Les cybercriminels exploitent les recherches de logiciels populaires pour diffuser le malware FakeBat - Actus du 19/08/2024
Découvrez comment une erreur de configuration chez FlightAware a exposé des données utilisateurs, l'émergence du malware UULoader distribuant Gh0st RAT et Mimikatz en Asie de l'Est, et les cybercriminels utilisant des logiciels populaires pour propager FakeBat. Protégez-vous dès maintenant!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une erreur de configuration de FlightAware a entraîné une fuite de données utilisateur pendant des années
La plateforme de suivi des vols FlightAware a informé certains utilisateurs de la nécessité de réinitialiser leurs mots de passe en raison d'un incident de sécurité des données. Basée à Houston, Texas, FlightAware est le plus grand service de suivi des vols au monde, avec un réseau de 32 000 stations au sol dans 200 pays. L'incident, causé par une erreur de configuration, a exposé des informations personnelles des utilisateurs depuis le 1er janvier 2021 jusqu'à sa découverte le 25 juillet 2024. Bien qu'il ne soit pas clair si des données ont été compromises, les informations potentiellement exposées incluent des identifiants, adresses, numéros de téléphone, et même des détails financiers. FlightAware a corrigé l'erreur et demande à tous les utilisateurs concernés de réinitialiser leurs mots de passe lors de leur prochaine connexion. De plus, les utilisateurs affectés se voient offrir un service de protection d'identité gratuit pendant 24 mois via Equifax et sont conseillés de signaler toute activité suspecte. FlightAware a été contacté pour des précisions sur l'accès non autorisé et le nombre d'utilisateurs touchés, mais n'a pas encore répondu.
Sources :
Un nouveau malware UULoader distribue Gh0st RAT et Mimikatz en Asie de l'Est
Un nouveau type de malware, nommé UULoader, est utilisé par des acteurs malveillants pour livrer des charges utiles telles que Gh0st RAT et Mimikatz. Découvert par l'équipe de recherche Cyberint, UULoader se propage via des installateurs malveillants d'applications légitimes, ciblant principalement les locuteurs coréens et chinois. Des éléments dans les fichiers de base de données du programme indiquent que ce malware pourrait être l'œuvre d'un locuteur chinois. Les fichiers principaux d'UULoader sont contenus dans une archive Microsoft Cabinet (.cab), comprenant un exécutable et une DLL, ce dernier étant chargé via un binaire légitime vulnérable au DLL side-loading. Un script Visual Basic dans le fichier MSI lance l'exécutable, souvent déguisé en mise à jour légitime, comme celle de Chrome. Ce n'est pas la première fois que de faux installateurs de Chrome sont utilisés pour déployer Gh0st RAT. Parallèlement, des acteurs malveillants créent des sites de phishing liés aux cryptomonnaies, utilisant des services d'hébergement gratuits pour tromper les utilisateurs. Des campagnes de phishing se font également passer pour des entités gouvernementales, tandis que des domaines frauduleux imitant des applications d'IA générative prolifèrent, exploitant la popularité de ces technologies pour des activités malveillantes.
Sources :
Les cybercriminels exploitent les recherches de logiciels populaires pour diffuser le malware FakeBat
Des chercheurs en cybersécurité ont observé une augmentation des infections par des malwares résultant de campagnes de malvertising distribuant un chargeur appelé FakeBat. Selon l'équipe de Mandiant Managed Defense, ces attaques opportunistes ciblent les utilisateurs recherchant des logiciels d'entreprise populaires. FakeBat, également connu sous les noms d'EugenLoader et PaykLoader, est associé à un acteur malveillant nommé Eugenfest, et est suivi par l'équipe de renseignement de Google sous le nom de NUMOZYLOD, attribué à l'opération Malware-as-a-Service (MaaS) UNC4536. Les chaînes d'attaque utilisent des techniques de téléchargement automatique pour diriger les utilisateurs vers de faux sites hébergeant des installateurs MSI piégés. Parmi les malwares livrés via FakeBat figurent IcedID, RedLine Stealer et Carbanak, lié au groupe cybercriminel FIN7. Mandiant souligne que UNC4536 exploite des installateurs MSIX déguisés en logiciels populaires comme Brave et Zoom, capables d'exécuter un script avant de lancer l'application principale. FakeBat agit principalement comme un distributeur de malwares, facilitant la livraison de charges utiles pour ses partenaires commerciaux. NUMOZYLOD collecte des informations système et établit une persistance sur l'appareil infecté. Cette révélation survient peu après que Mandiant a détaillé un autre chargeur de malware, EMPTYSPACE.
