La nouvelle version du logiciel espion LightSpy cible les iPhones avec des tactiques de surveillance renforcées - Actus du 31/10/2024
Découvrez comment un Ukrainien impliqué dans Raccoon Infostealer a plaidé coupable, la faille qBittorrent de 14 ans enfin corrigée, et les nouvelles menaces de LightSpy sur iPhone. Restez informé sur les dernières évolutions en cybersécurité!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un ressortissant ukrainien plaide coupable pour son rôle dans l’exploitation de Raccoon Infostealer
Mark Sokolovsky, un ressortissant ukrainien, a plaidé coupable devant un tribunal américain pour son implication dans l'exploitation du malware Raccoon Infostealer, un logiciel malveillant conçu pour voler des données sensibles à l'échelle mondiale. Raccoon, découvert en 2019, est proposé en tant que service de gestion de malware (MaaS) pour 200 $ par mois, permettant aux cybercriminels d'accéder à un panneau de contrôle automatisé et à un support client en russe et en anglais. Ce malware cible des applications populaires, notamment les navigateurs comme Google Chrome et Mozilla Firefox, ainsi que des portefeuilles de cryptomonnaies. En 2022, Sokolovsky a été arrêté par les autorités néerlandaises, ce qui a conduit à un démantèlement international de l'infrastructure de Raccoon par le FBI et d'autres forces de l'ordre. Cette opération a permis de récupérer plus de 50 millions d'identifiants uniques, dont 4 millions d'adresses électroniques. Extradé aux États-Unis en février 2024, Sokolovsky a été inculpé pour plusieurs crimes, acceptant de payer une restitution de 910 844,61 $ et de confisquer 23 975 $ supplémentaires. Les enquêtes se poursuivent pour identifier d'autres victimes.
Sources :
qBittorrent corrige une faille exposant les utilisateurs aux attaques MitM depuis 14 ans
qBittorrent a corrigé une vulnérabilité de longue date, introduite en 2010, qui permettait des attaques de type "man-in-the-middle" (MitM) en raison d'une validation insuffisante des certificats SSL/TLS dans son composant DownloadManager. Cette faille, qui a persisté pendant plus de 14 ans, a été résolue dans la version 5.0.1, publiée le 28 octobre 2024. Le problème principal résidait dans le fait que qBittorrent acceptait tous les certificats, y compris ceux falsifiés, permettant ainsi aux attaquants de modifier le trafic réseau. Le chercheur en sécurité Sharp Security a souligné que l'équipe de qBittorrent n'a pas suffisamment informé les utilisateurs de cette correction et n'a pas attribué de CVE à la vulnérabilité. Quatre risques majeurs ont été identifiés : l'installation d'un Python malveillant via une URL non sécurisée, la substitution de liens de mise à jour, l'injection de contenus malveillants dans les flux RSS, et le téléchargement d'une base de données GeoIP potentiellement compromise. Les utilisateurs sont donc fortement encouragés à mettre à jour vers la version 5.0.1 pour se protéger contre ces menaces.
Sources :
La nouvelle version du logiciel espion LightSpy cible les iPhones avec des tactiques de surveillance renforcées
Des chercheurs en cybersécurité ont découvert une version améliorée d'un logiciel espion iOS d'Apple, nommé LightSpy, qui non seulement élargit ses fonctionnalités, mais intègre également des capacités destructrices empêchant le démarrage de l'appareil compromis. LightSpy, initialement documenté en 2020 et ciblant des utilisateurs à Hong Kong, utilise une architecture modulaire pour capturer des informations sensibles. Les chaînes d'attaque exploitent des vulnérabilités connues d'iOS et macOS, déclenchant une exploitation de WebKit qui dépose un fichier .PNG, en réalité un binaire Mach-O, récupérant des charges utiles depuis un serveur distant. La dernière version, 7.9.0, a vu le nombre de plugins passer de 12 à 28, permettant la collecte de données variées, telles que les informations Wi-Fi, les captures d'écran, et les historiques de navigation. Certains plugins possèdent des fonctionnalités destructrices, pouvant supprimer des fichiers multimédias et geler l'appareil. Bien que le vecteur de distribution reste flou, des attaques de type watering hole sont suspectées, avec des opérateurs probablement basés en Chine. ThreatFabric souligne l'importance de maintenir les systèmes à jour face à cette menace évolutive.
