Les fausses pages Google Meet propagent des infostealers : alerte ClickFix en cours - Actus du 18/10/2024
Découvrez comment les voyages aériens en Europe du Nord sont menacés par l'armée russe, les dangers d'un faux site URSAFF et participez à notre webinaire sur la gestion stratégique des données (DSPM) pour renforcer votre sécurité numérique.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les voyages en avion en Europe du Nord pourraient être perturbés par l’armée russe
Depuis l'invasion de l'Ukraine par la Russie, le brouillage des signaux GPS est devenu courant pour les pilotes survolant le nord de l'Europe, notamment en Scandinavie. Les perturbations, qui durent généralement entre six et huit minutes, affectent la navigation des avions, rendant le système GPS, essentiel pour éviter les collisions, inopérant. Bien que les équipages puissent naviguer sans GPS en communiquant avec les stations au sol, cela rappelle des méthodes de navigation d'il y a 30 ans. Les autorités baltes accusent la Russie d'être à l'origine de ces interférences, souvent liées aux installations militaires dans l'exclave de Kaliningrad. Des incidents notables incluent des vols de Finnair contraints de faire demi-tour en raison de la perte de signal. Les pilotes espèrent une mise à jour des logiciels de navigation pour mieux résister à ces brouillages, qui pourraient avoir des conséquences plus graves dans des régions montagneuses. La situation pourrait perturber les voyages, notamment ceux pour observer les aurores boréales cet hiver. Les tensions géopolitiques continuent d'impacter le trafic aérien civil, soulevant des inquiétudes croissantes parmi les compagnies aériennes.
Sources :
Faux site de l’URSAFF : le pirate va faire un massacre
Un faux site web imitant l'URSSAF a été découvert, ciblant les PME, PMI et auto-entrepreneurs français. Ce piège, lancé le 18 octobre, présente une adresse en .fr et un design soigné, rendant l'escroquerie presque indétectable. Le pirate, conscient que de nombreux entrepreneurs gèrent leur comptabilité le week-end, a choisi ce moment stratégique pour frapper. Il demande non seulement les identifiants de connexion, mais également d'autres informations sensibles. L'URSSAF, organisme essentiel pour la collecte des cotisations sociales en France, joue un rôle crucial dans le financement de la sécurité sociale, incluant retraites et allocations familiales. Les données des cotisants sont donc très sensibles, et leur vol pourrait permettre à un individu malveillant de commettre des usurpations d'identité, de créer de fausses entreprises et de détourner des fonds. Cette situation souligne l'importance de la vigilance face aux tentatives de phishing et aux arnaques en ligne, qui peuvent avoir des conséquences désastreuses pour les entrepreneurs. Les victimes potentielles sont donc appelées à se méfier et à vérifier l'authenticité des sites avant de fournir des informations personnelles.
Sources :
Le guide ultime de la gestion des données stratégiques (DSPM) : webinaire sur la création d'une posture de sécurité des données solide
L'article présente la gestion de la posture de sécurité des données (DSPM) comme une solution innovante pour sécuriser les données d'une entreprise, souvent dispersées et vulnérables. DSPM agit comme un outil puissant permettant de visualiser l'ensemble des données, d'identifier les pièces manquantes ou mal placées, et de renforcer la sécurité. Un webinaire intitulé "Construire un programme réussi de gestion de la posture de sécurité des données" est proposé pour aider les entreprises à exploiter pleinement le potentiel de DSPM. Les avantages incluent la découverte de données cachées, la protection contre les menaces et la conformité aux exigences réglementaires, facilitant ainsi la gestion des risques. Benny Bloch, expert en sécurité de Global-e, partagera son expérience sur la transformation de la protection des données grâce à DSPM, offrant des conseils pratiques pour une mise en œuvre efficace. Ce webinaire représente une occasion précieuse pour les entreprises souhaitant renforcer leur posture de sécurité des données et protéger leur actif le plus précieux. Les participants sont encouragés à s'inscrire pour ne pas manquer cette opportunité d'améliorer leur stratégie de sécurité des données.
