Les dangers des sites usurpant l’identité de plateformes légitimes - Actus du 14/12/2024
Découvrez comment les pirates se piégent eux-mêmes avec de fausses fuites de données, les risques des sites frauduleux imitant les plateformes légitimes, et comment l'Allemagne a perturbé le malware BADBOX sur 30 000 appareils grâce à une action de Sinkhole. Plongez dans ces cyber-batailles!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Quand les pirates se tirent dans les pieds : les fausses fuites de données
Dans le monde du piratage informatique, les escroqueries entre pirates sont monnaie courante, révélant un univers où la crédulité et la tromperie règnent. Les faux hackers publient des annonces sur des forums underground, prétendant avoir piraté des entreprises et offrant des échantillons de données volées. Cependant, ces échantillons ne sont souvent que des données fictives, générées par des outils automatisés, ou même des malwares destinés à piéger d'autres pirates. Les motivations derrière ces arnaques sont variées : certains cherchent à gagner du respect dans la communauté, d'autres à accumuler des crédits sur des forums pour accéder à de vraies données volées. Des exemples notables incluent des annonces sensationnelles, comme celle d'une base de données de Free vendue pour 170 000 $, qui se sont révélées être des canulars. Les pirates utilisent des générateurs de données pour créer des informations fictives, échangées entre eux pour tromper les autres. Cette dynamique souligne que même dans le milieu du piratage, les faux-semblants et les escroqueries sont omniprésents, illustrant un monde où l'image prime sur la réalité. En somme, la cybercriminalité est un théâtre où les acteurs se dupent mutuellement.
Sources :
Les dangers des sites usurpant l’identité de plateformes légitimes
Cet article aborde la problématique croissante des cyberattaques par usurpation, mettant en lumière les méthodes utilisées par les cybercriminels pour tromper les utilisateurs. Il souligne l'importance de la vigilance face aux noms de domaine modifiés, qui peuvent rediriger vers des sites frauduleux, comme dans le cas de faux sites de réservation. Des exemples concrets illustrent les conséquences désastreuses de ces attaques, notamment le vol d'identifiants permettant l'accès à des comptes bancaires et l'introduction de ransomwares dans des réseaux d'entreprises. Le groupe Cuba est cité comme un exemple de cybercriminels exploitant ces techniques. Pour contrer ces menaces, l'article propose plusieurs solutions, telles que l'utilisation d'une base de données collaborative pour identifier les URL malveillantes et l'alerte Google. Il mentionne également l'importance du bon sens et de la vérification des informations avant de fournir des identifiants. Enfin, l'extension « HTTPS Everywhere » est recommandée pour naviguer en toute sécurité. En somme, la prévention et la vigilance sont essentielles pour se protéger contre l'usurpation d'URL et les cyberattaques.
Sources :
L'Allemagne perturbe le malware BADBOX sur 30 000 appareils grâce à Sinkhole Action
L'Office fédéral de la sécurité de l'information d'Allemagne (BSI) a annoncé avoir interrompu une opération de malware nommée BADBOX, préinstallée sur au moins 30 000 appareils connectés à Internet vendus dans le pays. Dans un communiqué, les autorités ont indiqué avoir coupé les communications entre ces appareils et leurs serveurs de commande en utilisant une technique de sinkholing. Les appareils concernés incluent des cadres photo numériques, des lecteurs multimédias et des appareils de streaming, ainsi que potentiellement des téléphones et tablettes. BADBOX, documenté pour la première fois par l'équipe de recherche de HUMAN en octobre 2023, exploite des versions obsolètes d'Android sur des appareils peu coûteux en utilisant des failles dans la chaîne d'approvisionnement. Une fois connectés, ces appareils peuvent collecter des données sensibles et installer d'autres malwares. L'opération, supposée provenir de Chine, comprend également un botnet de fraude publicitaire nommé PEACHPIT. Le BSI a conseillé aux fournisseurs d'accès Internet de rediriger le trafic vers le sinkhole et a exhorté les consommateurs à déconnecter immédiatement les appareils affectés.
