La faille de ChatGPT sur macOS aurait pu activer un logiciel espion à long terme via la fonction de mémoire Re-write: Faille de ChatGPT : Espionnage potentiel sur macOS via la mémoire - Actus du 25/09/2024
Découvrez comment Winamp, le lecteur média emblématique, devient open source après 27 ans, les dangers du cheval de Troie Necro sur Google Play signalés par Kaspersky, et les meilleurs conseils d'experts pour repérer et éviter les liens de phishing. Ne manquez pas cet article essentiel !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le « Lama » est libéré : Winamp devient open source après 27 ans
Winamp, le célèbre lecteur multimédia lancé en 1997, a récemment publié son code source sur GitHub, conformément à une promesse faite en mai 2024. Ce projet, qui a connu un grand succès grâce à sa compatibilité avec divers formats audio et sa personnalisation, a vu son développement ralentir après l'acquisition de Nullsoft par AOL, entraînant l'arrêt du logiciel en 2013. Radionomy, le nouveau propriétaire, a tenté de relancer Winamp, mais sans succès face à l'essor des services de streaming musical. La publication du code source permet désormais aux développeurs de contribuer à la modernisation du lecteur, bien que la licence impose des restrictions sur la distribution de logiciels modifiés. Le dépôt GitHub a rapidement gagné en popularité, atteignant 2 500 étoiles et 600 forks en moins de 24 heures. Malgré le défi de mettre à jour un logiciel ancien utilisant des technologies obsolètes, la nostalgie et le statut iconique de Winamp suscitent un intérêt considérable. Les développeurs sont invités à améliorer le lecteur pour répondre aux besoins actuels des utilisateurs, marquant ainsi un nouveau chapitre pour ce logiciel emblématique.
Sources :
Kaspersky signale la présence du cheval de Troie Necro dans Google Play, avec près de 11 millions de victimes à son actif
À la fin août 2024, Kaspersky a découvert une nouvelle version du cheval de Troie Necro, infiltrant des applications populaires sur Google Play et modifiant des versions non officielles de Spotify, WhatsApp et Minecraft. Necro agit comme un téléchargeur Android, installant des composants malveillants selon les instructions de ses créateurs. Les attaques ont principalement ciblé des utilisateurs en Russie, au Brésil, au Vietnam, en Équateur, au Mexique, et la France, avec 139 victimes. Ce cheval de Troie peut télécharger des modules sur les smartphones infectés, affichant des publicités invisibles et redirigeant le trafic Internet, ce qui permet aux cybercriminels de contourner des pages bloquées et d'utiliser les appareils comme des proxies. Necro a été initialement découvert dans une version modifiée de Spotify Plus, ainsi que dans des applications de messagerie et des jeux. Bien que Kaspersky ait signalé ces menaces à Google, entraînant la suppression de certaines applications, les utilisateurs restent exposés sur des plateformes non officielles. Les cybercriminels exploitent la tendance des utilisateurs à télécharger des applications modifiées, utilisant des techniques de stéganographie pour dissimuler leur code malveillant. Kaspersky propose des solutions de sécurité pour détecter et protéger contre Necro.
Sources :
Conseils d'experts pour repérer un lien de phishing
Les attaques de phishing deviennent de plus en plus sophistiquées, rendant leur détection difficile. Les cybercriminels utilisent souvent des liens HTTPS légitimes pour diffuser du contenu malveillant, rendant la vigilance essentielle. Des outils comme Safebrowsing d'ANY.RUN permettent d'examiner des liens suspects dans un environnement sécurisé, évitant ainsi une inspection manuelle fastidieuse. Ces attaques passent souvent par des redirections, demandant des identifiants de connexion pour accéder à des fichiers. Par exemple, un lien apparemment inoffensif peut rediriger vers une fausse page de connexion, conçue pour voler des informations. Les signes révélateurs incluent des titres de page incohérents et des favicons manquants. Les attaquants imitent également des interfaces de logiciels connus, comme ceux d'Adobe ou de Microsoft, pour gagner la confiance des utilisateurs. Cela les rend plus vulnérables aux pièges de phishing. ANY.RUN offre un navigateur virtuel sécurisé pour analyser ces liens en temps réel, inspecter l'activité réseau et détecter des comportements malveillants. Pour une analyse approfondie, le sandbox d'ANY.RUN propose des capacités avancées de détection des menaces. Commencez à utiliser ANY.RUN gratuitement pour explorer des liens suspects en toute sécurité.
