La nouvelle porte dérobée Windows BITSLOTH exploite BITS pour une communication furtive - Actus du 02/08/2024
Rejoignez notre webinaire pour explorer une solution de cybersécurité tout-en-un pour les PME, découvrez comment le botnet Mirai menace les serveurs OFBiz et apprenez à identifier les arnaques sur les bornes de recharge. Protégez votre entreprise efficacement !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Webinaire : Découvrez la solution de cybersécurité tout-en-un pour les PME
Dans le paysage numérique actuel, les petites et moyennes entreprises (PME) font face aux mêmes menaces cybernétiques que les grandes entreprises, mais avec des ressources limitées. Les fournisseurs de services gérés (MSP) peinent à répondre à la demande croissante de protection. Si votre stratégie de cybersécurité ressemble à un château de cartes, il est temps d'envisager un changement.
Découvrez la plateforme de cybersécurité tout-en-un, qui regroupe toutes les protections nécessaires en un seul endroit avec une interface facile à utiliser. Participez à notre prochain webinaire pour découvrir comment les MSP et les PME utilisent ces plateformes pour : simplifier leurs outils de sécurité, accélérer la réponse aux menaces et étendre leurs capacités de cybersécurité sans se ruiner. Les experts de Cynet présenteront comment leur plateforme tout-en-un combine une suite complète de fonctionnalités de sécurité avec un support 24/7.
Ce webinaire s'adresse aux PME souhaitant bénéficier d'une protection de niveau entreprise à un prix abordable, ainsi qu'aux MSP désireux de débloquer de nouvelles sources de revenus grâce à des services de cybersécurité complets. Ne manquez pas cette occasion d'améliorer votre retour sur investissement en cybersécurité. Inscrivez-vous dès maintenant !
Sources :
Le botnet Mirai ciblant les serveurs OFBiz est vulnérable à la traversée de répertoires
Le SANS Internet Storm Center a publié un rapport indiquant que le cadre ERP open-source OFBiz est actuellement ciblé par de nouvelles variantes du botnet Mirai. Soutenu par la Fondation Apache, OFBiz est un framework Java pour la création d'applications ERP. En mai, une mise à jour de sécurité critique a été publiée pour corriger une vulnérabilité de traversée de répertoire pouvant mener à une exécution de commandes à distance. Récemment, la CISA et le FBI ont émis une alerte dans le cadre de l'initiative "Secure by Design", mettant l'accent sur cette vulnérabilité. Celle-ci peut être exploitée en insérant un point-virgule dans l'URL, permettant d'accéder à des fonctions non sécurisées comme "ProgramExport", qui devrait être protégée par authentification. Les capteurs du SANS ont détecté une augmentation significative des tentatives d'exploitation de la vulnérabilité CVE-2024-32213, avec des requêtes POST visant à exécuter des commandes malveillantes. Deux adresses IP ont été identifiées comme sources d'attaques, hébergeant des malwares. Bien que la population vulnérable soit limitée, les attaquants continuent d'exploiter ces failles.
Sources :
Attention aux arnaques sur les bornes de recharge
Les escroqueries liées aux QR codes se multiplient, notamment dans le secteur des bornes de recharge pour véhicules électriques. La vigilance est essentielle pour éviter de transmettre des données personnelles sur des sites frauduleux. Deux solutions de prévention sont recommandées : vérifier l'affichage du QR code sur l'écran de la borne et s'assurer qu'il est intégré de manière cohérente dans l'ensemble des informations. Il est crucial de scruter les autocollants pour détecter d'éventuelles manipulations, comme des surépaisseurs ou des autocollants superposés. Un exemple relayé par le média allemand Auto Motor Sport illustre ce danger : un lecteur, Martin Person, a été piégé à Berlin en scannant un code trompeur. Cette fraude touche tous les conducteurs, même les plus expérimentés, et l'opérateur Ionity a reconnu que certains de ses codes QR peuvent être altérés par des fraudeurs. Bien que des solutions de paiement direct par carte bancaire soient en cours d'implémentation sur les bornes rapides, les bornes lentes restent vulnérables. Les utilisateurs sont encouragés à signaler toute fraude à Ionity pour permettre une réaction rapide. La situation dans ce secteur mérite une attention continue.