Sources :
4 bonnes pratiques pour éviter les attaques phishing dans vos emails marketing
L'email marketing est un outil essentiel, mais il est vulnérable aux attaques de phishing, qui peuvent nuire à la réputation des entreprises. Pour sécuriser vos campagnes, il est crucial d'adopter certaines bonnes pratiques. Premièrement, choisissez un logiciel d’emailing sécurisé, capable de protéger vos envois et de nettoyer vos listes de contacts, réduisant ainsi le risque de piratage. Deuxièmement, soignez le contenu et le design de vos emails : un message clair, sans fautes, et une mise en page professionnelle inspirent confiance. Incluez des éléments légaux comme votre adresse physique et un lien de désabonnement pour rassurer vos destinataires. Troisièmement, éduquez vos clients sur le phishing en leur fournissant des conseils pour reconnaître vos communications officielles et en les informant des types de données que vous ne demandez jamais par email. Enfin, surveillez vos campagnes en analysant les comportements des utilisateurs et les métriques clés. Des anomalies peuvent signaler des tentatives de phishing. En cas de problème, réagissez rapidement pour informer vos contacts et corriger les failles. Ces mesures renforceront la sécurité de vos campagnes et la confiance de vos clients.
Sources :
Des responsables thaïlandais ciblés par une campagne de porte dérobée Yokai utilisant des techniques de chargement latéral de DLL
Des responsables gouvernementaux thaïlandais sont la cible d'une nouvelle campagne malveillante utilisant une technique de DLL side-loading pour déployer un backdoor inédit nommé Yokai. Selon Nikhil Hegde de Netskope, les acteurs de la menace ont choisi des cibles en fonction de leur contexte, bien que Yokai puisse viser n'importe quel objectif. L'attaque débute par une archive RAR contenant des fichiers de raccourci Windows, déguisés en documents officiels américains, liés à Woravit Mektrakarn, un Thaïlandais recherché par les États-Unis pour meurtre. L'exécution de ces fichiers ouvre des documents apparemment innocents tout en installant discrètement un exécutable malveillant. Ce dernier déploie trois fichiers, dont un DLL malveillant, permettant l'activation du backdoor. Yokai établit une connexion avec un serveur de commande et contrôle pour exécuter des commandes sur l'hôte. Parallèlement, Zscaler ThreatLabz a découvert une campagne de malware utilisant des exécutables Node.js pour distribuer des mineurs de cryptomonnaie et des voleurs d'informations. Ces attaques exploitent des liens malveillants dans des descriptions de vidéos YouTube, incitant les utilisateurs à télécharger des archives ZIP déguisées. Les chercheurs soulignent l'importance de mesures de cybersécurité proactives face à cette montée des attaques.
Sources :
Des cyberespions russes ciblent les utilisateurs d'Android avec un nouveau logiciel espion
Des cyberspies russes, connus sous le nom de Gamaredon, ont été découverts en utilisant deux familles de logiciels espions pour Android, appelées 'BoneSpy' et 'PlainGnome', afin d'espionner et de voler des données sur des appareils mobiles. Selon Lookout, BoneSpy est actif depuis 2021, tandis que PlainGnome a émergé en 2024, ciblant principalement des individus russophones dans les anciens États soviétiques. Gamaredon, lié au FSB russe, utilise ces malwares pour des opérations alignées sur les intérêts géopolitiques de la Russie. BoneSpy, basé sur l'application de surveillance open-source 'DroidWatcher', collecte des SMS, enregistre des conversations, capture des données de localisation, et accède à l'historique de navigation. PlainGnome, plus récent et développé sur mesure, utilise un processus d'installation en deux étapes pour être plus furtif et intègre des fonctionnalités avancées pour exfiltrer des données lorsque l'appareil est inactif. Bien que ces malwares n'aient jamais été trouvés sur Google Play, ils sont probablement téléchargés via des sites web ciblés par des techniques d'ingénierie sociale. Google a confirmé que Google Play Protect protège automatiquement contre ces versions connues de malwares.
