Kaspersky dévoile une arnaque ciblant les entreprises via les réseaux sociaux - Actus du 06/01/2025
Découvrez comment des pirates informatiques chinois ont ciblé Charter et Windstream avec la porte dérobée Eagerbee, tout en explorant les nouvelles régulations indiennes sur les données numériques et leurs implications strictes en matière de cybersécurité.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des pirates informatiques chinois ont également piraté les réseaux Charter et Windstream
Des hackers chinois, associés à un groupe soutenu par l'État nommé Salt Typhoon, ont récemment infiltré les réseaux de plusieurs entreprises de télécommunications américaines, dont Charter Communications, Consolidated Communications et Windstream. Cette vague de cyberattaques fait suite à des violations précédentes chez AT&T, Verizon et Lumen, qui ont réussi à expulser les intrus de leurs systèmes. Les hackers ont eu accès à des informations sensibles, y compris des messages texte, des messages vocaux et des appels téléphoniques de personnes ciblées, ainsi que des données de surveillance liées à des enquêtes menées par les forces de l'ordre américaines. Bien que T-Mobile ait signalé une tentative d'intrusion, son directeur de la sécurité a précisé que l'attaque n'était pas liée à Salt Typhoon. En réponse à ces violations, la CISA a recommandé aux responsables gouvernementaux d'utiliser des applications de messagerie chiffrées pour protéger leurs communications. Parallèlement, des mesures législatives sont envisagées pour renforcer la sécurité des infrastructures télécoms américaines. Le gouvernement américain envisage également d'interdire les opérations de China Telecom aux États-Unis et d'examiner l'utilisation de routeurs TP-Link dans le cadre de ces enquêtes.
Sources :
La porte dérobée Eagerbee déployée contre les organisations gouvernementales et les FAI du Moyen-Orient
Des variantes du malware Eagerbee sont déployées contre des organisations gouvernementales et des fournisseurs d'accès Internet (FAI) au Moyen-Orient. Ce malware, précédemment associé à des acteurs menaçants soutenus par l'État chinois, est lié à un groupe appelé 'CoughingDown', selon des chercheurs de Kaspersky. Bien que l'origine des attaques dans cette région reste indéterminée, des précédents montrent que des organisations en Asie de l'Est ont été compromises via une vulnérabilité de Microsoft Exchange (CVE-2021-26855). L'attaque utilise un injecteur pour charger un fichier de charge utile, qui s'exécute au démarrage du système, exploitant divers services Windows pour écrire le payload en mémoire. Eagerbee, identifié comme 'dllloader1x64.dll', collecte des informations système et établit une connexion avec un serveur de commande et de contrôle (C2) pour recevoir des plugins. Cinq plugins documentés permettent des opérations variées, telles que la gestion de fichiers, de processus, d'accès à distance, de services et de réseaux. Eagerbee représente une menace persistante et discrète, avec des capacités étendues sur les systèmes compromis. Les organisations sont conseillées de corriger la vulnérabilité ProxyLogon et d'utiliser les indicateurs de compromission fournis par Kaspersky.
Sources :
L'Inde propose des règles sur les données numériques avec des sanctions sévères et des exigences en matière de cybersécurité
Le gouvernement indien a publié un projet de règles sur la protection des données personnelles numériques (DPDP) pour consultation publique. Selon le Bureau d'information de la presse (PIB), les "fiduciaires de données" doivent fournir des informations claires sur le traitement des données personnelles, permettant ainsi un consentement éclairé. Les citoyens obtiennent des droits pour demander l'effacement de leurs données, désigner des représentants numériques et gérer leurs informations via des mécanismes accessibles. Les règles visent à mettre en œuvre la loi sur la protection des données personnelles, adoptée en août 2023, et renforcent le contrôle des citoyens sur leurs données. Les entreprises doivent adopter des mesures de sécurité, comme le chiffrement et la sauvegarde des données, et signaler les violations dans les 72 heures. D'autres obligations incluent la suppression des données non nécessaires après trois ans et l'obtention du consentement des parents pour les données des enfants. Les organisations qui ne respectent pas ces règles peuvent faire face à des amendes allant jusqu'à 250 crores de roupies. Le ministère des Technologies de l'information sollicite des retours jusqu'au 18 février 2025. Ce développement fait suite à des règles de cybersécurité des télécommunications récemment établies.