Sources :
Les États-Unis et leurs alliés mettent en garde contre les cyberattaques iraniennes contre les infrastructures critiques dans le cadre d'une campagne d'un an
Les agences de cybersécurité et de renseignement d'Australie, du Canada et des États-Unis ont averti d'une campagne d'un an menée par des acteurs iraniens pour infiltrer des organisations d'infrastructure critique via des attaques par force brute. Depuis octobre 2023, ces acteurs ont ciblé des secteurs tels que la santé, le gouvernement, l'informatique, l'ingénierie et l'énergie, utilisant des techniques comme le "password spraying" et le bombardement de notifications d'authentification multi-facteurs (MFA). Cette dernière méthode, connue sous le nom de "fatigue MFA", vise à manipuler les utilisateurs pour qu'ils approuvent des demandes d'accès. Les attaques visent à obtenir des informations d'identification et des données sur les réseaux des victimes, qui peuvent ensuite être revendues à d'autres cybercriminels. Les acteurs exploitent également des vulnérabilités comme CVE-2020-1472 pour escalader leurs privilèges et se déplacer latéralement dans les réseaux compromis. Ce phénomène s'inscrit dans un contexte où les groupes de hackers soutenus par des États-nations collaborent de plus en plus avec des cybercriminels pour atteindre des objectifs géopolitiques et financiers. Les agences soulignent que la protection des systèmes d'authentification, comme Active Directory, est cruciale pour contrer ces menaces.
Sources :
Attention : les fausses pages Google Meet diffusent des infostealers dans le cadre de la campagne ClickFix en cours
Des acteurs malveillants exploitent de fausses pages Google Meet dans le cadre d'une campagne de malware nommée ClickFix, visant à déployer des infostealers sur les systèmes Windows et macOS. Selon le rapport de la société française de cybersécurité Sekoia, cette tactique consiste à afficher de faux messages d'erreur pour tromper les utilisateurs, les incitant à exécuter un code PowerShell malveillant. Les variations de la campagne ClickFix, également connue sous les noms ClearFake et OneDrive Pastejacking, se sont multipliées ces derniers mois, utilisant divers leurres pour rediriger les utilisateurs vers des pages frauduleuses. Ces pages imitent des services en ligne populaires, y compris Facebook et Google, et maintenant Google Meet. Sur Windows, l'attaque se termine par le déploiement des voleurs de données StealC et Rhadamanthys, tandis que les utilisateurs macOS reçoivent un fichier image piégé. Sekoia a identifié deux groupes criminels, Slavic Nation Empire et Scamquerteo, utilisant le même modèle ClickFix. Cette situation soulève des inquiétudes quant à l'émergence de nouveaux outils d'infection, rendant la cybersécurité plus complexe pour les professionnels et augmentant les risques pour les entreprises et les particuliers.
Sources :
Football en streaming par IPTV : la justice fait bloquer des dizaines de services pirates en France
Le tribunal judiciaire de Paris a prononcé, le 10 octobre 2024, des jugements visant à déréférencer plusieurs sites de streaming illégaux, en réponse à une demande conjointe des principaux moteurs de recherche en France, Google et Bing, ainsi que des fournisseurs d'accès à Internet (FAI). Parmi les FAI concernés figurent des opérateurs métropolitains et d'outre-mer, tels que Free Caraïbe et Digicel Antilles. Ces actions s'inscrivent dans une lutte plus large contre le piratage, notamment en lien avec la diffusion de matchs de football, où Canal+ a intensifié ses efforts juridiques. En 2024, l'Arcom a signalé le blocage de 1922 services illégaux, une augmentation par rapport à l'année précédente. Le président de l'Arcom a souligné que des offres légales à des prix raisonnables peuvent réduire le piratage, qui a diminué grâce à une meilleure accessibilité des contenus. Cependant, la lutte contre le piratage reste un défi constant, car de nouveaux sites apparaissent régulièrement, nécessitant une vigilance continue des ayants droit pour maintenir l'inaccessibilité de ces plateformes en France.
