Ingénierie sociale : le piège ClickFix envahit le web - Actus du 22/11/2024
Découvrez comment 2 milliards de smartphones Android sont menacés par les malwares russes HATVIBE et CHERRYSPY et explorez si vos mesures de sécurité Google Workspace suffisent à protéger vos données. Ne manquez pas ces enjeux cruciaux pour votre sécurité numérique!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
2 milliards de smartphones Android en danger, vraiment ?
Un message alarmant sur Twitter a suscité l'inquiétude concernant la sécurité des utilisateurs d'Android, affirmant que plus de 2 milliards de personnes, dont 100 millions de propriétaires de Pixel, seraient menacées par des failles de sécurité. Les risques évoqués incluent le vol de données, l'accès non autorisé à Bluetooth et la fuite de géolocalisation. Cependant, une analyse plus approfondie révèle que le tweet se base sur sept vulnérabilités déjà connues et majoritairement corrigées. Oversecured, l'entreprise à l'origine du message, précise que tous les problèmes ont été résolus ou reclassés, certains datant de plusieurs années. Par exemple, une faille liée au VPN, signalée en juin 2023, a été corrigée en décembre 2023. Le tweet pourrait être perçu comme une stratégie de FUD (Fear, Uncertainty and Doubt) pour attirer l'attention, mais il souligne l'importance de la sécurité sur Android, le système d'exploitation mobile le plus utilisé au monde. Il rappelle également la nécessité de maintenir les appareils et logiciels à jour pour se protéger contre les menaces potentielles. En somme, bien que le message ait été exagéré, il met en lumière des enjeux cruciaux en matière de cybersécurité.
Sources :
Des pirates informatiques russes déploient les logiciels malveillants HATVIBE et CHERRYSPY en Europe et en Asie
Des acteurs malveillants liés à la Russie sont impliqués dans une campagne d'espionnage cybernétique ciblant des organisations en Asie centrale, en Asie de l'Est et en Europe. Le groupe Insikt de Recorded Future a identifié cette activité sous le nom de TAG-110, qui chevauche le groupe UAC-0063 suivi par CERT-UA, lui-même lié à APT28. Actif depuis au moins 2021, TAG-110 utilise des outils malveillants personnalisés, HATVIBE et CHERRYSPY, pour cibler principalement des entités gouvernementales, des groupes de défense des droits humains et des institutions éducatives. HATVIBE sert de chargeur pour déployer CHERRYSPY, un backdoor en Python utilisé pour l'exfiltration de données. Depuis mai 2023, 62 victimes uniques ont été identifiées dans onze pays, avec un accent particulier sur l'Asie centrale, suggérant une tentative de la Russie de recueillir des informations pour ses objectifs géopolitiques. Les chaînes d'attaque exploitent des vulnérabilités dans des applications web et des emails de phishing. Ces efforts s'inscrivent dans une stratégie plus large de la Russie pour maintenir son influence dans les États post-soviétiques et déstabiliser les pays de l'OTAN, en réponse aux tensions croissantes suite à l'invasion de l'Ukraine.
Sources :
Déverrouillage de la sécurité de Google Workspace : en faites-vous suffisamment pour protéger vos données ?
Google Workspace est devenu un outil de productivité essentiel pour les entreprises, offrant une suite complète incluant email, stockage cloud et outils de collaboration. Son approche unifiée facilite la connexion et le travail des équipes, favorisant une transformation numérique fluide et adaptable. Alors que les entreprises passent de configurations traditionnelles à des modèles hybrides centrés sur l'utilisateur, Google Workspace se positionne comme un soutien clé. Cependant, la sécurité des données repose en grande partie sur les utilisateurs, qui doivent mettre en place des contrôles d'accès robustes, gérer les autorisations et utiliser l'authentification multifactorielle (MFA). Les cybercriminels exploitent les vulnérabilités, notamment à travers des attaques de phishing sophistiquées. Des incidents récents ont montré que des hackers pouvaient contourner les processus de vérification de Google Workspace, soulignant l'évolution rapide des menaces. Pour contrer ces risques, des évaluations de vulnérabilité et des tests de pénétration sont recommandés. La formation à la sécurité des utilisateurs est cruciale pour réduire les erreurs humaines. Une stratégie de sauvegarde solide, comme celle proposée par Backupify, assure la récupération des données critiques en cas d'attaque ou de défaillance, en offrant des copies redondantes et des outils de surveillance pour renforcer la résilience des données.