Sources :
Microsoft corrige un bug de Windows 10 qui empêchait les applications de fonctionner
Microsoft a résolu un problème connu sur Windows 10 22H2 qui empêchait certaines applications de démarrer pour les utilisateurs non administrateurs après l'installation de la mise à jour cumulative de prévisualisation de septembre 2024 (KB5043131). Ce problème était dû au fait que les processus enfants des applications affectées s'exécutaient avec des niveaux d'intégrité faibles au lieu de moyens. Les applications concernées, telles que Quick Assist, Microsoft Teams et Windows Narrator, ne pouvaient pas se lancer si l'utilisateur n'avait pas de droits administratifs. Ce problème touchait les applications configurées avec l'attribut uiAccess=true dans leur fichier manifeste, ce qui leur permet de demander des privilèges plus élevés. Microsoft a utilisé la méthode Known Issue Rollback (KIR) pour corriger ce problème, qui sera automatiquement déployé sur tous les appareils domestiques et non gérés dans les 24 heures. Pour les appareils gérés par des entreprises, les administrateurs doivent installer une politique de groupe KIR. Microsoft fournit des instructions supplémentaires sur son site de support pour aider à la configuration de ces politiques. Ce correctif fait suite à d'autres résolutions de problèmes similaires sur Windows Server 2019 et Windows 11.
Sources :
LottieFiles émet un avertissement concernant le package npm « lottie-player » compromis
LottieFiles a annoncé que son package npm "lottie-player" a été compromis dans le cadre d'une attaque de chaîne d'approvisionnement, ce qui a conduit à la publication d'une version mise à jour de la bibliothèque. Le 30 octobre, la société a été informée que des versions non autorisées contenant du code malveillant avaient été publiées. Bien que cela n'affecte pas leur service SaaS ou le lecteur dotlottie, de nombreux utilisateurs utilisant la bibliothèque via des CDN tiers sans version épinglée ont été automatiquement servis avec la version compromise. Les versions malveillantes incitaient les utilisateurs à connecter leurs portefeuilles de cryptomonnaie, probablement dans le but de siphonner des fonds. Les utilisateurs des versions 2.0.5, 2.0.6 et 2.0.7 sont invités à mettre à jour vers la version 2.0.8. Ces versions compromises ont été publiées en une heure à l'aide d'un jeton d'accès compromis d'un développeur. En plus de publier un correctif, LottieFiles a retiré les trois versions malveillantes du dépôt npm et a activé son plan de réponse aux incidents, en faisant appel à une équipe externe pour aider à l'enquête.
Sources :
Plus d'un millier de boutiques en ligne piratées pour afficher de fausses listes de produits
Une campagne de phishing nommée 'Phish n' Ships' a infecté plus de mille boutiques en ligne depuis 2019, promouvant de fausses annonces de produits. Les utilisateurs, en cliquant sur ces annonces, sont redirigés vers un réseau de faux sites qui volent leurs informations personnelles et financières sans expédier de produits. Selon l'équipe Satori Threat Intelligence de HUMAN, cette opération a touché des centaines de milliers de consommateurs, entraînant des pertes estimées à des dizaines de millions de dollars. Les attaques exploitent des vulnérabilités connues ou des identifiants compromis pour injecter des scripts malveillants sur des sites légitimes, créant des listings de produits optimisés pour le référencement. Les victimes, en tentant d'acheter, passent par un processus de paiement frauduleux qui ne vérifie pas les données, permettant aux escrocs de récupérer les informations de carte de crédit. Bien que HUMAN ait réussi à perturber cette campagne en supprimant les faux sites et en informant les processeurs de paiement, les acteurs malveillants pourraient s'adapter et relancer leurs activités. Les consommateurs sont conseillés de rester vigilants face aux redirections suspectes et de vérifier l'URL des sites avant d'effectuer des achats.