Sources :
Apple s’est fait piéger par deux applications de streaming illégal
Une nouvelle application, Micros Habits, a récemment trompé l'App Store d'Apple en se présentant comme un gestionnaire de vie quotidienne, alors qu'elle offrait en réalité un service de streaming illégal. Bien qu'Apple soit réputé pour sa rigueur dans la vérification des applications, Micros Habits a réussi à passer entre les mailles du filet pendant plusieurs jours avant d'être signalée sur les réseaux sociaux. L'application permettait aux utilisateurs d'accéder à des films et séries en haute définition, avec la possibilité de les télécharger en échange de la visualisation de publicités. Ce cas soulève des questions sur la capacité d'Apple à contrôler efficacement son App Store, car il semble que le développeur ait utilisé une technique astucieuse pour masquer la véritable nature de l'application lors de la validation. Après la découverte de l'application, Apple a rapidement agi en la supprimant de l'App Store, bien que ceux qui l'avaient déjà téléchargée puissent continuer à l'utiliser. Cet incident met en lumière les défis auxquels Apple est confronté pour maintenir la sécurité et l'intégrité de sa plateforme face à des développeurs malintentionnés.
Sources :
Ligue des champions en streaming : la justice fait bloquer des dizaines de sites IPTV pirates en France
Le tribunal judiciaire de Paris a prononcé, le 10 octobre 2024, des jugements visant à déréférencer plusieurs sites de streaming illégaux, en réponse à une demande de Canal+ et d'autres acteurs du secteur. Les principaux moteurs de recherche, Google et Bing, ainsi que divers fournisseurs d'accès à Internet (FAI), ont été mobilisés pour bloquer l'accès à ces plateformes, qui incluent des services tels que Free Caraïbe et Digicel Antilles. En 2024, l'Arcom a signalé le blocage de 1922 services illégaux, une augmentation par rapport à l'année précédente. Le président de l'Arcom a souligné que des offres légales à des prix raisonnables peuvent réduire le piratage, qui a diminué grâce à l'accès à des contenus abordables. Cependant, la lutte contre le piratage reste un défi, car de nouveaux sites apparaissent régulièrement, nécessitant une vigilance constante des ayants droit. Les mesures incluent des blocages DNS et des déréférencements, mais ces actions ne garantissent pas une solution définitive. La situation soulève des questions sur l'efficacité des offres légales et la nécessité d'une approche équilibrée pour contrer le piratage tout en respectant les droits des consommateurs.
Sources :
Microsoft révèle une vulnérabilité macOS qui contourne les contrôles de confidentialité dans le navigateur Safari
Microsoft a révélé une vulnérabilité récemment corrigée dans le cadre de transparence, consentement et contrôle (TCC) d'Apple sur macOS, exploitée pour contourner les préférences de confidentialité des utilisateurs. Nommée HM Surf et suivie sous le code CVE-2024-44133, cette faille permet d'accéder aux données personnelles sans consentement, notamment l'historique de navigation, la caméra, le microphone et la localisation. Microsoft a indiqué que la correction a été intégrée dans macOS Sequoia 15, en supprimant le code vulnérable. L'exploitation HM Surf consiste à modifier des fichiers de configuration dans le répertoire de Safari, permettant ainsi aux attaquants de contourner les protections TCC. Bien que TCC soit conçu pour protéger les informations personnelles, cette faille permet aux applications d'Apple, comme Safari, d'accéder librement à des permissions sensibles. Microsoft a également observé une activité suspecte liée à un logiciel publicitaire macOS, AdLoad, qui pourrait exploiter cette vulnérabilité. Il est donc crucial pour les utilisateurs de mettre à jour leurs systèmes. Microsoft travaille avec d'autres navigateurs pour renforcer la sécurité des fichiers de configuration locaux, soulignant l'importance de se protéger contre de telles attaques.
