Le charmant chaton iranien utilise BellaCPP : la nouvelle menace en C++ - Actus du 25/12/2024
Découvrez cinq astuces cachées du Gestionnaire des tâches sous Windows 11, comment le chaton iranien utilise BellaCPP pour propager le malware BellaCiao, et l'émergence d'un nouveau botnet ciblant les NVR et routeurs TP-Link. Protégez-vous avec nos conseils d'experts !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Cinq fonctionnalités moins connues du Gestionnaire des tâches dans Windows 11
L'article présente cinq fonctionnalités moins connues du Gestionnaire des tâches dans Windows 11, qui améliore considérablement l'expérience utilisateur. Tout d'abord, il est possible de générer un "kernel dump" ou un "full crash dump", utile pour analyser les causes des plantages du système. Ensuite, la fonction de pause permet de figer l'affichage des processus, facilitant ainsi la sélection de ceux à terminer. Une autre fonctionnalité, le "Mode d'efficacité", permet de réduire l'utilisation du CPU par certaines applications, ce qui peut libérer des ressources pour d'autres tâches. Le Gestionnaire des tâches offre également une section dédiée aux applications de démarrage, permettant de désactiver celles qui s'exécutent automatiquement au démarrage de Windows, ce qui contribue à réduire le temps de démarrage et à libérer des ressources. Enfin, l'onglet "Historique des applications" fournit des données sur l'utilisation du CPU et du réseau par chaque application depuis le dernier arrêt complet, offrant une vue d'ensemble précieuse pour gérer les performances du système. Ces fonctionnalités, bien que souvent négligées, peuvent grandement améliorer l'efficacité et la gestion des ressources sur un PC sous Windows 11.
Sources :
Le charmant chaton iranien déploie BellaCPP : une nouvelle variante C++ du logiciel malveillant BellaCiao
Le groupe de hackers iranien connu sous le nom de Charming Kitten a été observé en train de déployer une variante en C++ d'un malware appelé BellaCiao, désignée par Kaspersky sous le nom de BellaCPP. Cette découverte a été faite lors d'une enquête sur une machine compromise en Asie, également infectée par le malware BellaCiao. Ce dernier, documenté pour la première fois par Bitdefender en avril 2023, est un dropper personnalisé capable de livrer des charges utiles supplémentaires. Charming Kitten, lié aux Gardiens de la Révolution islamique d'Iran, est connu pour ses attaques ciblant les États-Unis, le Moyen-Orient et l'Inde, utilisant des campagnes d'ingénierie sociale pour infiltrer ses cibles. Les attaques impliquant BellaCiao exploitent des vulnérabilités connues dans des applications accessibles au public, comme Microsoft Exchange Server. La variante C++ de BellaCiao, un fichier DLL nommé "adhapl.dll", conserve des fonctionnalités similaires à son prédécesseur, notamment la création d'un tunnel SSH, mais se distingue par l'absence de la fonctionnalité de web shell présente dans BellaCiao. Selon Kaspersky, BellaCPP représente une version C++ de BellaCiao sans la capacité de télécharger ou d'exécuter des fichiers.
Sources :
Un nouveau botnet exploite les vulnérabilités des NVR et des routeurs TP-Link
Un nouveau botnet basé sur Mirai exploite une vulnérabilité d'exécution de code à distance non corrigée dans les enregistreurs vidéo numériques DigiEver DS-2105 Pro. La campagne, débutée en octobre, cible également des routeurs TP-Link avec un firmware obsolète. La vulnérabilité, documentée par le chercheur Ta-Lun Yen, permet aux attaquants d'injecter des commandes via des requêtes HTTP mal formées. Akamai a observé que le botnet a commencé à exploiter cette faille en novembre, bien qu'il ait été actif depuis septembre. En plus de la vulnérabilité de DigiEver, cette variante de Mirai cible également des failles sur des dispositifs TP-Link et des routeurs Teltonika. Les attaques permettent aux hackers de télécharger un binaire malveillant et d'intégrer les appareils dans le botnet, qui peut ensuite mener des attaques par déni de service distribué (DDoS) ou se propager à d'autres dispositifs. Ce botnet se distingue par l'utilisation de méthodes de chiffrement avancées, suggérant une évolution des tactiques des opérateurs de botnets Mirai. Des indicateurs de compromission et des règles Yara pour détecter la menace sont disponibles dans le rapport d'Akamai.
Sources :
La boutique officielle de l'Agence spatiale européenne piratée pour voler des cartes de paiement
Le site officiel de la boutique de l'Agence spatiale européenne (ESA) a été piraté, permettant le vol de données de cartes de paiement. Un script JavaScript malveillant a été chargé sur le site, générant une fausse page de paiement Stripe lors du processus de commande. Ce piratage a été détecté par la société de sécurité e-commerce Sansec, qui a averti que le site semblait intégré aux systèmes de l'ESA, posant un risque pour les employés de l'agence. Le script malveillant a utilisé un domaine similaire à celui de la boutique légitime, mais avec un TLD différent, ce qui a facilité la tromperie. Bien que la page de paiement frauduleuse ait été retirée, le script malveillant était toujours visible dans le code source du site. L'ESA a précisé que la boutique n'est pas hébergée sur son infrastructure et qu'elle ne gère pas les données des clients. Cette situation souligne la vulnérabilité croissante des sites, même ceux d'organisations prestigieuses comme l'ESA, face aux cyberattaques. Les experts recommandent des mesures de sécurité renforcées pour prévenir de telles intrusions, notamment l'utilisation de politiques de sécurité par défaut.