Sources :
Kaspersky découvre un nouveau système d’escroquerie ciblant les entreprises via les réseaux sociaux
Kaspersky a récemment identifié une nouvelle escroquerie par hameçonnage ciblant les entreprises utilisant Facebook pour promouvoir leurs pages. Les escrocs envoient des e-mails prétendant provenir de Meta for Business, affirmant que la page du destinataire enfreint les règles de Facebook. Ils incitent les utilisateurs à fournir des informations pour débloquer leur compte. Cette campagne, qui a débuté le 14 décembre 2024, vise des entreprises à l'échelle mondiale, y compris en France. Les analyses montrent que le domaine de l'expéditeur ne correspond pas à Facebook, et les e-mails proviennent de divers serveurs. Les victimes sont redirigées vers Facebook Messenger, où un faux compte d'assistance semble légitime, créant une illusion de confiance. Ce stratagème se distingue par sa sophistication, simulant une communication interne plutôt que d'accuser directement les utilisateurs de violations. Kaspersky prévoit une augmentation des attaques utilisant l'ingénierie sociale en 2025, soulignant l'importance de la vigilance face à ces menaces. Les utilisateurs sont conseillés de vérifier l'authenticité des messages, d'éviter les liens suspects, d'activer l'authentification à deux facteurs et de signaler toute tentative d'hameçonnage à Facebook.
Sources :
Microsoft Bing affiche une page trompeuse de type Google pour les recherches « Google »
Microsoft Bing affiche une page de recherche trompeuse ressemblant à celle de Google lorsque les utilisateurs recherchent "Google". Cette nouvelle interface présente un doodle similaire à celui de Google, accompagné d'un champ de recherche supplémentaire, donnant l'impression d'être sur le moteur de recherche concurrent. Bien que l'adresse bing.com soit visible dans la barre d'adresse, le contenu de la page, qui met en avant les services de Google, peut induire en erreur les utilisateurs. Un utilisateur a exprimé son mécontentement sur Twitter, affirmant que cette présentation pourrait tromper les gens en leur faisant croire qu'ils utilisent un autre moteur de recherche. De plus, la page de recherche est automatiquement défilée vers le bas, masquant l'en-tête habituel de Bing et renforçant la confusion. Des tests effectués par BleepingComputer montrent que cette page alternative apparaît également pour Yandex, le principal moteur de recherche russe, mais pas pour DuckDuckGo, Brave Search ou Start Page. BleepingComputer a tenté de contacter Microsoft pour obtenir des éclaircissements sur cette page personnalisée, mais n'a pas reçu de réponse. Cette situation soulève des préoccupations quant à la transparence et à l'éthique des pratiques de recherche de Microsoft.
Sources :
⚡ Récapitulatif hebdomadaire THN : principales menaces, outils et conseils en matière de cybersécurité [6 janvier]
Une récente menace a été identifiée concernant une trentaine d'extensions Google Chrome qui ont subtilisé des données sensibles sur environ 2,6 millions d'appareils pendant plusieurs mois. Cette attaque a été facilitée par un courriel de phishing ciblé envoyé à un employé, l'incitant à cliquer sur un lien menant à une application OAuth malveillante. Les cyberattaques ont été attribuées à un acteur soutenu par l'État chinois, connu sous le nom de Flax Typhoon, qui a exploité un botnet IoT. Parallèlement, des allégations ont émergé concernant des violations de la vie privée liées à Siri, où des informations confidentielles étaient capturées sans le consentement des utilisateurs. Un contrat gouvernemental a été lié à des infrastructures soutenant ces campagnes. Les victimes ont été piégées par de fausses notifications d'alerte de piratage, les incitant à contacter un support technique. Des arrestations ont eu lieu, notamment celle d'un cybercriminel canadien impliqué dans le vol de données via le service cloud Snowflake. Pour contrer ces menaces, des mesures de sécurité comme l'isolation des navigateurs et des pratiques de cybersécurité sont recommandées, telles que la mise à jour régulière des applications et la vigilance face aux courriels suspects.