Sources :
Le géant des pièces automobiles LKQ affirme qu'une cyberattaque a perturbé son unité commerciale canadienne
LKQ Corporation, un géant américain des pièces automobiles, a annoncé qu'une cyberattaque a touché l'une de ses unités commerciales au Canada le 13 novembre 2024, entraînant le vol de données. Dans un dépôt FORM 8-K auprès de la SEC, l'entreprise a précisé que l'accès non autorisé à ses systèmes informatiques a perturbé les opérations de cette unité. Dès la découverte de l'incident, LKQ a mis en œuvre des mesures d'enquête et de récupération, collaborant avec des experts en forensic et alertant les autorités. Bien que l'attaque ait causé des perturbations pendant quelques semaines, l'entreprise estime avoir contenu la menace et que ses autres activités n'ont pas été affectées. Actuellement, l'unité touchée fonctionne presque à pleine capacité. LKQ ne prévoit pas que cet incident ait un impact significatif sur ses résultats financiers pour le reste de l'année fiscale et prévoit de demander un remboursement à son assureur pour les coûts liés à l'attaque. Aucun groupe de ransomware ou acteur malveillant n'a revendiqué la responsabilité de cette cyberattaque.
Sources :
Citrix partage des mesures d'atténuation pour les attaques de mot de passe Netscaler en cours
Citrix a récemment averti d'une augmentation des attaques par "password spray" ciblant ses dispositifs Netscaler, similaires à celles observées sur d'autres plateformes comme Cisco et Microsoft. Ces attaques, qui visent à voler des identifiants de connexion, ont été signalées par l'agence de cybersécurité allemande BSI, indiquant une montée des tentatives de force brute sur les passerelles Netscaler. Les attaquants utilisent une variété de noms d'utilisateur génériques, avec des tentatives atteignant jusqu'à un million. Citrix a publié un bulletin de sécurité proposant des mesures d'atténuation pour réduire l'impact de ces attaques. Parmi les recommandations figurent la configuration de l'authentification multi-facteurs, la création de politiques de réponse pour filtrer les requêtes d'authentification, et le blocage des points de terminaison Netscaler associés aux requêtes d'authentification obsolètes. Citrix souligne que ces mesures s'appliquent uniquement aux dispositifs Netscaler déployés sur site ou dans le cloud, et que les clients utilisant le service Gateway ne nécessitent pas de remédiation. Les instructions détaillées pour appliquer ces mesures sont disponibles dans l'avis de Citrix.
Sources :
La CISA confirme l'exploitation d'un bug critique de Cleo dans des attaques de ransomware
CISA a confirmé aujourd'hui l'exploitation d'une vulnérabilité critique dans les logiciels de transfert de fichiers Cleo Harmony, VLTrader et LexiCom, identifiée sous le code CVE-2024-50623. Cette faille, affectant toutes les versions antérieures à 5.8.0.21, permet à des attaquants non authentifiés d'exécuter du code à distance sur des serveurs vulnérables. Cleo a publié des mises à jour de sécurité en octobre et a exhorté ses clients à mettre à niveau immédiatement leurs systèmes. Bien que la société n'ait pas confirmé que cette vulnérabilité ait été exploitée dans la nature, CISA l'a ajoutée à son catalogue de vulnérabilités exploitées, la liant à des campagnes de ransomware. Les agences fédérales américaines doivent sécuriser leurs réseaux d'ici le 3 janvier 2025. Des chercheurs en cybersécurité ont également découvert que des serveurs Cleo entièrement corrigés étaient compromis via un contournement de la CVE-2024-50623, permettant l'exécution de commandes arbitraires. Cleo a publié des correctifs pour cette nouvelle faille et a conseillé aux utilisateurs de désactiver la fonction Autorun si une mise à jour immédiate n'est pas possible. Des dizaines d'entreprises ont déjà été touchées par ces attaques.