Sources :
La nouvelle porte dérobée Windows BITSLOTH exploite BITS pour une communication furtive
Des chercheurs en cybersécurité ont découvert un nouveau malware, nommé BITSLOTH, qui exploite le service intégré Background Intelligent Transfer Service (BITS) comme mécanisme de commande et de contrôle (C2). Identifié par Elastic Security Labs le 25 juin 2024, ce malware a été associé à une cyberattaque visant un ministère des affaires étrangères d'un gouvernement sud-américain, sous le nom de REF8747. BITSLOTH, en développement depuis décembre 2021, possède 35 fonctions de gestion, incluant des capacités de keylogging et de capture d'écran. Les chercheurs estiment que cet outil est utilisé pour la collecte de données, bien que l'identité des auteurs reste incertaine, bien que des analyses de code suggèrent des locuteurs chinois. Le malware utilise également un outil open-source, RingQ, pour chiffrer son code et éviter la détection. En outre, des serveurs web vulnérables sont exploités pour déployer des web shells, permettant la livraison de charges utiles supplémentaires. BITSLOTH, sous forme de fichier DLL, est chargé via des techniques de side-loading et peut exécuter des commandes, télécharger des fichiers, et récolter des données sensibles. Son utilisation de BITS pour le C2 le rend difficile à détecter pour de nombreuses organisations.
Sources :
Attention à cette fausse pub Google pour l’app Authenticator, elle cache un logiciel malveillant
Un rapport de Malwarebytes, publié le 30 juillet 2024, met en lumière une campagne de phishing ciblant l'application Google Authenticator, essentielle pour la double authentification. Les cybercriminels ont exploité des failles de sécurité sur Google pour diffuser de fausses publicités, redirigeant les utilisateurs vers des sites clones. En recherchant Google Authenticator, les internautes pouvaient tomber sur des annonces sponsorisées menant à des adresses frauduleuses comme « chromeweb-authenticators[.]com ». En téléchargeant le fichier proposé, les victimes installaient un malware nommé DeerStealer, conçu pour infiltrer les ordinateurs et dérober des informations sensibles, y compris des mots de passe stockés dans le gestionnaire de mots de passe de Google. Ce phénomène est d'autant plus préoccupant que Google Authenticator est perçu comme un outil fiable pour renforcer la sécurité en ligne. Le rapport souligne l'importance de ne pas cliquer sur des publicités pour télécharger des logiciels et de privilégier les sites officiels. Bien que les faux sites soient actuellement inactifs, d'autres campagnes similaires pourraient émerger, mettant en garde les utilisateurs sur les risques liés à la sécurité en ligne.
Sources :
Les États-Unis libèrent des pirates informatiques russes de haut rang dans le cadre d'un échange de prisonniers diplomatiques
Dans un échange historique de prisonniers impliquant la Biélorussie, l'Allemagne, la Norvège, la Russie, la Slovénie et les États-Unis, deux ressortissants russes condamnés pour cybercriminalité, Roman Valerevich Seleznev et Vladislav Klyushin, ont été libérés et rapatriés en Russie. Cet échange a permis la libération de 16 personnes, dont quatre Américains, cinq Allemands et sept Russes, détenus en tant que prisonniers politiques. Le président américain Joe Biden a qualifié cet accord de "réussite diplomatique", soulignant que certains de ces individus avaient été injustement détenus pendant des années. Parmi les libérés figurent l'ancien marine américain Paul Whelan et le journaliste du Wall Street Journal Evan Gershkovich. Seleznev, connu sous plusieurs pseudonymes, avait été condamné à 27 ans de prison pour fraude par carte de paiement, tandis que Klyushin, propriétaire d'une entreprise de tests de sécurité, avait été condamné pour vol d'informations financières. Jake Sullivan, conseiller à la sécurité nationale, a noté que cet échange était sans précédent depuis la Guerre froide. Parallèlement, l'Agence nationale britannique de la criminalité a annoncé la fermeture d'une plateforme de fraude, "Russian Coms", qui permettait des appels anonymes, facilitant ainsi des escroqueries.