Sources :
L'IA agentique dans les SOC : une solution aux promesses non tenues du SOAR
La phase Gen 2 (2018-2020) a introduit des éditeurs sans code et des bibliothèques de playbooks, facilitant l'adoption des outils SOAR tout en allégeant la charge des équipes d'ingénierie. Cependant, ces avancées n'ont pas résolu les défis fondamentaux de l'automatisation des centres opérationnels de sécurité (SOC). Les tâches complexes nécessitent une compréhension approfondie, une synthèse des données et une expertise en sécurité, des domaines où l'IA excelle. L'IA peut interpréter les alertes, mener des recherches et synthétiser des données, mais cela augmente la charge de travail des analystes, impactant leur productivité. Les solutions d'IA agentique, en fournissant des triages d'alertes et des enquêtes d'incidents complètes, permettent aux équipes SOC de se concentrer sur des décisions stratégiques, améliorant ainsi l'efficacité opérationnelle. Ces solutions incluent des chatbots pour la chasse aux menaces et des modèles analytiques, offrant des rapports détaillés sur les incidents. L'IA agentique se distingue par sa capacité à effectuer des analyses approfondies et précises, en apprenant en continu des comportements normaux et en corrélant les données. En fin de compte, cette technologie optimise la détection des menaces et améliore la satisfaction des analystes en rationalisant les opérations SOC.
Sources :
La faille de ChatGPT sur macOS aurait pu activer un logiciel espion à long terme via la fonction de mémoire
Une vulnérabilité de sécurité récemment corrigée dans l'application ChatGPT d'OpenAI pour macOS aurait permis à des attaquants d'implanter un logiciel espion persistant dans la mémoire de l'outil d'intelligence artificielle. Cette technique, nommée SpAIware, pourrait faciliter l'exfiltration continue de données, y compris les informations saisies par l'utilisateur et les réponses de ChatGPT. Le problème découle d'une fonctionnalité de mémoire introduite par OpenAI, permettant à ChatGPT de se souvenir des interactions passées. Les instructions malveillantes pouvaient être stockées dans cette mémoire, entraînant une exfiltration de données à travers les conversations futures. Un utilisateur pourrait être piégé en visitant un site malveillant ou en téléchargeant un document piégé, qui mettrait à jour la mémoire de ChatGPT pour envoyer secrètement toutes les conversations à un serveur contrôlé par un attaquant. OpenAI a corrigé cette vulnérabilité dans la version 1.2024.247 de ChatGPT. Les utilisateurs sont conseillés de vérifier régulièrement les mémoires stockées pour détecter des anomalies. Parallèlement, des chercheurs ont découvert une nouvelle technique de jailbreak d'IA, MathPrompt, exploitant les capacités avancées des modèles de langage pour contourner leurs mécanismes de sécurité.
Sources :
Comment vérifier rapidement les liens suspects ?
De nos jours, les mesures de sécurité contre le phishing incluent des vérifications automatisées et le blocage de liens suspects. Cependant, les cyberattaquants utilisent des méthodes plus avancées pour contourner ces défenses. Pour remédier à cela, il est conseillé d'utiliser des outils à jour comme Safebrowsing d'ANY.RUN, qui permet de vérifier rapidement les liens suspects dans un environnement isolé et sécurisé.
Pour utiliser Safebrowsing, il suffit de copier le lien suspect, de le coller dans la barre de recherche et de cliquer sur "Browse". L'utilisateur peut alors interagir librement avec le site tout en étant averti des activités malveillantes. Après l'analyse, un rapport détaillé des menaces détectées et des indicateurs de compromission (IOC) est fourni, facilitant la gestion des risques.
Vérifier les liens suspects est crucial pour protéger ses informations sensibles, éviter les violations de réseau et prévenir l'installation de logiciels malveillants. Safebrowsing est accessible à tous, permettant aux utilisateurs de tous niveaux d'analyser des URL sans nécessiter l'intervention des équipes de sécurité. Inscrivez-vous gratuitement pour commencer à analyser des liens illimités.
