des photos de personnalités politiques et des recherches sur des troubles dépressifs, suggérant des motivations potentielles pour son acte. L'enquête se poursuit, le FBI considérant cet incident comme un possible acte de terrorisme intérieur. Cellebrite, souvent critiquée pour ses pratiques de surveillance, affirme agir dans le cadre légal.
Sources :
Capgemini piratée par l’un de ses employés
Un pirate a exigé une rançon de 5000 dollars en Bitcoin, menaçant de divulguer des informations volées sur le dark web. Capgemini a rapidement identifié l'assaillant et a refusé de payer, entraînant une enquête de la Brigade de lutte contre la cybercriminalité (BL2C). Bien que le pirate ait tenté de masquer son implication en simulant une attaque externe, des traces dans le code du ransomware ont permis de le retrouver. Cette malveillance interne a été révélée peu après que Capgemini ait annoncé ne pas envisager de racheter Atos. Par ailleurs, un ancien employé d'une entreprise a effacé des serveurs après avoir conservé des accès non révoqués. Cela souligne l'importance de désactiver les comptes des employés sortants pour prévenir les accès non autorisés. Aux États-Unis, un hacker nord-coréen a infiltré une entreprise de cybersécurité, KnowBe4, en se faisant passer pour un développeur sud-coréen. Après avoir réussi plusieurs entretiens, il a immédiatement commencé à installer des logiciels malveillants sur son poste de travail. Ces incidents mettent en lumière les risques liés à la sécurité des données et la nécessité de surveiller les comportements suspects des employés.
Sources :
« Stargazer Goblin » crée 3 000 faux comptes GitHub pour diffuser des logiciels malveillants
Un acteur malveillant connu sous le nom de Stargazer Goblin a mis en place un réseau de comptes GitHub inauthentiques pour propager des malwares d'information, générant environ 100 000 dollars de profits illicites en un an. Ce réseau, surnommé "Stargazers Ghost Network" par Check Point, comprend plus de 3 000 comptes et des milliers de dépôts utilisés pour partager des liens malveillants. Parmi les malwares diffusés figurent Atlantida Stealer et RedLine. Les comptes fictifs simulent des comportements d'utilisateurs normaux pour donner une apparence de légitimité à leurs activités. Actif depuis août 2022, le réseau a été détecté en juillet 2023. Les comptes sont organisés en catégories distinctes pour renforcer leur résilience face aux actions de suppression de GitHub. Lorsqu'un compte est banni, Stargazer Goblin met à jour les dépôts avec de nouveaux liens malveillants. Parallèlement, des acteurs inconnus ciblent également des dépôts GitHub pour les effacer, demandant une rançon pour restaurer l'accès. Une vulnérabilité, appelée CFOR, permet d'accéder à des données sensibles dans des dépôts supprimés, soulignant la nécessité pour les organisations de sécuriser leurs informations sur la plateforme.
Sources :
Le cheval de Troie RAT Gh0st cible les utilisateurs chinois de Windows via un faux site Chrome
Le cheval de Troie d'accès à distance, connu sous le nom de Gh0st RAT, est actuellement distribué via un "dropper" évasif appelé Gh0stGambit, ciblant les utilisateurs de Windows parlant chinois par le biais de téléchargements malveillants. Ces infections proviennent d'un site web frauduleux ("chrome-web[.]com") qui propose de faux paquets d'installation se faisant passer pour le navigateur Chrome de Google. Gh0st RAT, actif depuis 2008, a été utilisé principalement par des groupes de cyberespionnage liés à la Chine. Les nouvelles variantes de ce malware exploitent également des serveurs MS SQL mal sécurisés pour installer un rootkit open-source. Selon la société de cybersécurité eSentire, cette campagne cible spécifiquement les utilisateurs chinois en utilisant des leurres en langue chinoise. Le fichier MSI téléchargé contient un exécutable Chrome légitime et un installateur malveillant qui lance le dropper. Ce dernier vérifie la présence de logiciels de sécurité avant de se connecter à un serveur de commande et de contrôle pour récupérer Gh0st RAT. Ce malware possède de nombreuses fonctionnalités, y compris l'exécution de commandes à distance et l'exfiltration de données. Les chercheurs soulignent l'importance de la formation continue en sécurité face à ces menaces croissantes.
