Le nouveau voleur de Banshee cible plus de 100 extensions de navigateur sur les systèmes Apple macOS - Actus du 16/08/2024
Découvrez comment des pirates russes exploitent de faux sites de marques pour propager DanaBot et StealC, les nouvelles fonctionnalités Copilot AI du lecteur PDF Microsoft Edge, et les attaques avancées de ValleyRAT visant les utilisateurs chinois. Gardez une longueur d'avance sur les cybermenaces !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des pirates informatiques russes utilisent de faux sites de marques pour diffuser les logiciels malveillants DanaBot et StealC
Des chercheurs en cybersécurité ont révélé une campagne sophistiquée de vol d'informations, orchestrée par des cybercriminels russophones, nommée Tusk. Cette campagne utilise des marques légitimes pour distribuer des malwares tels que DanaBot et StealC via des sites frauduleux et des comptes sur les réseaux sociaux. Selon Kaspersky, toutes les sous-campagnes actives hébergent un téléchargeur initial sur Dropbox, responsable de l'installation de malwares supplémentaires sur les machines des victimes. Parmi les 19 sous-campagnes identifiées, trois sont actuellement actives. La première, TidyMe, imite le site peerme[.]io et incite les utilisateurs à télécharger un programme malveillant pour Windows et macOS. La seconde, RuneOnlineWorld, simule un jeu en ligne pour distribuer un téléchargeur similaire, tandis que la troisième, Voico, se fait passer pour un projet de traduction AI. Ces campagnes exploitent des techniques de phishing pour obtenir des informations personnelles et financières, qui sont ensuite revendues sur le dark web. Les chercheurs soulignent la menace persistante et évolutive que représentent ces cybercriminels, qui utilisent des méthodes de social engineering pour tromper les utilisateurs et voler des données sensibles.
Sources :
Le lecteur PDF Microsoft Edge bénéficie de nouvelles fonctionnalités Copilot AI
Microsoft améliore l'intégration de Copilot dans son navigateur Edge avec l'ajout de fonctionnalités d'intelligence artificielle pour la lecture de PDF. Cette mise à jour permettra à l'IA de générer des mots-clés importants à partir des documents PDF, facilitant ainsi l'analyse des sujets abordés. Actuellement, Copilot dans Edge permet déjà de résumer divers types de documents, y compris les PDF, et d'interagir avec l'IA pour poser des questions ou obtenir des résumés. La nouvelle fonctionnalité de génération de mots-clés, qui consiste en des phrases d'un ou deux mots, mettra en avant le contenu essentiel d'un document, rendant la recherche d'informations pertinentes plus aisée. Des modifications liées à cette fonctionnalité ont été repérées dans Edge Canary, notamment une mise à jour de l'icône et du tooltip du générateur de mots-clés, indiquant que ceux-ci seront créés avec l'aide de Copilot. En plus de mettre en évidence ces "mots-clés intelligents", Edge permettra aux utilisateurs de cliquer dessus pour obtenir des informations supplémentaires via Copilot. La date de disponibilité générale de cette fonctionnalité reste incertaine, mais certains utilisateurs pourraient déjà y avoir accès dans Edge Canary ou Dev.
Sources :
ValleyRAT à plusieurs étapes cible les utilisateurs chinois avec des tactiques avancées
Une campagne ciblant les utilisateurs francophones distribue un malware nommé ValleyRAT, qui est un logiciel malveillant multi-étapes capable de surveiller et contrôler ses victimes. Selon les chercheurs de Fortinet, ValleyRAT utilise des techniques variées, notamment du shellcode, pour exécuter ses composants directement en mémoire, réduisant ainsi son empreinte sur le système. Les détails de cette campagne ont émergé en juin 2024, avec des attaques impliquant une version mise à jour du malware. Bien que la méthode de distribution actuelle soit inconnue, des campagnes précédentes ont utilisé des emails contenant des liens vers des exécutables compressés. Le processus d'attaque commence par un chargeur de première étape se faisant passer pour des applications légitimes, comme Microsoft Office. Ce chargeur valide également qu'il ne s'exécute pas dans une machine virtuelle. ValleyRAT, attribué à un groupe de menaces appelé Silver Fox, est une porte dérobée complète permettant de contrôler à distance des postes de travail compromis. Il peut prendre des captures d'écran, exécuter des fichiers et charger des plugins supplémentaires. La campagne s'inscrit dans un contexte plus large d'attaques exploitant une vulnérabilité ancienne de Microsoft Office pour exécuter du code malveillant.
Sources :
Les failles de sécurité cachées dans vos applications SaaS : faites-vous preuve de diligence raisonnable ?