Sources :
Cynet affiche un retour sur investissement de 426 % selon l'étude Forrester Total Economic Impact
Cynet a réalisé un retour sur investissement (ROI) de 426 % selon une étude de Forrester Consulting, intitulée "The Total Economic Impact™ of Cynet All-in-One Security". Cette étude, menée en octobre 2024, a révélé que la plateforme de cybersécurité tout-en-un de Cynet a permis aux clients d'économiser 2,73 millions de dollars, remboursant ainsi l'investissement en moins de six mois. Quatre points clés illustrent cette rentabilité :
- Économies sur les solutions de cybersécurité : Cynet a remplacé plusieurs outils autonomes, permettant une économie de 280 000 dollars en coûts de licence et de maintenance.
- Prévention des violations de données : Grâce à ses capacités intégrées, Cynet a permis d'éviter 933 000 dollars de pertes dues à des violations de données.
- Réduction des efforts d'enquête : L'automatisation des processus a généré des économies de 349 000 dollars en réduisant les efforts d'enquête et de reporting.
- Orchestration efficace : Cynet a économisé 1,8 million de dollars en intégrant des capacités d'automatisation et d'orchestration, évitant l'achat de solutions tierces.
L'étude souligne également des avantages non quantifiables, tels qu'un meilleur équilibre travail-vie personnelle pour les analystes.
Sources :
LottieFiles piraté dans une attaque de la chaîne d'approvisionnement pour voler la crypto des utilisateurs
LottieFiles, une plateforme populaire pour créer des animations vectorielles, a été victime d'une attaque de chaîne d'approvisionnement qui a compromis son projet Lotti-Player. Cette attaque a permis d'injecter un script malveillant, un "crypto drainer", dans les sites utilisant les versions 2.0.5 à 2.0.7 du Lottie Web Player, entraînant le vol de cryptomonnaies des utilisateurs. Selon Scam Sniffer, un utilisateur aurait perdu 723 000 dollars en Bitcoin à cause de cette compromission. Les scripts malveillants incitaient les visiteurs à connecter leurs portefeuilles de cryptomonnaie, permettant ainsi aux attaquants de siphonner tous les actifs. LottieFiles a rapidement publié une version sécurisée (2.0.8) et a conseillé aux utilisateurs de mettre à jour immédiatement. Le problème a été causé par le vol d'un jeton d'authentification d'un développeur, utilisé pour télécharger les versions compromises. Bien que la bibliothèque JavaScript ait été affectée, LottieFiles a assuré que ses autres bibliothèques et son SaaS n'avaient pas été touchés. L'entreprise mène une enquête interne avec des experts externes pour déterminer l'ampleur de l'incident et le nombre de victimes.
Sources :
Comment empêcher les prélèvements SEPA inconnus ou frauduleux
L'article aborde la problématique des prélèvements SEPA non autorisés et les mesures à prendre pour les contester. Bien que les données puissent sembler inoffensives, il est crucial de rester vigilant face aux fraudes. Les banques offrent des moyens variés pour contester ces prélèvements, permettant aux clients de signaler des transactions non autorisées dans un délai de 13 mois. Il est recommandé d'utiliser des applications de gestion bancaire, comme Bankin’, pour vérifier l'authenticité des paiements. Les fraudeurs peuvent utiliser des noms similaires à des enseignes connues pour passer inaperçus. Pour éviter les prélèvements indésirables, il est conseillé de créer une liste de créanciers autorisés et de bloquer ceux identifiés comme frauduleux. En cas de prélèvement suspect, il est impératif d'agir rapidement, notamment en désactivant les virements via l'espace client de la banque ou en contactant le service client. Enfin, l'article souligne l'importance de soutenir des médias comme Numerama pour garantir un accès à une information de qualité.
Sources :
Données de FREE vendues pour 175 000 $ ?