Sources :
Plus de 390 000 identifiants WordPress volés via des exploits PoC d'hébergement de référentiel GitHub malveillants
Un dépôt GitHub récemment supprimé, qui proposait un outil WordPress pour publier des articles, aurait permis l'exfiltration de plus de 390 000 identifiants. Cette activité malveillante fait partie d'une campagne d'attaques menée par un acteur menaçant, désigné MUT-1244, impliquant du phishing et des dépôts GitHub trojanisés hébergeant du code de preuve de concept (PoC) exploitant des vulnérabilités connues. Les victimes incluent des acteurs offensifs tels que des testeurs de pénétration et des chercheurs en sécurité, dont les données sensibles, comme des clés privées SSH et des clés d'accès AWS, ont été compromises. Les chercheurs notent que les acteurs malveillants, y compris des groupes étatiques, ciblent ces chercheurs pour obtenir des informations sur des exploits potentiels. La campagne MUT-1244 utilise également des e-mails de phishing pour inciter les utilisateurs à exécuter des commandes malveillantes. Un dépôt spécifique, "yawpp", contenait des scripts pour valider des identifiants WordPress, mais incluait également un code malveillant via une dépendance npm. Ce dépôt a permis d'exfiltrer des identifiants vers un compte Dropbox contrôlé par l'attaquant. Les chercheurs ont identifié plusieurs méthodes de livraison de malware, soulignant la sophistication de cette campagne.
Sources :
La FTC met en garde contre les escroqueries liées aux tâches en ligne qui attirent les victimes comme des jeux de hasard
La Federal Trade Commission (FTC) met en garde contre la montée des escroqueries en ligne liées aux "tâches", qui ressemblent à des jeux de hasard. Ces arnaques promettent des gains en échange de tâches répétitives, incitant les victimes à investir leur propre argent pour augmenter leurs gains. Alors qu'aucun rapport n'avait été enregistré en 2020, la FTC a reçu 20 000 plaintes au premier semestre 2024, avec des pertes financières dépassant 220 millions de dollars. Environ 40 % de ces pertes sont attribuées aux "tâches", représentant 41 millions de dollars volés. Les escrocs contactent les victimes via des messages non sollicités sur des plateformes comme WhatsApp, en se faisant passer pour des entreprises légitimes telles que Deloitte ou Amazon. Les victimes commencent par recevoir de petites sommes en cryptomonnaie, mais finissent par être poussées à déposer de l'argent pour débloquer des retraits. Beaucoup, attirés par la promesse de gains rapides, perdent des sommes importantes, certains allant jusqu'à 8 500 dollars. La FTC recommande d'ignorer les offres d'emploi non sollicitées et de se méfier des emplois impliquant des tâches rémunérées en ligne, souvent illégaux.
Sources :
La CISA avertit les installations d'eau de sécuriser les systèmes IHM exposés en ligne
Le 13 décembre 2024, la CISA et l'EPA ont averti les installations de traitement de l'eau de sécuriser leurs interfaces homme-machine (HMI) exposées en ligne contre les cyberattaques. Les HMIs permettent aux opérateurs de surveiller et de contrôler des machines industrielles via des dispositifs connectés. En l'absence de contrôles de cybersécurité, des acteurs malveillants peuvent exploiter ces systèmes pour accéder à leurs contenus, effectuer des modifications non autorisées et perturber les processus de traitement de l'eau. En 2024, des hacktivistes pro-russes ont manipulé des HMIs, provoquant des dysfonctionnements dans des systèmes de pompage. L'EPA et la CISA recommandent fortement de renforcer l'accès à distance aux HMIs pour éviter de telles intrusions. Des cyberattaques antérieures ont déjà contraint des installations, comme celle d'Arkansas City, à passer en mode manuel, illustrant l'impact opérationnel majeur de ces attaques. Ces incidents soulignent la vulnérabilité croissante des infrastructures critiques, avec des menaces persistantes de groupes soutenus par des États, notamment la Chine et l'Iran. En réponse, l'EPA a publié des directives pour aider les opérateurs à réduire leur exposition aux cybermenaces.