Les applications SaaS sont devenues essentielles pour les organisations cherchant à améliorer leur productivité, mais elles présentent des risques de sécurité inhérents. Une diligence raisonnable approfondie est cruciale pour identifier et atténuer ces risques, protégeant ainsi les données sensibles de l'organisation. Cela implique une évaluation complète des événements des journaux d'audit, des audits système et d'activité, ainsi que des capacités d'intégration pour garantir un suivi adéquat. Une telle révision permet de détecter les lacunes critiques dans les journaux d'audit, comme les connexions et les vérifications MFA, ce qui est vital pour maintenir la visibilité et réagir rapidement aux anomalies. Malgré son importance, la diligence raisonnable est souvent négligée en raison de la diversité et de la complexité des applications SaaS. Le DDQ, conçu par des professionnels de la sécurité, aide les organisations à identifier les lacunes dans les journaux d'audit. En utilisant le DDQ et l'EMM, les entreprises peuvent améliorer leur préparation aux risques, évaluer les capacités d'intégration et développer des plans d'intégration détaillés, garantissant ainsi une surveillance adéquate dès le départ. Cela permet d'améliorer la détection des menaces et de gérer la sécurité des SaaS de manière proactive.
Sources :
Windows 11 vous donnera enfin un meilleur contrôle sur les fonctionnalités HDR
Microsoft a publié Windows 11 Build 27686, introduisant des modifications cachées liées à la gestion des fonctionnalités HDR. Une des nouveautés permet de "permettre le streaming vidéo HDR même lorsque HDR est désactivé", ce qui signifie que les utilisateurs peuvent diffuser du contenu HDR sans activer cette fonctionnalité pour l'ensemble du système. De plus, l'étiquette "Streaming vidéo HDR" dans les capacités d'affichage a été mise à jour pour inclure "jeux, applications et plus", suggérant l'arrivée de nouvelles fonctionnalités HDR.
Parmi les autres améliorations, une modification visuelle mineure a été apportée aux paramètres Disques et Volumes, avec un bouton "Créer un volume" aux coins arrondis et une animation de l'icône chevron lors du clic. La version 3.15 du système de fichiers ReFS (Resilient File System) est également prise en charge, bien que Windows continue de formater les partitions avec la version 3.14. Enfin, il a été confirmé qu'une future mise à jour de Windows 11 supprimera la limite de taille de 32 Go pour les partitions FAT32, permettant une taille maximale de 2 To.
Sources :
Le nouveau voleur de Banshee cible plus de 100 extensions de navigateur sur les systèmes Apple macOS
Des chercheurs en cybersécurité ont découvert un nouveau malware, nommé Banshee Stealer, spécifiquement conçu pour cibler les systèmes macOS. Proposé à la vente dans le cyberespace pour 3 000 dollars par mois, il fonctionne sur les architectures x86_64 et ARM64. Selon Elastic Security Labs, Banshee Stealer est capable de cibler divers navigateurs, portefeuilles de cryptomonnaie et environ 100 extensions de navigateur, ce qui en fait une menace polyvalente. Les navigateurs et portefeuilles visés incluent Google Chrome, Mozilla Firefox, Brave, et d'autres. Le malware peut également collecter des informations système et des données d'iCloud Keychain, tout en intégrant des mesures anti-analyse pour éviter la détection. Il utilise l'API CFLocaleCopyPreferredLanguages pour ne pas infecter les systèmes où le russe est la langue principale. Comme d'autres malwares macOS, Banshee Stealer affiche une fausse invite de mot de passe pour tromper les utilisateurs. Il peut également collecter des données de fichiers spécifiques et les exfiltrer vers un serveur distant. Cette découverte souligne l'augmentation des malwares ciblant macOS, alors que d'autres menaces, comme Flame Stealer, continuent d'émerger sur Windows.
Sources :
Les appareils Google Pixel livrés avec une application vulnérable, mettant des millions de personnes en danger
Un pourcentage significatif des appareils Pixel de Google expédiés depuis septembre 2017 contient un logiciel dormant, "Showcase.apk", qui pourrait être utilisé pour des attaques malveillantes. Cette application préinstallée, développée par Smith Micro pour le mode démo, possède des privilèges système excessifs, permettant l'exécution de code à distance et l'installation de paquets arbitraires. Elle télécharge un fichier de configuration via une connexion HTTP non sécurisée, rendant les appareils vulnérables aux attaques de type "adversary-in-the-middle". Bien que l'application ne soit pas intrinsèquement malveillante et ne soit pas activée par défaut, elle peut être exploitée si un acteur malveillant a un accès physique au dispositif et que le mode développeur est activé. Google a précisé que cette vulnérabilité n'est pas liée à Android ou aux appareils Pixel, mais à un package développé pour les démonstrations en magasin de Verizon. L'entreprise a annoncé qu'elle supprimerait cette application de tous les appareils Pixel pris en charge lors d'une mise à jour logicielle à venir. Actuellement, aucune preuve d'exploitation active n'a été trouvée, et l'application n'est pas présente sur les appareils de la série Pixel 9.
