Le malware Android « FakeCall » détourne vos appels bancaires - Actus du 30/10/2024
Découvrez comment protéger vos communications avec nos conseils pour sécuriser vos emails, et restez informé des dernières menaces comme le malware Android « FakeCall » et le vol de 15 000 identifiants cloud via des fichiers Git exposés. Sécurité numérique essentielle!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Protégez vos communications : comment garantir l’authenticité de vos emails ?
Pour garantir l'authenticité de vos emails et protéger vos communications, il est essentiel d'utiliser les protocoles SPF, DKIM et DMARC. Le SPF (Sender Policy Framework) permet aux fournisseurs de messagerie de vérifier que l'email provient bien de votre domaine en s'assurant que le serveur d'envoi est autorisé. DMARC renforce cette protection en définissant des règles pour traiter les emails qui échouent aux vérifications SPF et DKIM, vous permettant ainsi de garder le contrôle sur vos messages et de prévenir l'usurpation d'identité.
Pour configurer SPF, il faut créer un enregistrement dans votre DNS qui indique quels serveurs peuvent envoyer des emails en votre nom. Pour DMARC, un enregistrement similaire doit être ajouté pour spécifier comment gérer les emails non conformes. Le protocole DKIM (DomainKeys Identified Mail) ajoute une signature numérique à chaque email, garantissant qu'il n'a pas été altéré en cours de route. En générant une clé DKIM et en l'ajoutant à votre DNS, vous assurez l'intégrité de vos messages. En combinant ces trois protocoles, vous renforcez la sécurité de vos emails et réduisez les risques d'usurpation et d'altération.
Sources :
Le malware Android « FakeCall » redirige désormais les appels bancaires vers les attaquants
Une nouvelle version du malware Android "FakeCall" détourne les appels sortants des utilisateurs vers leur banque, les redirigeant vers le numéro de l'attaquant. Ce cheval de Troie bancaire se concentre sur le phishing vocal, trompant les victimes avec des appels frauduleux se faisant passer pour des banques afin de leur soutirer des informations sensibles. Selon un rapport de CheckPoint de mars 2023, FakeCall imite plus de 20 institutions financières et utilise des mécanismes d'évasion pour réduire les taux de détection. En plus du phishing vocal, il peut capturer des flux audio et vidéo en direct des appareils infectés. La dernière version, analysée par Zimperium, se configure comme gestionnaire d'appels par défaut, affichant une interface trompeuse qui imite le véritable numéroteur Android. Cela permet à l'attaquant de manipuler les appels sans que la victime ne s'en rende compte. Le malware utilise également le service d'accessibilité d'Android pour surveiller l'activité du numéroteur et exécuter des actions à distance. De nouvelles fonctionnalités incluent la possibilité de configurer le malware comme gestionnaire d'appels par défaut et d'accéder aux images stockées. Zimperium a publié des indicateurs de compromission pour aider les utilisateurs à éviter ces applications malveillantes.
Sources :
Des pirates informatiques volent 15 000 identifiants cloud à partir de fichiers de configuration Git exposés
Une opération malveillante à grande échelle, nommée "EmeraldWhale", a permis le vol de plus de 15 000 identifiants de comptes cloud à partir de fichiers de configuration Git exposés dans des dépôts privés. Découverte par Sysdig, cette campagne utilise des outils automatisés pour scanner des plages d'IP à la recherche de fichiers de configuration Git, qui peuvent contenir des jetons d'authentification. Ces jetons sont ensuite utilisés pour télécharger des dépôts sur des plateformes comme GitHub, GitLab et BitBucket, où d'autres identifiants sont également recherchés. Les données volées sont exfiltrées vers des buckets Amazon S3 et utilisées dans des campagnes de phishing et de spam, ou vendues à d'autres cybercriminels. Les fichiers de configuration Git, tels que /.git/config, contiennent souvent des informations sensibles, ce qui les rend vulnérables si exposés. Les hackers ont ciblé environ 67 000 URL, dont 28 000 étaient des dépôts Git. Bien que cette campagne ne soit pas particulièrement sophistiquée, elle a réussi à voler un grand nombre de secrets, soulignant l'importance pour les développeurs d'utiliser des outils de gestion des secrets et d'éviter de coder en dur des informations sensibles dans les fichiers de configuration Git.
Sources :
FBI : les prochaines élections générales américaines alimentent de multiples fraudes
Le FBI met en garde contre plusieurs arnaques liées aux élections générales américaines de 2024, exploitant l'engouement électoral pour escroquer les citoyens. Les fraudeurs se font passer pour des candidats ou des mouvements politiques afin de soutirer de l'argent ou des données personnelles. Dans un communiqué, le FBI souligne que ces arnaques incluent la sollicitation de contributions de campagne, la vente de marchandises fictives et le vol d'informations personnelles. Quatre types principaux de fraudes ont été identifiés :
- Fonds d'investissement : Les victimes investissent dans un fonds de campagne "garanti" avec la promesse de gains après la victoire d'un candidat.