Sources :
Des entreprises de transport touchées par des cyberattaques utilisant Lumma Stealer et le malware NetSupport
Une nouvelle campagne de phishing cible les entreprises de transport et de logistique en Amérique du Nord, selon Proofpoint. Cette campagne utilise des comptes email légitimes compromis pour injecter des contenus malveillants dans des conversations existantes. Entre mai et juillet 2024, des malwares tels que Lumma Stealer et StealC ont été principalement diffusés. En août 2024, les attaquants ont changé de tactique, utilisant de nouvelles infrastructures et techniques de livraison, notamment DanaBot et Arechclient2. Les chaînes d'attaque impliquent l'envoi de messages contenant des fichiers .URL ou des liens Google Drive, qui, une fois lancés, récupèrent des malwares via le protocole SMB. Certaines variantes ont utilisé une technique appelée ClickFix pour inciter les victimes à exécuter un script PowerShell, déclenchant ainsi l'infection. Les campagnes ont imité des logiciels spécifiques à la gestion des opérations de transport, indiquant une recherche préalable sur les cibles. Parallèlement, de nouvelles souches de malwares, comme RomCom RAT, ont émergé, permettant aux attaquants d'exécuter des commandes sur les systèmes infectés. L'absence de déploiement de ransomware suggère un changement d'objectif vers l'espionnage plutôt que le gain financier.
Sources :
La CISA signale une vulnérabilité critique d'Ivanti vTM en raison de préoccupations d'exploitation active
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une vulnérabilité critique affectant l'Ivanti Virtual Traffic Manager (vTM) à son catalogue des vulnérabilités exploitées, suite à des preuves d'exploitation active. La vulnérabilité, identifiée comme CVE-2024-7593, a un score CVSS de 9,8 et permet à un attaquant distant non authentifié de contourner l'authentification du panneau d'administration et de créer des comptes administratifs non autorisés. Ivanti a corrigé cette faille dans les versions 22.2R1, 22.3R3, 22.5R2, 22.6R2 et 22.7R2 en août 2024. Bien que CISA n'ait pas fourni de détails sur les attaques en cours, Ivanti a mentionné qu'un proof-of-concept (PoC) est disponible publiquement. Les agences fédérales doivent remédier à cette vulnérabilité d'ici le 15 octobre 2024 pour protéger leurs réseaux. D'autres failles affectant les dispositifs Ivanti, comme CVE-2024-8190 et CVE-2024-8963, ont également été exploitées récemment. Selon Censys, 2 017 instances d'Ivanti Cloud Service Appliance (CSA) sont exposées en ligne, principalement aux États-Unis, mais il n'est pas clair combien d'entre elles sont vulnérables.
Sources :
Mise à jour Windows 10 KB5043131 publiée avec 9 modifications et correctifs
Microsoft a publié le 24 septembre 2024 une mise à jour de prévisualisation non sécuritaire pour Windows 10, version 22H2, sous le numéro KB5043131. Cette mise à jour, qui vise à corriger divers bugs, améliore la stabilité de l'expérience utilisateur, notamment en résolvant des problèmes de gel du navigateur Edge en mode IE et de synchronisation des dossiers de travail lorsque Defender pour Endpoint est actif. Elle corrige également des soucis de lecture multimédia liés à certaines technologies de son surround.
Les utilisateurs peuvent installer cette mise à jour via l'application Paramètres en vérifiant les mises à jour, ou manuellement depuis le Catalogue Microsoft. Une fois installée, la version 22H2 sera mise à jour vers la build 19045.4957. Parmi les autres améliorations, on note un nouveau positionnement de l'image de profil dans le menu Démarrer, des notifications d'opt-in pour Windows Update, et des mises à jour des paramètres des opérateurs mobiles. Cependant, un problème connu empêche les utilisateurs de changer leur photo de profil. Cette mise à jour s'inscrit dans un contexte où Microsoft a récemment relancé le canal bêta de Windows 10, après une pause de trois ans.