Sources :
De 22 millions de dollars de rançon à plus de 100 millions de dossiers volés : les acteurs vedettes de la menace SaaS de 2025 à surveiller
En 2024, les menaces cybernétiques ciblant les SaaS ont explosé, avec 7 000 attaques par mot de passe bloquées par seconde dans Entra ID, soit une augmentation de 75 % par rapport à l'année précédente. Les tentatives de phishing ont également augmenté de 58 %, entraînant des pertes de 3,5 milliards de dollars. Des groupes comme ShinyHunters ont réussi à infiltrer et extorquer des utilisateurs en contournant l'authentification multifacteur (MFA). Après avoir extorqué 22 millions de dollars à Change Healthcare, ils ont même simulé une intervention du FBI pour tromper les autorités. RansomHub, un nouvel acteur, a connu un succès notable malgré des accusations de trahison envers ALPHV. LockBit, un autre groupe, a continué à opérer malgré l'opération 'Cronos' du FBI, affirmant qu'ils ne pouvaient pas être arrêtés. Les leçons de sécurité SaaS soulignent l'importance de la détection des menaces d'identité et de l'évaluation des risques des fournisseurs tiers. Les acteurs étatiques, comme Midnight Blizzard, se concentrent sur l'espionnage cybernétique, soulignant la nécessité d'audits réguliers et de contrôles d'accès sécurisés. Les équipes de sécurité doivent rester vigilantes face à des vulnérabilités cachées dans les applications SaaS non autorisées et les intégrations entre applications.
Sources :
Le malware Android FireScam se fait passer pour Telegram Premium pour voler des données et contrôler des appareils
Un malware Android nommé FireScam a été découvert, se faisant passer pour une version premium de l'application de messagerie Telegram afin de voler des données et de maintenir un contrôle à distance sur les appareils compromis. Distribué via un site de phishing hébergé sur GitHub.io, il imite RuStore, une boutique d'applications populaire en Russie. FireScam utilise un processus d'infection en plusieurs étapes, commençant par un fichier APK dropper qui, une fois installé, exfiltre des données sensibles vers une base de données Firebase. Le dropper demande des permissions étendues, y compris l'accès au stockage externe et la gestion des mises à jour d'applications. Il utilise des techniques d'obfuscation pour éviter la détection et surveille les notifications, les transactions e-commerce et d'autres activités utilisateur. Lors de son lancement, l'application demande des permissions supplémentaires pour accéder aux contacts et aux messages, tout en affichant une page de connexion Telegram pour voler les identifiants. FireScam maintient également un accès caché via des notifications Firebase Cloud Messaging et une connexion WebSocket avec son serveur de commande. Ce malware illustre l'efficacité des méthodes de distribution basées sur le phishing pour infecter les appareils et échapper à la détection.
Sources :
Les cybercriminels ciblent les développeurs Ethereum avec de faux packages npm Hardhat
Des chercheurs en cybersécurité ont découvert plusieurs paquets malveillants sur le registre npm, se faisant passer pour l'outil Hardhat de la Nomic Foundation afin de voler des données sensibles des systèmes des développeurs. Ces paquets exploitent la confiance dans les plugins open source pour infiltrer les plateformes et exfiltrer des informations critiques telles que des clés privées et des phrases mnémotechniques. Parmi les paquets identifiés, @nomicsfoundation/sdk-test a attiré 1 092 téléchargements depuis sa publication en octobre 2023. Une fois installés, ces paquets collectent des détails sensibles via des fonctions spécifiques et transmettent les données à des serveurs contrôlés par des attaquants. Cette révélation survient peu après la découverte d'un autre paquet malveillant, ethereumvulncontracthandler, qui prétend détecter des vulnérabilités dans les contrats intelligents Ethereum tout en intégrant un malware. De plus, des bibliothèques frauduleuses sur npm, PyPI et RubyGems utilisent des outils de test de sécurité pour exfiltrer des données. Les chercheurs recommandent aux développeurs de vérifier l'authenticité des paquets, d'être prudents lors de la saisie des noms de paquets et d'inspecter le code source avant installation pour atténuer les risques liés à la chaîne d'approvisionnement.