- Comités d'action politique (PAC) : Les escrocs se présentent comme de véritables PAC, incitant les victimes à faire des "dons" qu'ils détournent.
- Marchandises de campagne : Les victimes achètent des articles de campagne sur des sites trompeurs, sans jamais recevoir leurs commandes.
- Alertes d'inscription électorale : Des faux messages incitent à se réinscrire, menant à des sites frauduleux pour voler des informations personnelles.
Le FBI recommande de traiter toute communication non sollicitée avec méfiance et de vérifier l'authenticité des demandes via le site de la Commission fédérale des élections (FEC).
Sources :
Le navigateur Opera corrige une faille de sécurité majeure qui aurait pu exposer vos informations
Une vulnérabilité récemment corrigée dans le navigateur Opera, nommée CrossBarking, aurait permis à une extension malveillante d'accéder sans autorisation aux API privées. Selon Guardio Labs, cette faille aurait permis des actions telles que la capture d'écrans, la modification des paramètres du navigateur et le détournement de comptes. Pour illustrer le problème, Guardio a réussi à publier une extension apparemment inoffensive sur le Chrome Web Store, qui exploitait cette faille une fois installée sur Opera, illustrant ainsi une attaque inter-boutique. Bien qu'Opera ait corrigé le problème le 24 septembre 2024, ce n'est pas la première vulnérabilité identifiée dans ce navigateur. En janvier, une autre faille, MyFlaw, exploitait une fonctionnalité légitime pour exécuter des fichiers sur le système d'exploitation. La technique d'attaque repose sur l'accès privilégié de certains sous-domaines d'Opera aux API privées. Les chercheurs ont découvert que des scripts de contenu dans les extensions pouvaient injecter du JavaScript malveillant dans ces domaines, permettant ainsi à un attaquant de capturer des cookies de session et de modifier les paramètres DNS. Ces découvertes soulignent la nécessité d'une vigilance accrue lors de l'installation d'extensions de navigateur.
Sources :
Une campagne de malvertising détourne des comptes Facebook pour diffuser le malware SYS01stealer
Des chercheurs en cybersécurité ont découvert une campagne de malvertising en cours exploitant la plateforme publicitaire de Meta et des comptes Facebook piratés pour diffuser un malware nommé SYS01stealer. Cette campagne utilise près d'une centaine de domaines malveillants pour distribuer le malware et gérer les opérations de commande et de contrôle en temps réel. L'objectif principal est de voler des identifiants de connexion, l'historique de navigation et des cookies. Les comptes Facebook piratés permettent d'élargir l'opération. SYS01stealer est principalement diffusé via des publicités malveillantes sur des plateformes comme Facebook, YouTube et LinkedIn, promouvant des thèmes Windows, des jeux et des services de streaming. Les victimes sont incitées à cliquer sur ces annonces, entraînant le vol de leurs données de navigation. Les dernières attaques impliquent des archives ZIP contenant une application Electron, montrant une évolution des stratégies des attaquants. Parallèlement, une augmentation de la fraude liée aux cryptomonnaies a été observée, où des escrocs se font passer pour des organisations pour attirer des utilisateurs avec de fausses offres d'emploi. Les victimes, après avoir investi dans des tâches fictives, se retrouvent piégées dans un cycle d'investissement continu.
Sources :
Des chercheurs découvrent un package Python ciblant les portefeuilles cryptographiques avec un code malveillant
Des chercheurs en cybersécurité ont découvert un nouveau package Python malveillant, "CryptoAITools", qui se présente comme un outil de trading de cryptomonnaies, mais qui vise à voler des données sensibles et à vider les portefeuilles crypto des victimes. Distribué via le Python Package Index (PyPI) et de faux dépôts GitHub, il a été téléchargé plus de 1 300 fois avant d'être retiré. Le malware s'active automatiquement lors de l'installation, ciblant les systèmes Windows et macOS, et utilise une interface graphique trompeuse pour distraire les utilisateurs pendant qu'il exécute ses activités malveillantes en arrière-plan. Le code injecté dans le fichier "init.py" détermine le système d'exploitation et télécharge des charges utiles supplémentaires depuis un site web frauduleux, "coinsw[.]app". Ce processus de vol de données vise à collecter des informations sensibles, y compris des données de portefeuilles de cryptomonnaies, mots de passe, et fichiers liés aux cryptomonnaies. Les données sont ensuite transférées vers un service de transfert de fichiers, gofile[.]io. Les opérateurs ont également créé un dépôt GitHub et un canal Telegram pour promouvoir leur malware, élargissant ainsi leur portée auprès des utilisateurs de cryptomonnaies.
