Le nouveau cheval de Troie Android « BlankBot » cible les données financières des utilisateurs turcs - Actus du 05/08/2024
Dernière chance pour une réduction sur l'inscription au mWISE 2024 de Mandiant ! Découvrez aussi les failles critiques de Windows Smart App Control et SmartScreen, et l'alerte aux cyberattaques « Bloody Wolf » visant des organisations kazakhes. Ne manquez pas notre analyse complète !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le compte à rebours est lancé : dernière chance de bénéficier d'une réduction sur l'inscription au mWISE 2024 de Mandiant
Le compte à rebours est lancé pour mWISE 2024, la conférence de cybersécurité organisée par Mandiant, désormais partie de Google Cloud, qui se tiendra à Denver, Colorado, du 18 au 19 septembre 2024. Les inscriptions à tarif réduit, offrant une remise de 300 $, se terminent le 12 août. mWISE se distingue par son approche centrée sur les praticiens, offrant un espace inclusif et neutre en matière de fournisseurs, où les professionnels de la cybersécurité peuvent partager des expériences réelles d'attaques et de réponses. Les participants bénéficieront d'un accès direct à des experts et à des pairs, ainsi que de solutions pratiques présentées par des leaders de l'industrie. Parmi les intervenants notables, David Eagleman, neuroscientifique, abordera la question de l'intelligence artificielle lors d'une keynote. D'autres sessions traiteront de sujets variés, tels que l'évolution des ransomwares et l'impact de l'IA sur les opérations de sécurité. Les inscriptions sont ouvertes, et il est conseillé de réserver rapidement pour profiter des tarifs avantageux et garantir un hébergement. mWISE 2024 promet d'être une expérience enrichissante pour les professionnels de la cybersécurité.
Sources :
Des chercheurs découvrent des failles dans Windows Smart App Control et SmartScreen
Des chercheurs en cybersécurité ont identifié des faiblesses de conception dans les fonctionnalités Smart App Control (SAC) et SmartScreen de Microsoft, qui pourraient permettre à des acteurs malveillants d'accéder à des environnements cibles sans déclencher d'alertes. SAC, introduit avec Windows 11, bloque les applications malveillantes et non fiables, tandis que SmartScreen, lancé avec Windows 10, évalue les sites et les applications téléchargées pour détecter des contenus potentiellement dangereux. Lorsque SAC est activé, il remplace SmartScreen. Selon Elastic Security Labs, ces systèmes présentent des vulnérabilités fondamentales qui permettent un accès initial sans avertissements de sécurité. Les attaquants peuvent contourner ces protections en signant des applications avec un certificat de validation étendue (EV) ou en utilisant des techniques telles que le détournement de réputation, la semence de réputation, la falsification de réputation et le LNK Stomping. Ces méthodes exploitent des failles dans la gestion des fichiers et des applications pour masquer des comportements malveillants. Bien que les systèmes de protection basés sur la réputation soient efficaces contre les malwares courants, ils ne doivent pas être la seule ligne de défense, et les équipes de sécurité doivent examiner attentivement les téléchargements.
Sources :
Des organisations kazakhes ciblées par des cyberattaques de type « Bloody Wolf »
Des organisations au Kazakhstan sont ciblées par un groupe de menaces nommé Bloody Wolf, qui utilise un malware appelé STRRAT (ou Strigoi Master). Selon une analyse de BI.ZONE, ce programme, vendu pour aussi peu que 80 dollars sur des ressources clandestines, permet aux attaquants de prendre le contrôle des ordinateurs d'entreprise et de détourner des données sensibles. Les cyberattaques commencent par des emails de phishing, se faisant passer pour le ministère des Finances du Kazakhstan, incitant les destinataires à ouvrir des pièces jointes PDF. Ces fichiers prétendent être des avis de non-conformité et contiennent des liens vers un fichier Java malveillant (JAR) ainsi qu'un guide d'installation pour le Java nécessaire au fonctionnement du malware. Le STRRAT, hébergé sur un site imitant celui du gouvernement kazakh, s'installe de manière persistante sur les hôtes Windows et exfiltre des informations sensibles via un serveur Pastebin. Il collecte des données sur le système d'exploitation, les logiciels antivirus et les comptes de navigateurs. De plus, il peut recevoir des commandes pour exécuter d'autres charges utiles, enregistrer des frappes, ou se désinstaller. L'utilisation de fichiers JAR et de services web légitimes permet aux attaquants d'échapper aux solutions de sécurité réseau.
Sources :
La décision de Loper Bright : son impact sur la législation en matière de cybersécurité
La décision Loper Bright a profondément modifié le paysage du droit administratif en annulant quarante ans de jurisprudence, ce qui pourrait entraîner des litiges sur l'interprétation des lois ambiguës précédemment décidées par les agences fédérales. La Cour suprême a statué que le texte de la Loi sur la procédure administrative (APA) est clair, et que les interprétations des agences ne bénéficient plus de la déférence judiciaire. Cela signifie que les tribunaux devront exercer un jugement indépendant pour déterminer si une agence a agi dans le cadre de son autorité statutaire. La suppression de la déférence Chevron entraînera un examen plus rigoureux des interprétations des agences. Les entreprises doivent donc être prêtes à adapter leurs programmes de conformité face à d'éventuels changements réglementaires. Les implications de cette décision sur les réglementations en matière de cybersécurité, notamment celles de la FTC et de la SEC, pourraient être significatives, car les tribunaux ne se fieront plus aux interprétations des agences. Cela pourrait engendrer une augmentation des défis juridiques concernant les réglementations existantes et compliquer les efforts de conformité. En fin de compte, la décision souligne la nécessité pour le Congrès de fournir des orientations législatives plus claires pour que les réglementations en matière de cybersécurité résistent à l'examen judiciaire.