Sources :
La Russie bloque Viber dans une dernière tentative de censure des communications
Le 13 décembre 2024, l'agence de régulation des télécommunications russes, Roskomnadzor, a bloqué l'application de messagerie chiffrée Viber, utilisée par des centaines de millions d'utilisateurs dans le monde. Cette décision fait suite à des violations présumées de la législation russe concernant la diffusion d'informations. Roskomnadzor a déclaré que cette restriction visait à prévenir l'utilisation de Viber pour des activités terroristes, le recrutement, la vente de drogues et la diffusion d'informations illégales. En juin 2023, un tribunal de Moscou avait déjà condamné Viber à une amende d'un million de roubles pour ne pas avoir supprimé du contenu jugé illégal, notamment des informations sur la guerre en Ukraine. Cette interdiction s'inscrit dans un contexte plus large où la Russie a déjà restreint l'accès à plusieurs applications de messagerie étrangères, y compris Telegram et WhatsApp, et a interdit des services VPN pour des raisons similaires. En août 2024, Apple a également été contraint de retirer 25 applications VPN de son App Store en Russie. La situation souligne la tendance croissante à la censure et à la fragmentation de l'Internet dans des régimes autoritaires.
Sources :
Une vulnérabilité critique d'OpenWrt expose les appareils à une injection de micrologiciel malveillant
Une vulnérabilité critique a été découverte dans la fonctionnalité Attended Sysupgrade (ASU) d'OpenWrt, identifiée sous le code CVE-2024-54143, avec un score CVSS de 9,3. Cette faille, signalée par le chercheur RyotaK le 4 décembre 2024, permettrait à un attaquant d'injecter des commandes arbitraires dans le processus de construction de firmware, entraînant la création d'images malveillantes signées avec une clé de construction légitime. La vulnérabilité résulte d'une injection de commande dans l'imagebuilder et d'une collision de hachage SHA-256 tronqué dans la demande de construction. Cela pourrait permettre à un acteur malveillant de remplacer une image légitime par une image malveillante préalablement construite, représentant un risque majeur pour la chaîne d'approvisionnement des utilisateurs en aval. OpenWrt, un système d'exploitation open-source populaire pour les routeurs et autres dispositifs embarqués, a corrigé le problème dans la version ASU 920c8a1. Les utilisateurs sont fortement conseillés de mettre à jour vers cette version pour se protéger contre d'éventuelles menaces, bien qu'il ne soit pas confirmé que la vulnérabilité ait été exploitée dans la nature.
Sources :
Des cyberespions russes ciblent les utilisateurs d'Android avec un nouveau logiciel espion
Des cyberspies russes, connus sous le nom de Gamaredon, ont été découverts utilisant deux familles de logiciels espions pour Android, appelées 'BoneSpy' et 'PlainGnome', afin d'espionner et de voler des données sur des appareils mobiles. Selon Lookout, BoneSpy est actif depuis 2021, tandis que PlainGnome a émergé en 2024, ciblant principalement des individus russophones dans les anciens États soviétiques. Gamaredon, lié au FSB russe, utilise ces malwares pour des intérêts géopolitiques. BoneSpy, basé sur l'application de surveillance open-source 'DroidWatcher', collecte des SMS, enregistre des conversations, capture des données de localisation, et accède à l'historique de navigation. PlainGnome, plus récent et personnalisé, utilise un processus d'installation en deux étapes pour plus de discrétion et intègre des fonctionnalités avancées, comme l'exfiltration de données lorsque l'appareil est inactif. Bien que ces malwares ne soient pas disponibles sur Google Play, ils sont probablement téléchargés via des sites web ciblés par des techniques d'ingénierie sociale. Malgré leur sophistication croissante, Lookout souligne que ces logiciels espions ne présentent pas de techniques d'obfuscation avancées, facilitant leur analyse. Google Play Protect offre une protection contre ces menaces connues.