Sources :
Vous vous lancez dans une démarche de conformité ? Voici comment Intruder peut vous aider
Naviguer dans les cadres de conformité tels qu'ISO 27001, SOC 2 ou GDPR peut être complexe. Intruder facilite ce processus en répondant aux critères clés de gestion des vulnérabilités exigés par ces normes, rendant ainsi votre parcours de conformité plus fluide. Intruder propose une plateforme de scan de vulnérabilités continue et des rapports automatisés, permettant de répondre aux exigences de sécurité de plusieurs cadres, notamment SOC 2, ISO 27001, HIPAA, Cyber Essentials et GDPR.
Trois manières principales dont Intruder soutient vos objectifs de conformité incluent : la simplification de la gestion des vulnérabilités grâce à des scans complets de votre infrastructure, l'automatisation des rapports pour prouver votre conformité, et la surveillance continue de vos systèmes pour détecter rapidement les nouvelles menaces. Chaque cadre de conformité a des exigences spécifiques, et Intruder est conçu pour aider à répondre à celles-ci, en identifiant les vulnérabilités et en fournissant des rapports adaptés. Avec une gestion proactive des vulnérabilités et des rapports faciles, Intruder réduit le stress lié à la conformité en cybersécurité. Commencez votre essai gratuit pour découvrir comment Intruder peut vous aider.
Sources :
Kaspersky découvre une campagne malveillante sur Telegram visant les entreprises de la fintech
L’équipe GReAT de Kaspersky a découvert une campagne cybercriminelle mondiale orchestrée par des hackers utilisant Telegram pour propager un logiciel espion de type Trojan, ciblant principalement des particuliers et des entreprises dans les secteurs de la fintech et du trading. Ce malware, nommé DarkMe, est un cheval de Troie d’accès à distance (RAT) conçu pour voler des données sensibles et contrôler les appareils des victimes. Les attaques, liées au groupe APT DeathStalker, ont été menées dans plus de 20 pays, avec des fichiers malveillants diffusés via des canaux Telegram. Les pirates ont joint des archives nuisibles à des messages, incitant les utilisateurs à ouvrir des fichiers contenant des extensions dangereuses. Cette méthode, moins suspecte que le phishing traditionnel, augmente la probabilité que les victimes exécutent le malware. De plus, les attaquants ont renforcé leur sécurité opérationnelle en effaçant les traces de leur activité après l’infection. DeathStalker, actif depuis au moins 2018, se spécialise dans le renseignement commercial et financier, ciblant principalement les PME et les sociétés financières, sans jamais détourner de fonds, ce qui laisse penser à un service de renseignement privé.
Sources :
Protéger ses données avec un NAS ? Pourquoi Synology a une longueur d’avance dans ce domaine [Sponso]
L'article aborde la problématique de la sécurité des données, soulignant que des marchandises peuvent être échangées à l'insu de leurs propriétaires, souvent pour leur nuire. Synology, principalement connu pour ses solutions de stockage NAS, propose une solution de sauvegarde efficace appelée Active Backup. Cette solution se distingue par sa simplicité et son accessibilité, étant compatible avec divers supports et offrant une interface unifiée pour gérer les sauvegardes. Active Backup permet de visualiser en un coup d'œil l'état des données, les tâches en cours et les autorisations, tout en garantissant un chiffrement solide pour la protection des données. Contrairement à d'autres entreprises qui facturent des services similaires, Synology offre Active Backup gratuitement aux utilisateurs de ses NAS. Par exemple, le Groupe Hospitalier du Loiret a réalisé des économies significatives en adoptant cette solution. De plus, Synology propose des modèles de NAS performants, adaptés aux besoins des entreprises, incluant des configurations 100 % flash pour une rapidité et une fiabilité accrues. L'article invite également à soutenir le journalisme de qualité en considérant un abonnement à Numerama.