Un hacker présumé, connu sous le nom de Drussellx, a affirmé avoir vendu les données de 19 millions de clients de l'opérateur Free pour 175 000 $. Cette déclaration, relayée sans vérification par de nombreux médias, soulève des doutes. En effet, quelques jours auparavant, le même individu évoquait des négociations à 70 000 $, et les données étaient toujours en vente sur le darkweb. Les obstacles pour un acheteur potentiel incluent un renforcement de la sécurité chez Free, des poursuites judiciaires en cours, et le risque de revente multiple des mêmes données. De plus, il semble peu probable qu'un acheteur accepte que le vendeur parle publiquement de la transaction. Les transactions en cryptomonnaie laissent des traces, rendant difficile l'anonymat. Des sources indiquent que Drussellx pourrait être lié à un groupe ayant déjà ciblé d'autres entreprises comme SFR et Boulanger. Free, quant à lui, a une histoire de réactivité face aux cyberattaques, ayant précédemment obtenu des condamnations pour des cas similaires. En somme, cette affaire semble plus complexe qu'elle n'y paraît, avec des éléments suggérant une possible arnaque au sein de la communauté des hackers.
Sources :
Rapport 2024 sur les menaces pesant sur l'identité des entreprises : révélation des menaces cachées pesant sur les identités des entreprises
Dans le contexte actuel de travail centré sur le navigateur, l'identité d'entreprise constitue la première ligne de défense contre les violations de données. Le rapport "Enterprise Identity Threat Report 2024", basé sur des données exclusives de la plateforme LayerX, révèle que 2 % des utilisateurs d'une organisation sont responsables de la majorité des risques liés à l'identité, souvent en raison de mots de passe faibles ou compromis. De plus, 42,5 % des connexions aux applications SaaS se font via des comptes personnels, échappant ainsi à la surveillance des équipes de sécurité. Ces "identités fantômes" représentent un risque majeur, car elles permettent aux utilisateurs de contourner les protections d'identité de l'entreprise. Le rapport souligne également que les attaquants exploitent les faiblesses des outils de sécurité traditionnels, avec 49,6 % des pages web malveillantes réussissant à contourner les protections en utilisant des services d'hébergement légitimes. De plus, 70 % de ces pages utilisent des kits de phishing peu similaires aux modèles connus, rendant leur détection difficile. En conséquence, les méthodes traditionnelles de protection par réseau et de gouvernance des mots de passe ne suffisent plus pour sécuriser les environnements d'accès à distance basés sur le navigateur.
Sources :
La vulnérabilité du plugin LiteSpeed Cache présente un risque important pour les sites Web WordPress
Une vulnérabilité de sécurité critique a été révélée dans le plugin LiteSpeed Cache pour WordPress, permettant à un attaquant non authentifié d'élever ses privilèges et d'effectuer des actions malveillantes. Suivie sous le nom CVE-2024-50550 (score CVSS : 8.1), cette faille a été corrigée dans la version 6.5.2 du plugin, qui est installé sur plus de six millions de sites. Selon le chercheur en sécurité Rafie Muhammad, la vulnérabilité provient d'une fonction appelée isrolesimulation, similaire à une faille antérieure documentée en août 2024 (CVE-2024-28000, score CVSS : 9.8). Elle résulte d'un contrôle de hachage de sécurité faible, pouvant être contourné par un acteur malveillant, permettant ainsi d'abuser de la fonctionnalité de crawler pour simuler un utilisateur connecté, y compris un administrateur. La mise à jour de LiteSpeed supprime le processus de simulation de rôle et améliore la génération de hachage. Cette vulnérabilité souligne l'importance de la robustesse des valeurs utilisées comme hachages de sécurité. De plus, Patchstack met en garde contre l'abandon de certains développeurs du dépôt WordPress.org, ce qui pourrait exposer les utilisateurs à des risques de sécurité si les mises à jour ne sont pas installées manuellement.
Sources :
Cyberattaque Free : contester un prélèvement frauduleux sur son compte en banque
Fin octobre 2024, Free a subi une cyberattaque majeure, entraînant une fuite de données personnelles, y compris des coordonnées bancaires comme l'IBAN. Cette situation expose les victimes à des risques de phishing et de prélèvements frauduleux. Pour se protéger, il est crucial de surveiller régulièrement ses comptes bancaires afin de détecter des mouvements suspects. Les utilisateurs doivent vérifier leurs prélèvements et bénéficiaires autorisés via l'espace dédié de leur banque, et contacter leur conseiller pour toute question sur des opérations douteuses. En cas de prélèvement indus, il est possible de faire opposition dans un délai de 13 mois, avec obligation de remboursement par la banque. Une autre mesure préventive consiste à établir une liste blanche des prélèvements SEPA, permettant de restreindre les créanciers autorisés. Enfin, les victimes peuvent porter plainte pour signaler la fraude aux autorités. Ces actions visent à protéger les comptes bancaires et à récupérer les sommes perdues suite à cette cyberattaque. La vigilance et la réactivité sont essentielles pour minimiser les conséquences de cette fuite de données.