Sources :
Microsoft prévient qu'il a perdu les journaux de sécurité de certains clients pendant un mois
Microsoft a averti ses clients d'entreprise qu'un bug a entraîné la perte partielle de journaux de sécurité pendant près d'un mois, compromettant ainsi la capacité des entreprises à détecter des activités non autorisées. Ce problème, signalé pour la première fois par Business Insider, a affecté la collecte de données de journalisation entre le 2 et le 19 septembre, avec des impacts persistants jusqu'au 3 octobre pour certains services. Les journaux perdus incluent des données critiques pour surveiller le trafic suspect et les tentatives de connexion. Les services touchés comprennent Azure Logic Apps, Azure Healthcare APIs, Microsoft Sentinel, Azure Monitor, Azure Trusted Signing, Azure Virtual Desktop et Power Platform, chacun présentant des lacunes dans les données de journalisation. Bien que Microsoft ait corrigé le bug, des experts en cybersécurité, comme Kevin Beaumont, ont signalé que certaines entreprises n'avaient pas été informées de la perte de leurs données. Cet incident survient un an après des critiques de la part de la CISA et des législateurs concernant l'accès limité aux données de journalisation. En réponse, Microsoft a élargi ses capacités de journalisation gratuites pour les clients de Purview Audit standard en février 2024.
Sources :
De fausses erreurs de conférence Google Meet diffusent des logiciels malveillants de vol d'informations
Une nouvelle campagne de phishing, nommée ClickFix, exploite de fausses pages de conférences Google Meet pour diffuser des malwares volants d'informations sur les systèmes Windows et macOS. Apparue en mai, cette tactique de manipulation sociale, rapportée par Proofpoint, incite les victimes à copier un code PowerShell prétendument nécessaire pour résoudre des erreurs de connexion. En réalité, ce code infecte les ordinateurs avec divers malwares, tels que DarkGate et Lumma Stealer. McAfee a noté une augmentation de ces campagnes, particulièrement aux États-Unis et au Japon. Selon un rapport de Sekoia, les campagnes ClickFix ont évolué pour cibler des entreprises de transport et de logistique via des e-mails de phishing, des pages Facebook trompeuses et des problèmes GitHub. Les acteurs de la menace, notamment les groupes Slavic Nation Empire et Scamquerteo, utilisent des URL similaires à celles de Google Meet pour tromper les utilisateurs. Une fois sur la fausse page, les victimes reçoivent un message d'erreur technique et, en cliquant sur "Essayer de réparer", elles déclenchent l'infection. Les malwares finaux incluent Stealc ou Rhadamanthys pour Windows et AMOS Stealer pour macOS.
Sources :
Le FBI arrête un homme de l'Alabama soupçonné d'avoir piraté le compte X de la SEC
Un homme de 25 ans, Eric Council, a été arrêté par le FBI pour son rôle présumé dans le piratage du compte X de la SEC, où une fausse annonce affirmant que les ETF Bitcoin avaient été approuvés a été publiée. Selon le ministère de la Justice, Council et ses complices ont réalisé une attaque par SIM swapping pour usurper l'identité du responsable du compte. Cette méthode consiste à convaincre un opérateur de téléphonie mobile de transférer un numéro de téléphone vers une carte SIM contrôlée par un criminel. Ils ont créé un document d'identité frauduleux pour se faire passer pour la victime, ont pris le contrôle de son compte téléphonique et ont accédé au compte X de la SEC. Le faux tweet, publié le 9 janvier 2024, a provoqué une hausse rapide du prix du Bitcoin de 1 000 dollars, suivie d'une chute de 2 000 dollars après que la SEC a confirmé le piratage. Council a été inculpé le 10 octobre pour conspiration en vue de commettre un vol d'identité aggravé et fraude d'accès, risquant jusqu'à cinq ans de prison. Les attaques par SIM swapping sont de plus en plus courantes pour voler des cryptomonnaies.