Sources :
Les nouveaux thèmes Windows zero-day bénéficient de correctifs gratuits et non officiels
Un nouveau correctif non officiel est disponible pour une vulnérabilité zero-day liée aux thèmes Windows, permettant aux attaquants de voler à distance les identifiants NTLM d'un utilisateur. Cette faille, découverte par ACROS Security, exploite un problème dans le traitement des fichiers de thèmes, où Windows envoie automatiquement des requêtes authentifiées à des hôtes distants, incluant les identifiants NTLM, simplement en visualisant le fichier dans l'Explorateur Windows. Bien que Microsoft ait corrigé une vulnérabilité connexe en juillet, ACROS a identifié une autre méthode d'exploitation affectant toutes les versions de Windows, de Windows 7 à Windows 11 24H2. En réponse, ACROS a développé un micropatch général pour empêcher l'envoi non autorisé d'informations sensibles. Ces micropatches sont offerts gratuitement via leur service 0patch jusqu'à ce que Microsoft publie un correctif officiel. Bien que Microsoft ait reconnu le problème et prévoit d'agir, les utilisateurs peuvent également appliquer des mesures d'atténuation, comme bloquer les hachages NTLM via des politiques de groupe. Les experts conseillent de ne pas télécharger de thèmes non vérifiés pour éviter de telles vulnérabilités.
Sources :
Une attaque massive de ransomware PSAUX cible 22 000 instances CyberPanel
Une attaque massive de ransomware PSAUX a ciblé plus de 22 000 instances de CyberPanel, exploitant une vulnérabilité critique d'exécution de code à distance (RCE) dans les versions 2.3.6 et probablement 2.3.7. Le chercheur en sécurité DreyAnd a révélé trois failles majeures : une authentification défectueuse, une injection de commandes non sécurisée et un contournement des filtres de sécurité. Ces problèmes ont permis aux attaquants d'accéder à distance aux serveurs sans authentification. Après avoir informé les développeurs de CyberPanel le 23 octobre 2024, une correction a été soumise, mais aucune nouvelle version n'a encore été publiée. Selon LeakIX, près de 10 170 des serveurs vulnérables étaient situés aux États-Unis. L'attaque a entraîné une chute rapide du nombre d'instances accessibles, passant de 21 761 à environ 400. Le ransomware PSAUX, actif depuis juin 2024, chiffre les fichiers des serveurs compromis et laisse des notes de rançon. Une faiblesse dans le processus de chiffrement pourrait permettre une décryption gratuite, et un décryptage a été récemment mis à disposition. Les utilisateurs sont fortement conseillés de mettre à jour vers la dernière version de CyberPanel.
Sources :
QNAP corrige le logiciel de sauvegarde NAS exploité zero-day sur Pwn2Own
QNAP a corrigé une vulnérabilité critique de type zero-day, exploitée lors de la compétition Pwn2Own Ireland 2024, qui a permis à des chercheurs en sécurité de pirater un appareil NAS TS-464. Cette faille, identifiée comme CVE-2024-50388, résulte d'une injection de commandes OS dans la version 25.1.x de HBS 3 Hybrid Backup Sync, un logiciel de sauvegarde et de récupération de données. QNAP a publié un avis de sécurité indiquant que cette vulnérabilité permettait à des attaquants distants d'exécuter des commandes arbitraires. La correction a été intégrée dans la version 25.1.1.673 et les suivantes. Pour mettre à jour HBS 3, les utilisateurs doivent se connecter à QTS ou QuTS hero, accéder au Centre d'applications et rechercher HBS 3. L'exploitation de cette faille a permis à l'équipe Viettel de gagner Pwn2Own, qui a distribué plus d'un million de dollars en prix pour la divulgation de plus de 70 vulnérabilités zero-day. QNAP a déjà été ciblé par des ransomwares, soulignant l'importance de la sécurité pour ses dispositifs, souvent utilisés pour stocker des fichiers sensibles.
Sources :
Active Backup : 3 bonnes raisons de confier la gestion et la protection de vos données à Synology [Sponso]
L'article met en lumière les enjeux de la protection des données face à des menaces croissantes, où des informations sensibles peuvent être échangées à l'insu de leurs propriétaires. Synology, bien connu pour ses solutions de stockage, propose une réponse efficace avec son logiciel Active Backup. Cette solution, accessible gratuitement aux utilisateurs de NAS Synology, se distingue par sa simplicité et son interface unifiée, permettant de gérer facilement les sauvegardes et de surveiller l'état des données. Active Backup assure également un chiffrement robuste, garantissant la sécurité des informations. Grâce à cette solution, des institutions comme le Groupe Hospitalier du Loiret ont réalisé des économies significatives, dépassant 90 000 euros par an. Synology propose également des modèles de NAS performants, adaptés aux besoins des entreprises, avec des configurations optimisées pour la rapidité et la fiabilité. L'article souligne l'importance d'une infrastructure de sauvegarde centralisée pour les entreprises, tout en offrant des informations pratiques sur les produits et services de Synology. Pour plus de détails, les utilisateurs peuvent consulter le site de Synology ou contacter directement leurs experts.