Sources :
Les cybercriminels abusent des tunnels Cloudflare pour échapper à la détection et propager des logiciels malveillants
Des entreprises de cybersécurité, telles qu'eSentire et Proofpoint, alertent sur une augmentation de l'abus du service gratuit TryCloudflare pour la livraison de logiciels malveillants. Cette activité consiste à créer un tunnel temporaire via TryCloudflare, permettant aux attaquants de relayer le trafic d'un serveur contrôlé vers une machine locale. Des chaînes d'attaque utilisant cette méthode ont été observées, diffusant divers types de malwares, dont AsyncRAT et GuLoader. Le vecteur d'accès initial est un e-mail de phishing contenant une archive ZIP, qui redirige vers un fichier de raccourci Windows hébergé sur un serveur WebDAV proxifié par TryCloudflare. Ce fichier exécute des scripts batch pour récupérer des charges utiles Python tout en affichant un document PDF trompeur. Les scripts contournent les outils de surveillance de sécurité en utilisant des syscalls directs et en déployant des techniques d'injection pour éviter la détection. Les campagnes, ciblant des organisations mondiales, sont motivées financièrement et utilisent des thèmes variés dans plusieurs langues. Le Spamhaus Project a appelé Cloudflare à revoir ses politiques anti-abus face à cette exploitation croissante de ses services par des cybercriminels.
Sources :
Twilio tue Authy pour ordinateur de bureau et déconnecte de force tous les utilisateurs
Twilio a officiellement mis fin à son application Authy pour Desktop, déconnectant de force tous les utilisateurs. Annoncée en janvier, la fin de vie des applications de bureau pour Windows, macOS et Linux était prévue pour le 19 mars 2024, mais l'application a continué à fonctionner jusqu'à début août 2024, affichant un avertissement pour inciter les utilisateurs à passer aux versions mobiles. Cependant, le 1er août, Twilio a déconnecté tous les appareils de bureau, empêchant les utilisateurs de se reconnecter avec leur numéro de téléphone. Ceux qui avaient utilisé Authy pour Desktop après les avertissements ont perdu l'accès à leurs comptes 2FA, sauf s'ils les avaient synchronisés avec un appareil mobile. Malheureusement, certains utilisateurs ont découvert que la synchronisation n'avait pas fonctionné correctement, rendant leurs comptes inaccessibles. En juin, une faille de sécurité avait exposé des millions de numéros de téléphone associés à des comptes Authy, mais Twilio a corrigé le problème avec une mise à jour de l'application mobile. Malgré cela, la version 3.0 d'Authy, lancée en juin, était censée être la dernière pour le bureau, rendant peu probable une nouvelle mise à jour.
Sources :
Le chef d'un réseau d'escroquerie au support technique écope de 7 ans de prison et d'une amende de 6 millions de dollars
Vinoth Ponmaran, le leader d'un réseau de fraude par support technique, a été condamné à sept ans de prison et à une amende de 6 millions de dollars après avoir escroqué plus de 6 500 victimes, principalement des personnes âgées aux États-Unis et au Canada. Entre mars 2015 et juillet 2018, Ponmaran a orchestré une opération frauduleuse où des fenêtres pop-up apparaissaient sur les ordinateurs des victimes, prétendant qu'une infection virale menaçait leurs systèmes. Ces alertes, utilisant le logo d'une entreprise technologique réputée, incitaient les victimes à appeler un numéro de support technique fictif. Les escrocs, en utilisant des outils d'accès à distance, effectuaient des "analyses" sur les ordinateurs des victimes avec des logiciels antivirus gratuits, leur faisant croire à la légitimité de leurs services. Les victimes étaient alors poussées à payer des centaines à des milliers de dollars pour des solutions inexistantes. Ponmaran, qui gérait un centre d'appels en Inde, a également recruté des complices aux États-Unis pour blanchir les fonds. En plus de sa peine de prison, il doit également restituer plus de 6,1 millions de dollars et sera sous surveillance pendant trois ans après sa libération.