Sources :
Microsoft a peut-être abandonné la fonctionnalité de fonds d'écran dynamiques de Windows 11
Microsoft semble avoir abandonné la fonctionnalité de fonds d'écran dynamiques pour Windows 11, une idée qui aurait pu offrir une expérience visuelle interactive similaire à des outils tiers comme Lively Wallpaper. Sergey Kisselev, un ancien membre de l'équipe de design de Windows, a révélé que cette fonctionnalité était en développement pour des appareils à faible coût destinés aux étudiants, mais elle n'a jamais été mise à disposition du public. Bien que des fonds d'écran aient été conçus pour célébrer le nouveau langage de design de Windows 11, cette initiative n'a pas abouti. Selon Albacore, un observateur de Microsoft, les composants inachevés des fonds d'écran dynamiques ont été retirés dans la mise à jour Windows 11 24H2, bien que des références à cette fonctionnalité aient été présentes dans des versions antérieures. Les raisons de cet abandon restent floues, mais pourraient être liées au départ de Panos Panay ou à un changement de priorités de Microsoft vers des fonctionnalités axées sur la productivité et l'IA. Ainsi, les fonds d'écran dynamiques rejoignent la liste des bonnes idées de Microsoft qui ne verront jamais le jour.
Sources :
Un album de musique pour commencer 2025 : ZATAZ.COM innove pour parler cybersécurité autrement
ZATAZ.COM lance en 2025 un projet innovant : un album musical gratuit de 12 titres, intitulé « 92829 », pour sensibiliser à la cybersécurité de manière artistique. Disponible sur YouTube et en téléchargement, cet album mélange des influences RnB, rap et pop rock, abordant des thèmes cruciaux tels que la sextorsion, les arnaques au trading et la fraude à l’emploi. Le single phare, « Déconne pas, étonne-moi », encourage les jeunes hackers à utiliser leurs compétences pour des actions positives sur Internet.
Ce projet, fruit de plusieurs semaines de travail, vise à toucher un large public, des passionnés de technologie aux néophytes, en utilisant la musique comme vecteur d’émotion et de réflexion. Chaque morceau sert d’alerte et de conseil, rendant la cybersécurité accessible et engageante. ZATAZ.COM démontre ainsi que la sensibilisation peut se faire de manière ludique et créative. L’album est entièrement gratuit, renforçant l’engagement de ZATAZ.COM à éduquer le public sur les dangers du web. En combinant musique et sensibilisation, l’équipe souhaite débuter 2025 sur une note positive et inspirante.
Sources :
Les utilisateurs de Windows 10 sont invités à effectuer une mise à niveau pour éviter un « fiasco de sécurité »
La société de cybersécurité ESET exhorte les utilisateurs de Windows 10 à passer à Windows 11 ou à Linux avant la fin du support de Windows 10 en octobre 2025, afin d'éviter des risques de sécurité majeurs. Avec environ 32 millions d'ordinateurs en Allemagne utilisant Windows 10, représentant 65 % des appareils domestiques, la situation est préoccupante. Les utilisateurs de Windows 10 seront exposés à de nouvelles vulnérabilités, ce qui pourrait entraîner des violations de données et des attaques malveillantes. ESET souligne que la situation actuelle est plus dangereuse que lors de la fin du support de Windows 7 en 2020, car les cybercriminels attendent déjà cette échéance. Bien que certains utilisateurs hésitent à migrer vers Windows 11 en raison de l'absence de certaines fonctionnalités et des exigences matérielles comme le TPM, Microsoft maintient que cette exigence est essentielle pour la sécurité. Pour ceux qui ne peuvent pas mettre à jour, Microsoft propose des mises à jour de sécurité étendues, mais à un coût élevé. Les commentaires des utilisateurs révèlent une tendance à migrer vers Linux, bien que beaucoup continuent d'utiliser Windows 10 malgré les risques.