Sources :
- https://thehackernews.com/2024/11/the-importance-of%20having-a-google-workspace-backup-solution.html
Ingénierie sociale : le piège ClickFix se répand sur le web, entre faux CAPTCHA et faux problèmes IT
Les chercheurs en cybersécurité de Proofpoint ont récemment révélé l'émergence d'une technique d'ingénierie sociale nommée « ClickFix », qui incite les utilisateurs à exécuter des commandes PowerShell malveillantes via de faux messages d'erreur. Cette méthode, observée pour la première fois avec le groupe cybercriminel TA571, exploite la volonté des utilisateurs de résoudre des problèmes sans solliciter l'aide de leur service informatique. Les attaquants se déguisent en logiciels courants comme Microsoft Word et Google Chrome, et utilisent divers canaux de diffusion, y compris des sites compromis et des documents malveillants. Parmi les techniques utilisées, on trouve des faux CAPTCHA pour tromper les utilisateurs. Les campagnes ClickFix diffusent une variété de logiciels malveillants, tels qu'AsyncRAT et Danabot, et ciblent divers secteurs, y compris des entités gouvernementales. Cette technique s'inscrit dans un contexte où les protections traditionnelles deviennent plus efficaces, poussant les cybercriminels à innover en jouant sur les émotions des utilisateurs. Pour contrer cette menace, il est crucial que les organisations forment leurs employés à reconnaître et éviter ces pièges.
Sources :
Microsoft, Meta et le ministère de la Justice perturbent la cybercriminalité mondiale et les réseaux frauduleux
Meta Platforms, Microsoft et le Département de la Justice des États-Unis (DoJ) ont pris des mesures indépendantes pour lutter contre la cybercriminalité et perturber les services facilitant les escroqueries et les attaques de phishing. Microsoft a saisi 240 sites frauduleux liés à un cybercriminel égyptien, Abanoub Nady, qui vendait un kit de phishing appelé ONNX. Ce kit, proposé sous le modèle "phishing-as-a-service" (PhaaS), a été utilisé dans de nombreuses campagnes de phishing ciblant principalement le secteur financier. Le kit permettait de contourner l'authentification à deux facteurs (2FA) en interceptant les demandes 2FA. En parallèle, le DoJ a annoncé la fermeture de PopeyeTools, un marché en ligne vendant des cartes de crédit volées et d'autres outils de fraude financière, ayant généré au moins 1,7 million de dollars de revenus. Meta a également supprimé plus de deux millions de comptes liés à des centres d'escroquerie en Asie du Sud-Est, impliqués dans des arnaques de type "pig butchering". Ces actions s'inscrivent dans une initiative plus large, "Tech Against Scams", visant à contrer les menaces transnationales et la fraude en ligne.