Sources :
Des informaticiens nord-coréens infiltrés volent désormais des données et extorquent des employeurs
Des travailleurs informatiques nord-coréens infiltrent des entreprises occidentales en se faisant passer pour des professionnels qualifiés, dans le but de voler des données et d'extorquer des rançons. Cette stratégie, utilisée depuis des années par la Corée du Nord, permet d'accéder à des informations sensibles pour des cyberattaques ou de financer des programmes d'armement. Des chercheurs de Secureworks ont révélé que, après la fin de leur contrat, ces travailleurs envoient des courriels d'extorsion aux entreprises, menaçant de divulguer des données volées. Pour éviter d'éveiller les soupçons, ils utilisent des identités falsifiées et des infrastructures de contournement pour masquer leur localisation. En juillet, KnowBe4 a signalé avoir été victime de cette tactique, où un acteur malveillant a tenté d'installer un logiciel de vol de données. Secureworks a identifié le groupe derrière ces opérations sous le nom de "Nickel Tapestry". Un cas étudié a montré qu'après l'embauche d'un contractant, des données ont été transférées vers un stockage cloud personnel, suivies d'exigences de rançon en cryptomonnaie. Les entreprises doivent être vigilantes lors de l'embauche de travailleurs à distance et rechercher des signes de fraude.
Sources :
Les attaques de RomCom russes visent le gouvernement ukrainien avec une nouvelle variante du RAT SingleCamper
Le groupe de cybercriminalité russe connu sous le nom de RomCom est lié à une nouvelle vague d'attaques ciblant des agences gouvernementales ukrainiennes et des entités polonaises depuis fin 2023. Ces intrusions utilisent une variante du RomCom RAT, appelée SingleCamper, qui communique via une adresse de boucle locale. RomCom, également suivi sous d'autres noms, a mené des opérations variées, notamment des ransomwares et des extorsions, depuis son apparition en 2022. Les chercheurs de Cisco Talos notent une intensification des attaques, visant à établir une persistance à long terme sur les réseaux compromis pour exfiltrer des données, suggérant une intention d'espionnage. Les chaînes d'attaque commencent par des messages de spear-phishing, déployant des malwares comme ShadyHammock et DustyHammock. SingleCamper permet des activités post-compromission, telles que la reconnaissance réseau et l'exfiltration de données. Parallèlement, le CERT-UA a averti d'attaques menées par un autre acteur, UAC-0050, visant à voler des fonds et des informations sensibles, utilisant divers malwares. Ces menaces soulignent l'augmentation des cyberattaques en Ukraine, avec des implications financières significatives pour les entreprises ukrainiennes.
Sources :
Le ransomware BianLian revendique une attaque contre les médecins du Boston Children's Health
Le groupe de ransomware BianLian a revendiqué une cyberattaque contre Boston Children's Health Physicians (BCHP), menaçant de divulguer des fichiers volés si une rançon n'est pas payée. BCHP, qui regroupe plus de 300 médecins pédiatriques dans le nord de l'État de New York et le Connecticut, a détecté une activité non autorisée sur son réseau après une compromission de son fournisseur informatique le 6 septembre. Une enquête a confirmé que des acteurs malveillants avaient accédé aux systèmes de BCHP et exfiltré des données sensibles, touchant les employés, patients et garants. Les informations exposées incluent des noms, numéros de sécurité sociale, adresses, dates de naissance, numéros de permis de conduire, numéros de dossiers médicaux, informations d'assurance santé et de facturation. BCHP a précisé que ses systèmes de dossiers médicaux électroniques n'ont pas été affectés, étant hébergés sur un réseau séparé. Les personnes touchées recevront une lettre d'information d'ici le 25 octobre, avec des services de surveillance de crédit pour celles dont les données sensibles ont été compromises. Bien que BianLian ait ajouté BCHP à son portail d'extorsion, aucune donnée n'a encore été divulguée, laissant entendre des négociations en cours.