Sources :
Microsoft supprime la limite de taille de partition FAT32 dans Windows 11
Microsoft a annoncé la suppression de la limite de taille de 32 Go pour les partitions FAT32 dans la dernière version de Windows 11 Canary, permettant désormais des partitions allant jusqu'à 2 To. Cette modification, intégrée dans la version Insider Preview Build 27686, permet aux utilisateurs de formater des disques via la ligne de commande sans avoir recours à des applications tierces ou à PowerShell avec des privilèges administratifs. Bien que cette nouvelle fonctionnalité soit un progrès, l'outil de formatage graphique de Windows continuera d'imposer la limite de 32 Go pour les systèmes de fichiers FAT32. En parallèle, Microsoft a introduit le Windows Sandbox Client Preview, qui inclut des améliorations telles que le partage de dossiers et le support de la ligne de commande. Des optimisations ont également été apportées pour améliorer la durée de vie de la batterie sur les systèmes utilisant cette version. De plus, les appareils inscrits au programme Insider effectueront des tests de réseau en arrière-plan pour collecter des données de diagnostic, facilitant ainsi l'évaluation des améliorations de performance réseau futures. Ces tests utiliseront une quantité minimale de données et ne seront actifs que sur des connexions Ethernet et Wi-Fi non mesurées.
Sources :
Un gang de ransomware déploie un nouveau malware pour détruire les logiciels de sécurité
Les opérateurs du ransomware RansomHub déploient un nouveau malware, nommé EDRKillShifter, pour désactiver les logiciels de sécurité Endpoint Detection and Response (EDR) lors d'attaques BYOVD (Bring Your Own Vulnerable Driver). Découvert par les chercheurs de Sophos lors d'une enquête en mai 2024, ce malware utilise un pilote vulnérable légitime pour escalader les privilèges, désactiver les solutions de sécurité et prendre le contrôle des systèmes ciblés. Bien que les attaquants aient tenté d'utiliser EDRKillShifter pour désactiver la protection Sophos, leurs efforts ont échoué en raison de la fonctionnalité CryptoGuard. Sophos a identifié deux échantillons exploitant des pilotes vulnérables, avec des preuves de concept disponibles sur GitHub. Le malware, compilé sur un système en russe, fonctionne en trois étapes : décryptage, exécution d'un code embarqué et exploitation d'un pilote vulnérable. Une fois en place, il crée un nouveau service pour le pilote et entre dans une boucle infinie pour terminer les processus de sécurité. Sophos recommande d'activer la protection contre la falsification, de séparer les privilèges utilisateur et administrateur, et de maintenir les systèmes à jour pour contrer ces menaces.
Sources :
Microsoft désactive le correctif de sécurité BitLocker et recommande une atténuation manuelle
Microsoft a désactivé un correctif pour une vulnérabilité de contournement de la fonctionnalité de sécurité BitLocker, identifiée comme CVE-2024-38058, en raison de problèmes d'incompatibilité avec le firmware. Ce défaut de sécurité permet aux attaquants d'accéder aux données chiffrées sur des appareils ciblés avec un accès physique. Dans une mise à jour, Microsoft a expliqué que l'application du correctif entraînait des redémarrages en mode de récupération BitLocker sur certains appareils. Par conséquent, avec les mises à jour de sécurité d'août 2024, le correctif a été désactivé. Pour protéger leurs systèmes, les utilisateurs doivent maintenant suivre une procédure en quatre étapes, nécessitant jusqu'à huit redémarrages, comme indiqué dans l'avis KB5025885. De plus, une fois la mitigation appliquée sur des appareils avec Secure Boot, il est impossible de revenir en arrière, même après un formatage. Microsoft a également corrigé un problème connu causé par les mises à jour de sécurité de juillet, qui avait également entraîné des redémarrages en mode de récupération BitLocker. Cependant, la société n'a pas précisé la cause profonde de ces problèmes ni comment ils ont été résolus. Les utilisateurs sont donc invités à installer les dernières mises à jour pour bénéficier d'améliorations importantes.