Sources :
48 % des spams Halloween sont des escroqueries par Bitdefender
Bitdefender a publié un rapport sur les campagnes de spam liées à Halloween, révélant que 48 % des messages détectés sont frauduleux. Les premiers spams ont été identifiés dès le 20 septembre, avec une augmentation notable à partir du 7 octobre. Bien que seulement 1 % de ces spams atteignent les boîtes de réception en France, la menace est significative, surtout avec des origines majoritaires en Malaisie (36 %), aux États-Unis (33 %) et en Allemagne (13 %). Les spammeurs exploitent les comportements d'achat des consommateurs, proposant de fausses offres sur des décorations, des bonbons et des costumes. Environ 27 % des courriels frauduleux promettent des cadeaux ou des récompenses en échange de la participation à des enquêtes, incitant les destinataires à payer des frais d'expédition. Les escroqueries incluent des gadgets variés, allant des sonnettes d'appel aux ordinateurs portables, souvent sous prétexte de prolonger des abonnements à des services de streaming. Bitdefender met en garde les utilisateurs sur la nécessité d'être vigilants face à ces arnaques, surtout en période de festivités où les dépenses de consommation augmentent.
Sources :
LottieFiles victime d'une attaque de la chaîne d'approvisionnement npm ciblant la cryptographie des utilisateurs
LottieFiles, une plateforme populaire pour créer des animations vectorielles, a été victime d'une attaque de chaîne d'approvisionnement qui a compromis son projet Lotti-Player. Cette attaque a permis d'injecter un script malveillant, un "crypto drainer", dans les sites utilisant les versions 2.0.5, 2.0.6 et 2.0.7 du Lottie Web Player, entraînant le vol de cryptomonnaies des utilisateurs. Selon Scam Sniffer, un utilisateur aurait perdu 723 000 dollars en Bitcoin à cause de cette compromission. Le script malveillant incite les visiteurs à connecter leur portefeuille de cryptomonnaies, puis tente de siphonner tous les actifs et NFTs vers les attaquants. LottieFiles a rapidement publié une version sécurisée (2.0.8) et a conseillé aux utilisateurs de mettre à jour. Le CTO de LottieFiles, Nattu Adnan, a expliqué que de nombreux utilisateurs utilisant des CDNs tiers sans version épinglée ont été automatiquement servis la version compromise. LottieFiles a confirmé que ses autres bibliothèques et services n'avaient pas été affectés et mène une enquête approfondie avec des experts externes. Les crypto drainers représentent un problème croissant dans la communauté des cryptomonnaies, avec des attaques similaires ayant déjà causé des pertes importantes.
Sources :
L'Interbank confirme une violation de données suite à une extorsion ratée et une fuite de données
Interbank, l'une des principales institutions financières du Pérou, a confirmé une violation de données après qu'un acteur malveillant a piraté ses systèmes et divulgué des données volées en ligne. Anciennement connu sous le nom de Banco Internacional del Perú, Interbank dessert plus de 2 millions de clients. La banque a déclaré avoir identifié que certaines données de clients avaient été exposées par un tiers sans autorisation et a mis en place des mesures de sécurité supplémentaires pour protéger les opérations et les informations de ses clients. Bien que des clients aient signalé des interruptions sur l'application mobile et les plateformes en ligne, Interbank assure que la plupart de ses opérations sont désormais rétablies et que les dépôts des clients sont sécurisés. Le hacker, utilisant le pseudonyme "kzoldyck", prétend avoir volé des informations sensibles de plus de 3 millions de clients, y compris des noms, adresses, numéros de carte de crédit et identifiants de compte. Les négociations d'extorsion avec la banque ont échoué, car celle-ci a refusé de payer. Interbank n'a pas encore divulgué le nombre exact de clients touchés par cette violation.