Sources :
Attaque PyPI : ChatGPT et Claude se font passer pour des imposteurs qui diffusent JarkaStealer via des bibliothèques Python
Des chercheurs en cybersécurité ont identifié deux paquets malveillants sur le dépôt Python Package Index (PyPI) qui se faisaient passer pour des modèles d'intelligence artificielle populaires, tels que ChatGPT d'OpenAI et Claude d'Anthropic. Nommés gptplus et claudeai-eng, ces paquets ont été téléchargés respectivement 1 748 et 1 826 fois avant d'être retirés. Ils contenaient un code malveillant qui, une fois installés, déployait un logiciel espion appelé JarkaStealer. Le fichier "init.py" de ces paquets contenait des données encodées en Base64 pour télécharger un fichier JAR malveillant depuis un dépôt GitHub, ainsi qu'un environnement d'exécution Java depuis Dropbox si nécessaire. JarkaStealer est capable de voler des informations sensibles, y compris des données de navigateurs, des captures d'écran et des jetons de session d'applications comme Telegram et Discord. Les informations volées sont ensuite envoyées au serveur de l'attaquant et supprimées de l'ordinateur de la victime. Ce type de malware est proposé sous un modèle de malware-as-a-service (MaaS) sur Telegram. Cette découverte met en lumière les risques persistants des attaques sur la chaîne d'approvisionnement logicielle et souligne l'importance de la vigilance lors de l'intégration de composants open-source.
Sources :
Mise à jour Windows 11 KB5046740 publiée avec 14 modifications et correctifs
Microsoft a publié la mise à jour cumulative de prévisualisation KB5046740 pour Windows 11 24H2 le 21 novembre 2024, apportant 14 améliorations et corrections de divers problèmes, notamment ceux liés à l'Explorateur de fichiers, à l'historique du Presse-papiers et aux écrans secondaires. Cette mise à jour fait partie des mises à jour de prévisualisation mensuelles non sécuritaires, permettant aux administrateurs de tester des correctifs et des nouvelles fonctionnalités avant leur déploiement officiel lors du Patch Tuesday du mois suivant. Parmi les nouveautés, on trouve une méthode améliorée pour partager du contenu avec des appareils Android via l'Explorateur de fichiers, ainsi que des améliorations pour la synthèse vocale et la reconnaissance vocale. La mise à jour corrige également des problèmes de latence et de déchirement d'écran sur certains écrans secondaires, ainsi que des anomalies dans l'historique du Presse-papiers. Les utilisateurs peuvent installer cette mise à jour via les paramètres de Windows Update. Microsoft a également signalé un problème connu affectant les joueurs sur des appareils Windows Arm, ainsi qu'un problème audio sur certains systèmes sonores USB. Aucune mise à jour de prévisualisation non sécuritaire ne sera publiée en décembre 2024.
Sources :
Des pirates chinois ciblent Linux avec un nouveau malware WolfsBane
Des chercheurs en sécurité d'ESET ont découvert un nouveau malware pour Linux nommé 'WolfsBane', qui serait une adaptation d'un logiciel malveillant Windows utilisé par le groupe de hackers chinois 'Gelsemium'. WolfsBane se compose d'un dropper, d'un lanceur et d'une porte dérobée, utilisant un rootkit open-source modifié pour échapper à la détection. Un autre malware, 'FireWood', a également été identifié, probablement lié à un malware Windows, mais il semble être un outil partagé entre plusieurs groupes APT chinois. Cette tendance à cibler Linux s'explique par le renforcement de la sécurité sur Windows, incitant les acteurs malveillants à exploiter les vulnérabilités des systèmes exposés à Internet, majoritairement basés sur Linux. WolfsBane est introduit via un dropper nommé 'cron', qui installe un composant caché et établit une persistance sur le système. Il communique avec un serveur de commande et de contrôle (C2) pour exécuter des commandes, permettant à Gelsemium de contrôler les systèmes compromis. FireWood, bien que moins lié à Gelsemium, offre également des capacités d'espionnage à long terme, avec des fonctionnalités similaires pour masquer ses activités.