Sources :
AutoCanada affirme qu'une attaque de ransomware « pourrait » avoir un impact sur les données des employés
AutoCanada a averti que des données d'employés pourraient avoir été exposées lors d'une cyberattaque en août, revendiquée par le groupe de ransomware Hunters International. Bien que l'entreprise n'ait détecté aucune campagne de fraude ciblant les personnes touchées, elle envoie des notifications pour les alerter des risques potentiels. En raison de l'attaque, certains systèmes informatiques internes ont été mis hors ligne, entraînant des perturbations opérationnelles, bien que les 66 concessions de l'entreprise aient continué à fonctionner. Les cybercriminels ont publié des téraoctets de données prétendument volées, incluant des informations personnelles telles que noms, adresses, numéros de sécurité sociale et données bancaires. AutoCanada a mis en place une page FAQ pour informer sur l'incident et propose une protection contre le vol d'identité et un suivi de crédit gratuit pendant trois ans aux personnes concernées. L'entreprise a isolé les systèmes compromis et a pris des mesures pour renforcer sa sécurité, bien qu'elle ne puisse garantir qu'une telle violation ne se reproduira pas. Actuellement, il n'y a aucune indication que des données clients aient été compromises, mais la situation reste sous enquête.
Sources :
Une cyberattaque sur une usine de traitement des eaux du Kansas oblige à passer à des opérations manuelles
Le 24 septembre 2024, la ville d'Arkansas City, au Kansas, a dû passer son usine de traitement de l'eau en mode manuel suite à une cyberattaque détectée le matin même. Les autorités locales ont alerté les agences compétentes, dont le Département de la Sécurité intérieure et le FBI, qui enquêtent sur l'incident. Le directeur de la ville, Randy Frazer, a assuré que l'approvisionnement en eau reste sécurisé et que le traitement de l'eau n'a pas été affecté. Il a précisé que, bien que la situation soit sous contrôle, des mesures de sécurité renforcées sont mises en place pour protéger l'approvisionnement en eau. Les résidents ont été informés qu'ils pourraient connaître une pression d'eau réduite en raison de problèmes avec certaines pompes. Cette cyberattaque survient peu après un avertissement du Water Information Sharing and Analysis Center concernant des acteurs menaçants liés à la Russie ciblant le secteur de l'eau. Les systèmes d'eau américains ont été la cible de plusieurs cyberattaques ces dernières années, impliquant des groupes soutenus par des États comme l'Iran et la Chine. Les autorités continuent de travailler pour rétablir les opérations normales de l'usine.
Sources :
L'agence gouvernementale américaine CMS affirme que la violation de données a touché 3,1 millions de personnes
Le 6 septembre 2024, les Centers for Medicare & Medicaid Services (CMS) ont annoncé qu'une violation de données avait exposé les informations personnelles de plus de 3,1 millions de bénéficiaires de Medicare, suite aux attaques de ransomware MOVEit par le groupe Cl0p. Les données ont été volées après une intrusion dans le Wisconsin Physicians Service (WPS), qui gère des services administratifs pour Medicare. Bien que WPS ait appliqué des mises à jour de sécurité en juin 2023, une enquête a révélé que les hackers avaient accédé au réseau avant cette mise à jour. Les informations compromises incluent des noms, numéros de sécurité sociale, dates de naissance, adresses, et numéros de compte hospitalier. CMS a informé 946 801 individus concernés et a précisé que le nombre total de personnes touchées incluait des données de personnes décédées ou non bénéficiaires de Medicare. Pour atténuer les risques, CMS propose un service de surveillance de crédit gratuit pendant 12 mois via Experian. Bien que Cl0p ait prétendu supprimer les données des entités gouvernementales, il est difficile de garantir que ces informations n'ont pas été partagées ou vendues sur le dark web.
Sources :
Le malware Infostealer contourne les nouvelles défenses de Chrome contre le vol de cookies
Des développeurs de malware infostealer ont mis à jour leurs outils pour contourner la nouvelle fonctionnalité de Google Chrome, l'App-Bound Encryption, qui protège les données sensibles comme les cookies. Introduite dans Chrome 127, cette fonctionnalité crypte les cookies et les mots de passe en utilisant un service Windows avec des privilèges système, rendant difficile le vol de ces informations par des malwares fonctionnant avec les permissions de l'utilisateur connecté. Cependant, des chercheurs en sécurité, tels que g0njxa et RussianPanda9xx, ont observé que plusieurs développeurs de malware, comme MeduzaStealer et Lumma Stealer, affirment avoir réussi à contourner cette protection. Des tests ont confirmé que la dernière version de Lumma Stealer peut effectivement contourner l'App-Bound Encryption dans Chrome 129. Les développeurs de Lumma ont assuré à leurs clients qu'aucun privilège administrateur n'était nécessaire pour le vol de cookies. Bien que les détails de cette méthode de contournement restent flous, des commentaires d'autres développeurs de malware indiquent qu'ils ont pu inverser le chiffrement en peu de temps. Google a reconnu ces développements et travaille à améliorer la détection de ces nouvelles techniques d'attaque.