Sources :
Comment automatiser les étapes les plus difficiles du départ des employés
Une récente étude sur le processus de départ des employés révèle que 70 % des professionnels de l'informatique ont subi des conséquences négatives dues à un offboarding incomplet, telles que des incidents de sécurité liés à des comptes non désactivés ou des factures inattendues. Malgré un investissement moyen de cinq heures par employé pour gérer ces départs, des lacunes persistent. Nudge Security propose une solution pour optimiser ce processus en identifiant tous les comptes SaaS et cloud créés par l'employé sortant, y compris les applications d'IA générative. La plateforme offre un playbook intégré qui suit les meilleures pratiques de Google et Microsoft, permettant d'automatiser des tâches chronophages comme la révocation des autorisations OAuth et la réinitialisation des mots de passe. Nudge Security facilite également le transfert de la propriété des ressources critiques et l'inventaire des comptes non gérés. Une fois l'accès révoqué, il est essentiel de nettoyer les comptes pour éviter de perdre des données ou de payer pour des licences inutilisées. Enfin, un rapport PDF des activités d'offboarding peut être généré pour les utilisateurs internes ou les auditeurs, garantissant ainsi une transition fluide et sécurisée des employés.
Sources :
L'outil Xeon Sender exploite les API cloud pour des attaques de phishing par SMS à grande échelle
Des acteurs malveillants exploitent un outil d'attaque basé sur le cloud, Xeon Sender, pour mener des campagnes de phishing par SMS et de spam à grande échelle en abusant de services légitimes. Selon Alex Delamotte, chercheur en sécurité chez SentinelOne, Xeon permet d'envoyer des messages via plusieurs fournisseurs de services SaaS en utilisant des identifiants valides. Les services concernés incluent Amazon SNS, Twilio et Nexmo, sans exploiter de failles dans ces plateformes, mais en utilisant leurs API légitimes pour des attaques de spam. Distribué sur Telegram et des forums de hacking, Xeon Sender a été mis à disposition par le canal Orion Toolxhub, qui propose également d'autres outils malveillants. Le programme, qui a des versions antérieures détectées dès 2022, offre une interface en ligne de commande pour orchestrer des attaques par SMS en masse. Il permet également de valider des identifiants de compte et de générer des numéros de téléphone. Malgré sa simplicité, le code source présente des défis de détection en raison de l'utilisation de bibliothèques Python spécifiques aux fournisseurs. Pour se défendre contre de telles menaces, les organisations doivent surveiller les activités liées aux permissions d'envoi de SMS et aux modifications anormales des listes de distribution.
Sources :
Bilan Cybersécurité des JO 2024 : 141 Attaques recensées
Les Jeux Olympiques de Paris 2024 ont été marqués par 141 cyberattaques, dont 22 ont réussi à compromettre des systèmes d'information, selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Bien que 119 attaques aient eu un faible impact, certaines ont perturbé des secteurs essentiels comme les transports et les télécommunications. La majorité des attaques étaient des attaques par déni de service distribué (DDoS), une méthode courante pour submerger les serveurs. Grâce à des mesures de sécurité rigoureuses et à une collaboration étroite entre l'ANSSI, le ministère de l'Intérieur et les forces de cyberdéfense, les impacts ont été maîtrisés, permettant aux Jeux de se dérouler sans interruptions majeures. Comparativement aux JO de Tokyo 2021, qui avaient enregistré plus de 450 millions de cyberattaques, les chiffres de Paris sont nettement inférieurs, bien que des prévisions initiales aient anticipé un nombre d'attaques beaucoup plus élevé. En parallèle, des actions contre des pirates pro-russes ont été menées, renforçant la lutte contre les menaces. Malgré la fin des JO, les cybercriminels continuent d'agir, comme en témoigne une récente attaque contre un hébergeur français.