Sources :
Améliorer la préparation aux interventions en cas d'incident avec Wazuh
Les équipes de sécurité doivent surmonter des défis tels que la détection rapide, la collecte de données exhaustive et des actions coordonnées pour améliorer leur préparation. Wazuh, un outil de sécurité, aide à analyser les journaux, surveiller l'intégrité des fichiers, détecter les menaces et alerter en temps réel, tout en automatisant la réponse aux incidents. Cela permet aux organisations d'adapter leur réponse aux besoins spécifiques de sécurité. Wazuh surveille en continu les données de journal et le trafic réseau pour détecter des comportements anormaux, exécutant des scripts pour mettre à jour les règles de pare-feu et bloquer les adresses IP malveillantes. En cas de détection de logiciels malveillants, Wazuh utilise sa capacité de surveillance de l'intégrité des fichiers pour identifier des modèles inhabituels et initie des scripts pour supprimer les fichiers nuisibles. De plus, Wazuh applique des politiques de sécurité, comme le verrouillage de comptes après plusieurs tentatives de connexion échouées. En intégrant des outils tiers, Wazuh permet une réponse rapide aux attaques de phishing, en créant automatiquement des tickets d'incidents et en isolant les points d'extrémité affectés. Cela renforce la préparation à la réponse aux incidents grâce à des processus automatisés et intégrés.
Sources :
Une faille critique dans les appareils Rockwell Automation permet un accès non autorisé
Une vulnérabilité de contournement de sécurité de haute gravité a été révélée dans les dispositifs ControlLogix 1756 de Rockwell Automation, permettant l'exécution de commandes de programmation et de configuration via le protocole industriel commun (CIP). Identifiée sous le CVE CVE-2024-6242, cette faille a un score CVSS v3.1 de 8.4. Selon la CISA, cette vulnérabilité permet à un acteur malveillant de contourner la fonctionnalité de Trusted Slot dans un contrôleur ControlLogix, ce qui pourrait entraîner des modifications non autorisées des projets utilisateurs et de la configuration des dispositifs. La société Claroty, qui a découvert cette faille, a mis au point une technique permettant d'envoyer des commandes malveillantes au CPU du contrôleur logique programmable (PLC). Bien qu'un accès réseau soit nécessaire pour exploiter cette vulnérabilité, un attaquant pourrait envoyer des commandes élevées, y compris le téléchargement de logique arbitraire sur le CPU du PLC, même depuis une carte réseau non fiable. La faille a été corrigée dans plusieurs versions mises à jour des dispositifs concernés, garantissant ainsi une meilleure protection des systèmes de contrôle critiques contre les accès non autorisés via le protocole CIP.
Sources :
Le nouveau cheval de Troie Android « BlankBot » cible les données financières des utilisateurs turcs
Des chercheurs en cybersécurité ont découvert un nouveau cheval de Troie bancaire Android, nommé BlankBot, ciblant les utilisateurs turcs pour voler des informations financières. Identifié le 24 juillet 2024, BlankBot est en développement actif et exploite les permissions des services d'accessibilité d'Android pour contrôler entièrement les appareils infectés. Ce malware présente diverses capacités malveillantes, telles que l'injection de clients, le keylogging, l'enregistrement d'écran et la communication avec un serveur de contrôle via une connexion WebSocket. Il contourne les restrictions d'Android 13 en demandant aux victimes d'autoriser l'installation d'applications provenant de sources tierces. BlankBot peut intercepter des SMS, désinstaller des applications, et collecter des données comme les listes de contacts et les applications installées. Bien que Google n'ait pas trouvé d'applications contenant ce malware sur le Play Store, il assure que Google Play Protect protège automatiquement les utilisateurs contre les versions connues de BlankBot. Parallèlement, Google intensifie ses efforts pour contrer les fraudes par SMS, notamment en alertant les utilisateurs sur les connexions cellulaires non sécurisées et en proposant des options pour désactiver certaines fonctionnalités vulnérables.
Sources :
Des pirates informatiques liés à la Chine compromettent un FAI pour déployer des mises à jour de logiciels malveillants
Le groupe de cyberespionnage lié à la Chine, connu sous le nom d'Evasive Panda, a compromis un fournisseur d'accès Internet (FAI) pour déployer des mises à jour logicielles malveillantes ciblant des entreprises au milieu de l'année 2023, révélant un niveau de sophistication accru. Actif depuis 2012, Evasive Panda, également appelé Bronze Highland ou StormBamboo, utilise des portes dérobées comme MgBot et Nightdoor pour collecter des informations sensibles. Récemment, il a été associé à un malware macOS nommé MACMA, observé depuis 2021. Selon un rapport de Volexity, ce groupe est capable de compromettre des tiers, comme un FAI, pour atteindre ses cibles. Les recherches ont montré que le groupe a utilisé des attaques de type "watering hole" et des attaques de chaîne d'approvisionnement, notamment contre des utilisateurs tibétains et une ONG en Chine. L'analyse a révélé que les mises à jour malveillantes provenaient d'une attaque de type "adversaire au milieu" (AitM) résultant d'une empoisonnement DNS au niveau du FAI. Les mécanismes de mise à jour non sécurisés ont été exploités pour livrer MgBot ou MACMA, et une extension Chrome malveillante a été déployée sur les appareils macOS des victimes.