Sources :
Plus de 2 000 pare-feu de Palo Alto piratés à l'aide de bugs récemment corrigés
Plus de 2 000 pare-feu de Palo Alto Networks ont été compromis en raison de l'exploitation de deux vulnérabilités récemment corrigées. La première, une contournement d'authentification (CVE-2024-0012), permet aux attaquants distants d'acquérir des privilèges d'administrateur via l'interface web de gestion de PAN-OS. La seconde, une élévation de privilèges (CVE-2024-9474), permet d'exécuter des commandes avec des privilèges root. Bien que la société ait d'abord averti ses clients le 8 novembre, les attaques ont été signalées le 18 novembre, avec des acteurs malveillants utilisant des adresses IP associées à des services VPN anonymes. Palo Alto Networks a observé des activités malveillantes, notamment le déploiement de logiciels malveillants sur des pare-feu compromis. La plateforme de surveillance Shadowserver a identifié environ 2 700 dispositifs vulnérables, dont 2 000 ont été piratés. La CISA a ajouté ces vulnérabilités à son catalogue et exige que les agences fédérales patchent leurs dispositifs d'ici le 9 décembre. Palo Alto Networks recommande de restreindre l'accès aux interfaces de gestion pour réduire les risques, en suivant ses directives de déploiement.
Sources :
Microsoft retire la mise à jour WinAppSDK, ce qui interrompt les désinstallations d'applications Windows 10
Microsoft a confirmé qu'à partir du 12 novembre 2024, certains utilisateurs de Windows 10 rencontrent des difficultés pour mettre à jour ou désinstaller des applications empaquetées, comme Microsoft Teams. Ce problème est lié à la mise à jour du WinAppSDK 1.6.2, qui a été automatiquement installée sur les systèmes affectés. Sur les appareils Windows 10 22H2 concernés, un message d'erreur "Something happened on our end" apparaît dans le panneau 'Downloads' du Microsoft Store. Les administrateurs IT utilisant PowerShell peuvent également rencontrer des erreurs lors de la gestion des applications empaquetées. Microsoft a précisé que ce problème n'est pas causé par une mise à jour de sécurité ou mensuelle de Windows, et qu'il ne sera pas résolu en désinstallant les mises à jour cumulatives précédentes. En attendant une correction prévue dans les jours à venir, Microsoft a retiré le package WinAppSDK 1.6.2 pour éviter d'autres impacts. Une mise à jour 1.6.3 est également en préparation. Ce n'est pas la première fois que Microsoft fait face à des problèmes similaires, ayant récemment résolu d'autres bugs affectant des applications et des mises à jour de sécurité.
Sources :
La CISA affirme que le ransomware BianLian se concentre désormais uniquement sur le vol de données
Le groupe de ransomware BianLian a modifié ses tactiques, se concentrant désormais exclusivement sur le vol de données, selon une mise à jour de la CISA, du FBI et du Centre australien de cybersécurité. Initialement, BianLian utilisait un modèle d'extorsion double, cryptant les systèmes des victimes après avoir exfiltré leurs données. Cependant, depuis janvier 2024, le groupe a abandonné la cryptographie au profit d'une extorsion basée uniquement sur l'exfiltration. L'advisory souligne également que BianLian tente de dissimuler son origine en utilisant des noms étrangers, bien que les agences de renseignement estiment que les opérateurs principaux sont basés en Russie. Les nouvelles techniques incluent l'exploitation de vulnérabilités dans les infrastructures Windows et ESXi, l'utilisation de tunnels SOCK5 pour masquer le trafic, et des méthodes d'évasion comme le renommage de fichiers. En 2023, BianLian a ciblé 154 victimes, principalement des petites et moyennes entreprises, avec des attaques notables contre Air Canada et d'autres organisations. La CISA recommande de limiter l'utilisation de RDP et de restreindre les permissions de script sur les systèmes Windows pour contrer cette menace croissante.