Sources :
Les utilisateurs de Microsoft se précipitent pour corriger la faille TCP/IP RCE sans clic
Ce mois-ci, Microsoft a publié environ 100 correctifs de sécurité, dont un pour une vulnérabilité critique récemment signalée par le chercheur XiaoWei du Kunlun Lab. Cette vulnérabilité, identifiée comme CVE-2024-38063, concerne le module TCP/IP des systèmes Windows et permettrait à un attaquant non authentifié d'exécuter du code à distance via des paquets IPv6 spécialement conçus. XiaoWei a alerté Microsoft après avoir découvert cette faille il y a plusieurs mois, et le correctif a été inclus dans les mises à jour de Patch Tuesday d'août 2024. Avec dix vulnérabilités zero-day et neuf vulnérabilités critiques corrigées, il est impératif pour les utilisateurs de mettre à jour leurs systèmes immédiatement. La vulnérabilité cible principalement les systèmes Windows 11, où IPv6 est activé par défaut, tandis que les systèmes plus anciens, avec IPv6 désactivé ou non pris en charge, ne sont pas affectés. Bien que Microsoft ne recommande pas de désactiver IPv6, les utilisateurs peuvent le faire pour éviter l'exploitation de cette vulnérabilité, notamment lorsqu'ils utilisent un VPN qui ne prend pas en charge IPv6. Les utilisateurs de Windows 10 et 11 peuvent vérifier l'état d'IPv6 via le Panneau de configuration.
Sources :
ProtonVPN ouvre la fonctionnalité d'extension de navigateur aux utilisateurs gratuits
ProtonVPN a récemment annoncé une amélioration significative pour ses utilisateurs gratuits : l'accès à son extension de navigateur. Désormais, tous les utilisateurs de ProtonVPN, y compris ceux du plan gratuit, peuvent télécharger et utiliser l'extension pour sécuriser leur trafic de navigation sans frais. Auparavant, cette fonctionnalité n'était disponible que pour les abonnés payants, limitant ainsi la protection des utilisateurs gratuits à un client VPN pour ordinateurs et mobiles, avec des fonctionnalités restreintes. L'extension est compatible avec tous les navigateurs basés sur Chromium, tels que Google Chrome, Microsoft Edge, ainsi que Mozilla Firefox et ses dérivés. Pour l'utiliser, il suffit de la télécharger depuis la bibliothèque d'extensions du navigateur ou le site officiel de ProtonVPN, puis de se connecter à son compte. En parallèle, ProtonVPN a également mis à jour son application Android, permettant aux utilisateurs de l'utiliser sans créer de compte, et a introduit de nouvelles fonctionnalités comme des icônes discrètes et le protocole Stealth. Ces améliorations visent à renforcer la protection de la vie privée des utilisateurs tout en simplifiant l'accès aux services VPN.
Sources :
- https://latesthackingnews.com/2024/08/19/protonvpn-opens-up-browser-extension-feature-to-free-users/
AMD a corrigé la vulnérabilité du processeur SinkClose récemment révélée
Des chercheurs en sécurité d'IOActive ont révélé une nouvelle vulnérabilité, nommée ‘SinkClose’, touchant les processeurs AMD, permettant l'exécution de code malveillant après exploitation. Présentée lors de Defcon 2024, cette faille affecte le Mode de Gestion Système (SMM) des puces AMD, un mode isolé dans l'architecture x86, utilisé pour des opérations système de bas niveau. Étant donné que le SMM est inaccessible aux systèmes d'exploitation et aux applications, les codes à ce niveau échappent aux protections habituelles. La vulnérabilité détectée permet à un attaquant ayant un accès au niveau du noyau (Ring 0) de contourner le démarrage sécurisé et de modifier les paramètres SMM, facilitant ainsi le déploiement de malwares indétectables. Cette faille, identifiée sous le CVE ID CVE-2023-31315, a reçu une note de gravité élevée avec un score CVSS de 7,5. En réponse, AMD a publié un avis détaillé et des correctifs pour différents processeurs, tout en précisant que la menace concerne principalement les systèmes gravement compromis. AMD a mis à disposition des options de mitigation pour ses produits AMD EPYC™ et AMD Ryzen™.
Sources :
Microsoft corrige une faille zero-day exploitée par le groupe nord-coréen Lazarus
Une vulnérabilité récemment corrigée dans Microsoft Windows, identifiée comme CVE-2024-38193 (score CVSS : 7,8), a été exploitée par le groupe Lazarus, un acteur étatique nord-coréen. Cette faille, qualifiée de bug d'escalade de privilèges dans le pilote AFD.sys de WinSock, permet à un attaquant d'acquérir des privilèges SYSTEM. Microsoft a publié un avis à ce sujet lors de son Patch Tuesday. La découverte de cette vulnérabilité est attribuée aux chercheurs de Gen Digital, qui ont signalé l'exploitation dès juin 2024. Ils ont précisé que cette faille permettait d'accéder à des zones sensibles du système, contournant les restrictions de sécurité habituelles. Les attaques ont été caractérisées par l'utilisation d'un rootkit nommé FudModule pour échapper à la détection. Ce type d'attaque rappelle une autre faille d'escalade de privilèges corrigée par Microsoft en février 2024, également exploitée par Lazarus. Contrairement aux attaques traditionnelles, ces intrusions exploitent une faille dans un pilote déjà installé sur Windows, rendant la menace plus insidieuse. Les analyses précédentes ont montré que le rootkit était souvent livré via un cheval de Troie d'accès à distance, Kaolin RAT, et utilisé avec précaution par Lazarus.