Sources :
Un bug critique de contournement de l'authentification Ivanti vTM est désormais exploité dans les attaques
Une vulnérabilité critique d'Ivanti, identifiée comme CVE-2024-7593, permet aux attaquants de contourner l'authentification sur les panneaux d'administration des Virtual Traffic Manager (vTM) exposés sur Internet. Cette faille, due à une mauvaise mise en œuvre d'un algorithme d'authentification, permet à des utilisateurs non authentifiés de créer des comptes administrateurs malveillants. Ivanti a averti que l'exploitation réussie de cette vulnérabilité pourrait entraîner des violations de sécurité graves. Bien qu'un code d'exploitation de preuve de concept ait été disponible dès le 13 août, Ivanti n'a pas encore mis à jour son avis de sécurité pour confirmer l'exploitation active. L'agence CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités connues exploitées, exigeant des agences fédérales qu'elles sécurisent leurs appareils vulnérables d'ici le 15 octobre. Ivanti recommande aux administrateurs de restreindre l'accès à l'interface de gestion vTM et de vérifier les journaux d'audit pour détecter des utilisateurs administrateurs suspects. Cette situation s'inscrit dans un contexte où plusieurs failles d'Ivanti ont été exploitées dans des attaques récentes, incitant l'entreprise à renforcer ses capacités de détection et de divulgation responsable.
Sources :
Des pirates informatiques déploient des logiciels malveillants écrits par l'IA dans des attaques ciblées
Des chercheurs ont découvert une campagne de phishing ciblant des utilisateurs français, utilisant un code malveillant probablement généré par des outils d'intelligence artificielle. Cette campagne a permis de livrer le malware AsyncRAT via une archive ZIP protégée par mot de passe, exploitant une technique appelée HTML smuggling. Les chercheurs d'HP ont noté que le code malveillant était commenté de manière détaillée, une caractéristique rare dans les logiciels malveillants développés par des humains, suggérant l'utilisation d'une IA. Ce phénomène souligne une tendance inquiétante : des cybercriminels moins expérimentés utilisent désormais l'IA pour créer des malwares, rendant ces outils accessibles à un plus large éventail d'attaquants. Les rapports de sécurité indiquent que les archives sont devenues le moyen de livraison le plus courant pour les malwares au cours du premier semestre 2024. Les acteurs malveillants peuvent ainsi personnaliser rapidement leurs attaques pour cibler différentes régions et systèmes d'exploitation. Malgré les mesures de sécurité mises en place par les fournisseurs, les agences gouvernementales mettent en garde contre l'abus potentiel de ces technologies, qui facilitent la création de menaces avancées en un temps record.
Sources :
Le malware Android Necro a été détecté dans des applications d'appareil photo et de navigateur populaires sur Play Store
Des versions altérées d'applications Android légitimes, associées à Spotify, WhatsApp et Minecraft, ont été utilisées pour diffuser une nouvelle version d'un chargeur de malware connu sous le nom de Necro. Kaspersky a signalé que certaines de ces applications malveillantes étaient présentes sur le Google Play Store. Bien que la méthode de compromission des applications reste floue, un kit de développement logiciel (SDK) malveillant pour l'intégration publicitaire est suspecté. Necro, découvert en 2019, était caché dans l'application CamScanner, où il exploitait un SDK publicitaire tiers. La nouvelle version utilise des techniques d'obfuscation et de stéganographie pour dissimuler ses charges utiles. Elle peut exécuter des liens dans des fenêtres WebView invisibles, créer des tunnels à travers l'appareil infecté et s'abonner à des services payants. Les versions modifiées d'applications populaires sont des vecteurs de diffusion majeurs. Kaspersky a bloqué plus de dix mille attaques Necro entre août et septembre 2024, avec des pays comme la Russie et le Brésil en tête. Google a confirmé que toutes les versions malveillantes avaient été retirées du Play Store et que Google Play Protect protège automatiquement les utilisateurs contre ces menaces.
