Fausses publicités Semrush : un nouveau moyen de voler les comptes Google des professionnels du référencement - Actus du 22/03/2025
Découvrez comment le service de signature de Microsoft Trust a facilité la diffusion de malwares, l'impact des sanctions américaines sur Tornado Cash en lien avec la Corée du Nord, et pourquoi Coinbase est au cœur des récentes violations sur GitHub. Plongez dans ces affaires brûlantes!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Service de signature de Microsoft Trust a maltraité au malware de code de code
Des cybercriminels exploitent le service de signature de confiance de Microsoft pour signer des exécutables malveillants avec des certificats temporaires de trois jours. Les certificats de signature de code sont recherchés par les attaquants car ils permettent de faire passer des malwares pour des logiciels légitimes, contournant ainsi les filtres de sécurité qui bloquent généralement les exécutables non signés. Les certificats de validation étendue (EV) sont particulièrement prisés, car ils bénéficient d'une confiance accrue dans de nombreux programmes de cybersécurité, facilitant le contournement des alertes de fichiers inconnus. Cependant, leur obtention est complexe, nécessitant souvent le vol de certificats ou la création de fausses entreprises. Une fois utilisés, ces certificats sont généralement révoqués, limitant leur réutilisation. Microsoft a mis en place des mesures de sécurité, comme l'émission de certificats uniquement aux entreprises établies depuis trois ans, et utilise une surveillance active pour détecter et révoquer les abus. Malgré ces efforts, des chercheurs en cybersécurité notent que les attaquants se tournent vers ce service par commodité. Microsoft a confirmé qu'ils prennent des mesures immédiates pour atténuer les menaces détectées.
Sources :
Les sanctions en espèces de Tornado en espèces du Trésor américain au milieu de la Corée du Nord
Le département du Trésor américain a annoncé la levée des sanctions contre Tornado Cash, un service de mixage de cryptomonnaies accusé d'avoir aidé le groupe Lazarus, lié à la Corée du Nord, à blanchir des fonds. Cette décision fait suite à une réévaluation des questions juridiques et politiques soulevées par l'utilisation des sanctions dans un environnement technologique en évolution. Plus de 100 adresses de portefeuilles Ethereum (ETH) seront également retirées de la liste des nationaux désignés spécialement (SDN). Tornado Cash avait été ajouté à cette liste en août 2022, ayant été utilisé pour blanchir plus de 7,6 milliards de dollars d'actifs virtuels depuis sa création en 2019. Cependant, une décision de la Cour d'appel du cinquième circuit des États-Unis en novembre 2024 a annulé cette sanction, estimant que l'OFAC avait dépassé son autorité en sanctionnant Tornado Cash, car ses contrats intelligents immuables ne peuvent être considérés comme des "biens" selon la loi. Le Trésor reste engagé à lutter contre les acteurs malveillants exploitant les actifs numériques, tout en soulignant l'importance de sécuriser l'industrie des actifs numériques pour favoriser l'innovation et l'inclusion financière.
Sources :
Coinbase était la cible principale des violations récentes des actions GitHub
Une récente attaque en chaîne ciblant GitHub Actions a révélé que Coinbase était la principale victime. Selon des rapports de Palo Alto Unit 42 et Wiz, l'attaque a débuté par l'injection de code malveillant dans l'action reviewdog/action-setup@v1, permettant aux attaquants de dérober des secrets CI/CD et des jetons d'authentification. Lorsque l'action tj-actions/eslint-changed-files a invoqué l'action compromise, cela a entraîné l'exposition de secrets dans les journaux de workflow. Les attaquants ont ensuite volé un jeton d'accès personnel, utilisé pour pousser un commit malveillant vers tj-actions/changed-files, ciblant spécifiquement des projets de Coinbase et un compte lié à l'attaquant. Bien que l'action ait été utilisée par plus de 20 000 projets, seuls 218 dépôts ont été affectés. Coinbase a affirmé que l'attaque n'avait pas eu d'impact sur ses actifs, et les rapports de Unit 42 confirment que l'attaque initiale était principalement axée sur Coinbase avant de s'étendre à d'autres projets. Malgré l'ampleur de l'attaque, Coinbase a déclaré que son projet agentkit n'avait pas subi de dommages.