Sources :
StackExchange utilisé à mauvais escient pour diffuser des packages PyPi malveillants en guise de réponses
Des acteurs malveillants ont exploité la plateforme StackExchange pour promouvoir des packages Python malveillants sur le dépôt PyPI, nommés ‘spl-types,’ ‘raydium,’ ‘sol-structs,’ ‘sol-instruct,’ et ‘raydium-sdk.’ Ces packages, téléchargés 2082 fois, contiennent des scripts capables de voler des données sensibles des navigateurs, des applications de messagerie (Telegram, Signal, Session) et des portefeuilles de cryptomonnaies (Exodus, Electrum, Monero). Le malware peut également exfiltrer des fichiers contenant des mots-clés spécifiques et prendre des captures d'écran, envoyant toutes les données à un canal Telegram. Selon Checkmarx, les packages ont été mis en ligne le 25 juin et ont reçu une mise à jour malveillante le 3 juillet. Les attaquants ont ciblé des utilisateurs impliqués dans les projets blockchain Raydium et Solana, profitant de l'absence d'une bibliothèque Python officielle pour Raydium. Ils ont créé des comptes sur StackExchange pour poster des réponses de qualité, incitant les victimes à télécharger les packages dangereux. Deux exemples de victimes montrent l'impact de cette campagne, notamment le vol de fonds d'un portefeuille Solana et la capture d'une clé privée. Cette méthode a déjà été observée dans des cas similaires, soulignant l'importance de vérifier la confiance des auteurs de scripts.
Sources :
Des pirates informatiques abusent du service gratuit TryCloudflare pour diffuser des logiciels malveillants d'accès à distance
Des chercheurs mettent en garde contre l'utilisation croissante par des cybercriminels du service TryCloudflare pour distribuer des chevaux de Troie d'accès à distance (RAT). Cette activité malveillante, détectée pour la première fois en février, exploite le service Tunnel de Cloudflare, permettant de créer des tunnels temporaires pour accéder à des serveurs locaux sans exposer d'adresses IP. Les attaquants ciblent principalement des secteurs tels que le droit, la finance, la fabrication et la technologie, en utilisant des fichiers .LNK malveillants hébergés sur le domaine TryCloudflare. Ils attirent les victimes avec des courriels à thème fiscal contenant des liens ou des pièces jointes menant à des charges utiles qui, une fois lancées, exécutent des scripts BAT ou CMD pour déployer PowerShell. La campagne récente, observée par Proofpoint, a distribué plus de 1 500 messages malveillants depuis le 11 juillet. Les fichiers LNK hébergés sur Cloudflare semblent légitimes, rendant leur détection difficile. Cloudflare a déclaré qu'il désactive rapidement les tunnels malveillants découverts et encourage les signalements de toute activité suspecte. Malgré les efforts de sécurité, les cybercriminels continuent d'exploiter ces services gratuits pour mener des opérations à grande échelle.
Sources :
Le Royaume-Uni démantèle « Russian Coms », une importante plateforme de falsification d'identité d'appelant
Le 1er août 2024, l'Agence nationale de lutte contre le crime (NCA) du Royaume-Uni a annoncé la fermeture de Russian Coms, une plateforme majeure de spoofing d'identité utilisée par des criminels pour passer plus de 1,8 million d'appels frauduleux. Fondée en 2021, cette plateforme a causé des pertes financières estimées à des dizaines de millions de livres pour environ 170 000 victimes dans plus de 107 pays, dont le Royaume-Uni, les États-Unis et la France. Les escrocs ont utilisé Russian Coms pour masquer leur identité en se faisant passer pour des institutions financières, ce qui leur a permis de gagner la confiance des victimes avant de leur voler de l'argent et des informations personnelles. Les criminels ont payé entre 1 200 et 1 400 £ en cryptomonnaie pour accéder aux services de la plateforme. Après plusieurs mois d'enquête, la NCA a arrêté trois hommes à Londres, dont deux seraient les développeurs de la plateforme. Cette opération fait partie de l'« Opération Henhouse », qui a conduit à 290 arrestations au Royaume-Uni. La NCA a averti que les utilisateurs de Russian Coms seraient identifiés grâce aux données stockées par la plateforme.