Sources :
Analyse des spams Black Friday par Bitdefender : 3 mails de spam sur 4 sont des escroqueries
Bitdefender a observé une forte augmentation des spams liés au Black Friday, débutant le 29 octobre et culminant le 10 novembre 2024. 77 % de ces spams sont classés comme des escroqueries, une hausse de 7 % par rapport à l'année précédente. Les cybercriminels ont diversifié leurs tactiques pour cibler différents groupes d'acheteurs, allant des passionnés de technologie aux amateurs de mode, en adaptant leurs messages à des régions spécifiques. Parmi les arnaques notables, des e-mails frauduleux se faisant passer pour la Fnac en Espagne ont tenté de voler des informations bancaires via un cheval de Troie, tandis que des fausses offres de Shein ont circulé en France et en Italie. Les escrocs exploitent la confiance des consommateurs en usurpant des marques reconnues et en utilisant des techniques psychologiques telles que l'urgence. Pour se protéger, Bitdefender recommande de ne pas ouvrir les pièces jointes d'e-mails non sollicités, d'utiliser des outils antivirus et d'activer l'authentification à deux facteurs. Les utilisateurs sont également encouragés à vérifier l'authenticité des expéditeurs et à éviter de cliquer sur des liens suspects, en utilisant des outils comme Bitdefender Scamio pour détecter les arnaques.
Sources :
Collectivités locales : comment empêcher la réussite des cyberattaques
La troisième étude de Cybermalveillance.gouv.fr révèle qu'une collectivité sur dix a subi des cyberattaques au cours de l'année écoulée, le phishing étant responsable de 30 % des cas. Fabrice de Vésian, Sales Manager France chez Yubico, souligne l'importance pour les collectivités locales de renforcer leur cybersécurité en adoptant une authentification forte moderne dans le cadre d'une approche Zero Trust. Cette stratégie est cruciale face à l'évolution des menaces, notamment avec l'utilisation de l'intelligence artificielle par les cybercriminels, rendant les attaques plus sophistiquées et ciblées. Les collectivités, souvent limitées en ressources, doivent former leur personnel pour reconnaître les cybermenaces et éviter les erreurs humaines. L'adoption de l'authentification multi-facteur (MFA) est essentielle, mais il est impératif de choisir des méthodes résistantes au phishing. Le modèle Zero Trust, qui exige une authentification pour chaque utilisateur et appareil, renforce la sécurité des données sensibles. En intégrant des mesures telles que le chiffrement et l'analyse comportementale, les collectivités peuvent mieux protéger les informations des citoyens et assurer la continuité des services face à l'augmentation des cybermenaces. Une vigilance accrue et une formation régulière sont donc indispensables.
Sources :
Bitdefender s’associe à Cysurance pour offrir à ses clients MDR un programme de garantie en cas de violations de la cybersécurité
Bitdefender, leader en cybersécurité, a lancé un nouveau programme de garantie pour ses clients utilisant ses services de détection et réponse managés (MDR). Ce programme, en partenariat avec Cysurance, offre une couverture financière allant jusqu'à 1 million de dollars en cas de violations de cybersécurité. Selon Kirsten Bay, PDG de Cysurance, ce programme vise à renforcer la confiance des entreprises face à un paysage de menaces de plus en plus complexe, en leur fournissant des ressources financières pour la reprise après un incident. Les services MDR de Bitdefender, certifiés par Cysurance, sont conçus pour minimiser la probabilité et l'impact des incidents de sécurité. Ce lancement intervient alors qu'une enquête révèle que plus de la moitié des entreprises de plus de 1 000 employés ont subi des violations de données récemment. Bitdefender assure une surveillance continue des menaces via sa plateforme GravityZone, qui intègre des solutions avancées de sécurité. Le programme de garantie est accessible sans coût supplémentaire pour les clients existants ou nouveaux des services MDR, offrant ainsi une tranquillité d'esprit face aux risques cybernétiques croissants.