Sources :
Oracle nie la violation après que le pirate prétend le vol de 6 millions d'enregistrements de données
Oracle a nié avoir subi une violation de données après qu'un hacker, connu sous le nom de rose87168, ait prétendu vendre 6 millions de dossiers de données volés à partir des serveurs de connexion SSO d'Oracle Cloud. L'entreprise a affirmé qu'il n'y avait eu aucune violation de ses services cloud et que les informations publiées ne concernaient pas ses clients. Le hacker a diffusé des fichiers contenant des informations de base de données et des détails sur les entreprises qu'il prétendait avoir volés. Pour prouver son accès, il a partagé un lien vers un fichier texte téléchargé sur un serveur Oracle. rose87168 propose de vendre les données, y compris des mots de passe SSO chiffrés et des fichiers de clés, en échange d'une somme d'argent ou d'exploits zero-day. Il a affirmé avoir accédé aux serveurs Oracle Cloud il y a environ 40 jours et a demandé 100 000 XMR à Oracle pour des informations sur la manière dont il a réussi à pénétrer leurs systèmes, mais la société aurait refusé. Le hacker a mentionné une vulnérabilité publique dans les serveurs Oracle, mais cette affirmation n'a pas été vérifiée de manière indépendante. BleepingComputer a contacté des entreprises concernées pour valider la véracité des données volées.
Sources :
Fausses publicités Semrush utilisées pour voler les comptes Google des professionnels du référencement
Une nouvelle campagne de phishing cible les professionnels du SEO via des annonces Google malveillantes utilisant la marque Semrush, dans le but de voler leurs identifiants de compte Google. Les chercheurs de Malwarebytes, Jerome Segura et Elie Berreby, estiment que les cybercriminels cherchent à accéder aux comptes Google Ads pour lancer de nouvelles campagnes de malvertising. Cette méthode de "fraude en cascade" a récemment gagné en popularité, comme l'indique une opération similaire découverte en janvier. Les escrocs exploitent la notoriété de Semrush, une plateforme SaaS prisée par les spécialistes du marketing numérique, qui intègre souvent des comptes Google contenant des données sensibles. Les cybercriminels, probablement un groupe brésilien, utilisent des annonces Google pour diriger les utilisateurs vers des sites de phishing imitant Semrush, mais avec des domaines légèrement modifiés. En entrant leurs identifiants Google, les victimes transmettent leurs informations directement aux attaquants. Bien que Google ait été rapide à supprimer les annonces malveillantes, Berreby souligne que des décisions plus significatives sont nécessaires pour résoudre ce problème. Pour éviter de telles escroqueries, il est conseillé de ne pas cliquer sur les résultats sponsorisés et de vérifier les domaines avant de se connecter.
Sources :
Microsoft: Échangez le bogue en ligne en quarantaine des e-mails des utilisateurs
Microsoft enquête sur un bug d'Exchange Online qui entraîne la mise en quarantaine erronée de certains emails d'utilisateurs par ses systèmes anti-spam. Selon un rapport d'incident publié dans le Microsoft 365 Admin Center, les problèmes ont débuté à 10h11 UTC. Bien que la société n'ait pas précisé les régions touchées, cet incident a été classé comme un problème critique sous la référence EX1038119. Microsoft a expliqué que certaines URL étaient mal catégorisées, entraînant la mise en quarantaine inattendue de messages. Les efforts pour ajouter ces URL à une liste d'autorisation n'ont pas encore porté leurs fruits, et l'entreprise tente de corriger manuellement les emplacements des messages affectés. Parallèlement, un autre incident (EX1038200) empêche l'accès à la page 'Review' dans le portail de sécurité, où les utilisateurs rencontrent des difficultés pour consulter et libérer des emails mis en quarantaine. Microsoft examine les données de télémétrie pour identifier la cause sous-jacente et élaborer un plan d'atténuation. Ce n'est pas la première fois que Microsoft fait face à des problèmes similaires, ayant déjà résolu des incidents liés à des faux positifs dans le passé.