Sources :
Les attaques DNS de Sitting Ducks permettent aux pirates de détourner plus de 35 000 domaines
Des cybercriminels ont détourné plus de 35 000 domaines enregistrés grâce à des attaques appelées "Sitting Ducks", qui permettent de revendiquer un domaine sans accès au compte du propriétaire chez le fournisseur DNS ou le registraire. Ces attaques exploitent des failles de configuration au niveau des registraires et une vérification insuffisante de la propriété chez les fournisseurs DNS. Des chercheurs d'Infoblox et d'Eclypsium ont identifié plus d'un million de domaines susceptibles d'être détournés chaque jour. Des groupes cybercriminels russes utilisent cette méthode depuis plusieurs années pour des campagnes de spam, des escroqueries, la livraison de logiciels malveillants et l'exfiltration de données. Les conditions nécessaires à ces attaques incluent l'utilisation de services DNS autoritaires d'un fournisseur différent du registraire et des serveurs de noms autoritaires incapables de résoudre les requêtes. Les propriétaires de domaines sont conseillés de vérifier régulièrement leurs configurations DNS et de corriger les délégations inappropriées. Les registraires doivent effectuer des vérifications proactives et les organismes de réglementation doivent développer des stratégies à long terme pour atténuer ces vulnérabilités DNS.
Sources :
La Cencora confirme que les informations médicales des patients ont été volées lors de l'attaque de février
Cencora, un géant pharmaceutique anciennement connu sous le nom d'AmerisourceBergen, a confirmé que des informations de santé protégées et des données personnelles identifiables (PII) de patients ont été volées lors d'une cyberattaque en février. Dans un dépôt FORM 8-K auprès de la SEC, la société a révélé que des données supplémentaires avaient été exfiltrées, incluant des informations telles que le nom, l'adresse, la date de naissance, ainsi que des diagnostics de santé et des prescriptions. Cencora, classée 10e sur le Fortune 500, a des revenus dépassant 250 milliards de dollars et fournit des services de distribution de médicaments et des solutions technologiques. Bien que certaines entreprises pharmaceutiques partenaires, comme Novartis et Bayer, aient déjà signalé des violations de données, Cencora a confirmé pour la première fois que des informations de santé avaient été compromises. La société n'a pas précisé si elle avait été victime d'une attaque par ransomware ou si elle avait payé une rançon, mais elle est la seule entreprise du Fortune 50 à avoir subi une cyberattaque non revendiquée. Les détails sur l'incident restent limités, et Cencora n'a pas répondu aux demandes de clarification concernant un éventuel paiement de rançon.
Sources :
Le FBI met en garde contre les escrocs se faisant passer pour des employés d'une bourse de crypto-monnaies
Le FBI a émis un avertissement concernant des escrocs se faisant passer pour des employés d'échanges de cryptomonnaies afin de voler des fonds à des victimes non méfiantes. Cette alerte fait suite à une augmentation des signalements de fraudes où des escrocs contactent les victimes par téléphone ou message, prétendant représenter des plateformes de cryptomonnaies légitimes. Ils créent un sentiment d'urgence en affirmant qu'un piratage est en cours ou qu'il y a des problèmes de sécurité avec les comptes des victimes. Une fois le contact établi, ils utilisent diverses tactiques pour inciter les victimes à révéler des informations sensibles, comme leurs identifiants de connexion. Cela leur permet d'accéder aux comptes de cryptomonnaies et de transférer les actifs vers des portefeuilles qu'ils contrôlent, laissant les victimes sans recours pour récupérer leurs fonds. Le FBI conseille aux investisseurs en cryptomonnaies de faire preuve de prudence et de vérifier l'identité de toute personne prétendant être associée à un échange, en contactant directement l'échange par des canaux officiels. Il est également recommandé de ne jamais fournir d'informations de connexion lors d'appels ou messages non sollicités et d'éviter de cliquer sur des liens suspects.