Sources :
Les « paramètres de sécurité par défaut » de Microsoft Entra rendent la configuration MFA obligatoire
Microsoft a annoncé que l'enregistrement à l'authentification multifactorielle (MFA) deviendra obligatoire pour tous les utilisateurs des locataires Entra où les "security defaults" sont activés. Cette mesure, qui s'inscrit dans l'initiative Secure Future lancée en novembre 2023, vise à renforcer la cybersécurité de ses produits. Selon Nitika Gupta de Microsoft, l'option de reporter l'enregistrement MFA pendant 14 jours sera supprimée, ce qui signifie que tous les utilisateurs devront s'inscrire lors de leur première connexion après l'activation des "security defaults". Cette initiative vise à réduire le risque de compromission des comptes, car la MFA peut bloquer plus de 99,2 % des attaques basées sur l'identité. Les nouveaux locataires seront concernés à partir du 2 décembre 2024, tandis que les locataires existants commenceront à être affectés en janvier 2025. Les "security defaults" activent automatiquement diverses fonctionnalités de sécurité pour protéger les organisations contre des attaques courantes. Bien qu'efficaces, ces paramètres ne permettent pas la personnalisation offerte par les politiques d'accès conditionnel, nécessaires pour des organisations plus complexes. Microsoft a également renforcé l'exigence de MFA pour les administrateurs et les développeurs sur ses plateformes.
Sources :
QNAP corrige le deuxième exploit zero-day de Pwn2Own pour obtenir le root
QNAP a publié des correctifs de sécurité pour une seconde vulnérabilité zero-day exploitée lors du concours de hacking Pwn2Own. Cette vulnérabilité critique, identifiée comme CVE-2024-50387, concerne une injection SQL dans le service SMB de QNAP et a été corrigée dans les versions 4.15.002 et ultérieures. Cette faille a permis à un chercheur de DEVCORE de prendre le contrôle d'un NAS QNAP TS-464. Parallèlement, une autre vulnérabilité a été corrigée dans la solution HBS 3 Hybrid Backup Sync, exploitée par l'équipe Viettel Cyber Security pour exécuter des commandes arbitraires. L'équipe Viettel a remporté le concours après avoir démontré plus de 70 vulnérabilités zero-day, avec plus d'un million de dollars en prix. Contrairement à d'autres fournisseurs qui prennent généralement plus de temps pour publier des correctifs après Pwn2Own, QNAP a agi rapidement, ce qui est crucial étant donné que ses appareils sont des cibles prisées par les cybercriminels. Les utilisateurs sont fortement encouragés à mettre à jour leurs dispositifs pour éviter des attaques, comme celles de ransomwares précédemment signalées, qui exploitent des vulnérabilités connues.
Sources :
Fuite de données Free : voici un exemple concret d’arnaque bancaire avec votre IBAN
Le 28 octobre, un fournisseur d’accès à Internet français a averti ses abonnés d'une fuite de données sensibles, incluant noms, prénoms, dates et lieux de naissance, numéros de téléphone, identifiants abonnés et IBAN, dérobées par un cybercriminel. Ces informations peuvent être exploitées pour des campagnes de phishing, notamment en usurpant des entreprises comme des banques ou Netflix. L'IBAN est particulièrement risqué, car il permet à une entreprise de prélever de l'argent sur un compte, via des plateformes comme Stripe. Bien que des conditions existent, comme la nécessité d'un numéro Siret, ces barrières peuvent être contournées facilement. Un individu malveillant peut créer un lien de paiement sur Stripe, intégrer un IBAN et initier un prélèvement, qui ne sera effectif qu'après acceptation du mandat par le débiteur. Ce mode opératoire a déjà été observé dans des cas précédents, comme celui de la SFAM. Les abonnés doivent donc rester vigilants face aux notifications de prélèvements, car c'est souvent à ces moments-là qu'ils sont le plus distraits. Les victimes de cette fuite ne pourront pas vérifier leur statut sur des sites comme haveibeenpwned, mais devraient être informées par leur fournisseur.