Sources :
Vol de données médicales de plus de 750 000 patients : la gestion des identités et des accès au cœur de la lutte contre les cybermenaces
Le 19 novembre, plus de 750 000 dossiers de patients français ont été volés et mis en vente suite à une cyberattaque sur Mediboard, un logiciel de gestion hospitalière. Cette intrusion a été facilitée par l'usurpation d'identité d'un compte à privilèges, permettant au groupe Near2tlg d'accéder à plusieurs bases de données sensibles, y compris celles de grandes entreprises. Dans un manifeste, le collectif a revendiqué sa capacité à exploiter les vulnérabilités des systèmes informatiques. Des experts, comme Martin Cannard de Netwrix, soulignent l'importance de sécuriser les comptes à privilèges, car la compromission a résulté de l'exploitation d'informations d'identification volées plutôt que d'une faille logicielle. Christophe Escande de CyberArk met en garde contre les risques liés aux données compromises, qui, bien que peu préjudiciables individuellement, peuvent mener à des usurpations d'identité lorsqu'elles sont combinées. Il recommande des techniques d'authentification renforcées et une approche globale de la sécurité des identités, notamment la mise en œuvre de politiques de contrôle d'accès strictes pour protéger les informations sensibles des patients et maintenir la confiance dans les services de santé.
Sources :
Microsoft perturbe l'infrastructure de phishing-as-a-service d'ONNX
Microsoft a récemment perturbé l'infrastructure de phishing-as-a-service (PhaaS) d'ONNX en saisissant 240 domaines utilisés pour cibler des entreprises et des particuliers à travers le monde depuis 2017. Selon le rapport de défense numérique de Microsoft de 2024, ONNX, également connu sous les noms de Caffeine et FUHRER, était le principal fournisseur de services de phishing "Adversary in the Middle" (AitM) au cours du premier semestre 2024, avec des millions d'emails de phishing visant des comptes Microsoft 365. Les kits de phishing proposés par ONNX, vendus via Telegram, ciblaient des entreprises technologiques telles que Google et Microsoft, et incluaient des mécanismes de contournement de l'authentification à deux facteurs (2FA). Les attaques récentes ciblaient particulièrement les employés des institutions financières à l'aide de techniques de phishing par QR code. Après que l'identité du propriétaire d'ONNX a été révélée, Microsoft a obtenu une ordonnance judiciaire pour rediriger l'infrastructure malveillante vers ses propres serveurs, empêchant ainsi l'utilisation future de ces domaines pour des attaques de phishing. Cette action vise à protéger les clients et à dissuader les comportements criminels en augmentant les coûts d'opération pour les cybercriminels.
Sources :
Avertissement : plus de 2 000 appareils Palo Alto Networks piratés dans le cadre d'une campagne d'attaque en cours
Environ 2 000 dispositifs de Palo Alto Networks auraient été compromis en raison de nouvelles vulnérabilités récemment révélées, actuellement exploitées activement. Selon la Shadowserver Foundation, la majorité des infections proviennent des États-Unis (554) et de l'Inde (461), suivis de la Thaïlande (80) et d'autres pays. Censys a identifié 13 324 interfaces de gestion de pare-feu de nouvelle génération exposées publiquement, dont 34 % se trouvent aux États-Unis, bien que toutes ne soient pas nécessairement vulnérables. Les failles, CVE-2024-0012 (score CVSS : 9,3) et CVE-2024-9474 (score CVSS : 6,9), permettent un contournement d'authentification et une élévation de privilèges, permettant à un attaquant d'exécuter des actions malveillantes. Palo Alto Networks suit cette exploitation initiale sous le nom d'Operation Lunar Peek, signalant que ces vulnérabilités sont utilisées pour exécuter des commandes et déployer des malwares. L'entreprise a averti que les attaques devraient augmenter avec la disponibilité d'exploits combinant ces failles. Elle recommande aux utilisateurs d'appliquer les dernières mises à jour et de sécuriser l'accès aux interfaces de gestion, notamment en restreignant l'accès aux adresses IP internes de confiance. Palo Alto a précisé que le nombre réel de dispositifs infectés est inférieur à celui rapporté, car la majorité de ses clients suivent déjà les meilleures pratiques de sécurité.