Sources :
Des chercheurs découvrent une nouvelle infrastructure liée au groupe de cybercriminalité FIN7
Des chercheurs en cybersécurité ont découvert une nouvelle infrastructure liée à FIN7, un acteur de la cybercriminalité motivé financièrement. Deux clusters d'activité potentielle de FIN7 montrent des communications provenant d'adresses IP attribuées à Post Ltd (Russie) et SmartApe (Estonie), selon un rapport de Team Cymru, en collaboration avec Silent Push et Stark Industries Solutions. Ces résultats s'appuient sur un rapport antérieur de Silent Push, qui avait identifié plusieurs adresses IP de Stark Industries dédiées à l'hébergement de l'infrastructure de FIN7. L'analyse récente suggère que les hôtes associés à ce groupe de cybercriminalité ont probablement été acquis par l'intermédiaire de revendeurs de Stark. Team Cymru a également identifié quatre adresses IP liées à Post Ltd et trois à SmartApe, toutes deux impliquées dans des communications sortantes avec des hôtes assignés à Stark. En outre, 12 des hôtes du cluster Post Ltd ont été observés dans le cluster SmartApe. Les services associés ont été suspendus par Stark suite à une divulgation responsable. L'évaluation des métadonnées a confirmé l'établissement de connexions, basée sur l'analyse des drapeaux TCP et des volumes de transfert de données échantillonnés.
Sources :
La mise à jour d'aperçu de Windows 11 ajoute de nouvelles options de mode d'alimentation
La mise à jour de prévisualisation de Windows 11, Build 27686, introduit plusieurs améliorations notables, notamment la prise en charge de 2 To pour le stockage FAT32, des améliorations pour Windows Sandbox et un meilleur contrôle des paramètres HDR. L'une des nouveautés les plus significatives est la possibilité de définir des modes d'alimentation distincts selon que l'ordinateur est branché ou fonctionne sur batterie. Auparavant, les utilisateurs ne pouvaient choisir qu'un seul mode d'alimentation applicable à tous les états, mais cette mise à jour permet désormais de sélectionner des modes tels que "Meilleures performances", "Équilibré" ou "Meilleure efficacité énergétique" pour chaque état. Cela signifie que lorsque l'ordinateur est branché, les utilisateurs peuvent opter pour des performances maximales, tandis qu'en mode batterie, ils peuvent privilégier l'économie d'énergie pour prolonger l'autonomie. Cette fonctionnalité permet un passage automatique entre les modes en fonction de l'état d'alimentation de l'appareil. Bien que certains commentaires soulignent que des options similaires existaient auparavant via des modifications du registre ou des utilitaires tiers, cette mise à jour ramène des contrôles natifs à l'interface utilisateur de Windows 11.
Sources :
Chrome effacera les cartes de crédit et les mots de passe lorsque vous partagerez l'écran Android
Google a annoncé une nouvelle fonctionnalité pour Chrome sur Android qui vise à protéger les informations sensibles lors du partage ou de l'enregistrement d'écran. Actuellement, bien que le mode incognito empêche la capture d'écran, les utilisateurs peuvent involontairement exposer leurs mots de passe, numéros de carte de crédit et autres données sensibles lorsqu'ils utilisent des onglets normaux. Pour remédier à ce problème, Google teste un nouvel indicateur expérimental intitulé "Redact sensitive content during screen sharing, screen recording and similar actions". Lorsque cette option est activée, tout le contenu sensible sur la page sera masqué lors du partage ou de l'enregistrement de l'écran. Cette fonctionnalité est conçue pour fonctionner uniquement sur Android V ou supérieur. Bien qu'elle ne soit pas encore opérationnelle, elle devrait permettre de protéger les informations sensibles en masquant l'intégralité de l'écran. La date de déploiement de cette fonctionnalité pour tous les utilisateurs de Chrome sur Android reste inconnue, mais elle sera bientôt disponible pour les tests dans Chrome Canary. De plus, une nouvelle option permettant de fermer tous les onglets incognito a également été repérée dans Chrome pour Android.
