Les pirates chinois exploitent mavinject.exe pour échapper à la détection - Actus du 18/02/2025
Découvrez pourquoi les dirigeants restent responsables des cyberattaques malgré les avancées en sécurité. Apprenez comment les pirates chinois utilisent mavinject.exe et comment Intruder révolutionne la détection de vulnérabilités grâce à l'IA. Ne manquez pas notre analyse!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Vous êtes encore responsable des risques de cyberattaque dans votre entreprise, d’après un sondage
Un sondage réalisé par LockSelf et Opinion Way révèle que, malgré une prise de conscience générale des enjeux de cybersécurité, de nombreux salariés en France adoptent des comportements à risque au travail. Près de 46 % des employés cliquent sur des liens suspects dans leurs e-mails, tandis que 44 % téléchargent des fichiers sans vérifier leur provenance. Bien que 94 % des sondés se disent capables de reconnaître un e-mail frauduleux, il existe un décalage alarmant entre cette conscience et les actions réelles. De plus, l'utilisation d'outils professionnels à des fins personnelles, comme faire des achats en ligne, est courante, avec 50 % des salariés admettant cette pratique. La réutilisation de mots de passe est également problématique, 63 % des employés utilisant les mêmes identifiants sur plusieurs comptes, ce qui augmente les risques de piratage. Les experts conseillent d'utiliser des mots de passe complexes et uniques, et de recourir à des gestionnaires de mots de passe pour renforcer la sécurité. En somme, bien que la cybersécurité soit perçue comme une responsabilité collective, les comportements à risque persistent, exposant les entreprises à des menaces croissantes.
Sources :
Les pirates chinois exploitent mavinject.exe pour échapper à la détection dans les cyberattaques ciblées
Le groupe de cybermenaces soutenu par l'État chinois, connu sous le nom de Mustang Panda, a récemment été observé utilisant une technique innovante pour échapper à la détection et maintenir le contrôle sur les systèmes infectés. Selon une analyse de Trend Micro, ce groupe exploite un utilitaire légitime de Microsoft, le Microsoft Application Virtualization Injector (MAVInject.exe), pour injecter un code malveillant dans un processus externe, waitfor.exe, lorsque l'antivirus ESET est détecté. L'attaque commence par un exécutable ("IRSetup.exe") qui déploie plusieurs fichiers, y compris des exécutables légitimes et des composants malveillants, ainsi qu'un document PDF trompeur ciblant des utilisateurs basés en Thaïlande. Le malware utilise également un logiciel d'installation, Setup Factory, pour exécuter le code malveillant tout en évitant la détection. Une fois en place, le malware vérifie la présence de processus liés à ESET et, si détectés, utilise MAVInject.exe pour injecter le code malveillant sans être repéré. Ce code permet d'établir des connexions avec un serveur distant pour recevoir des commandes, facilitant ainsi l'exfiltration de données. Le malware est une variante du backdoor TONESHELL, intégrée à une application légitime d'Electronic Arts.
Sources :
Intruder améliore la plate-forme d'intelligence de vulnérabilité gratuite «Intel» avec des descriptions de CVE générées par l'IA
Intruder, un leader dans la gestion de la surface d'attaque, a lancé des descriptions générées par l'IA pour les vulnérabilités communes (CVEs) sur sa plateforme gratuite Intel. Cette fonctionnalité vise à améliorer la compréhension et l'évaluation des vulnérabilités par les professionnels de la cybersécurité, en répondant à un problème fréquent : les descriptions souvent vagues et techniques fournies par la National Vulnerability Database (NVD). Avec des milliers de vulnérabilités publiées chaque année, les équipes de sécurité dépendent de la NVD, mais ses descriptions manquent souvent de clarté, rendant difficile l'évaluation rapide de l'impact potentiel. Les résumés générés par l'IA d'Intel transforment ces descriptions en informations claires et exploitables, permettant une réponse plus rapide aux risques. Chris Wallis, PDG d'Intruder, souligne que ces résumés facilitent la gestion des vulnérabilités. De plus, les experts en sécurité d'Intruder examinent manuellement les descriptions des vulnérabilités critiques, qui sont marquées d'un label "Vérifié par Intruder". Intel, qui offre déjà des fonctionnalités puissantes, renforce ainsi sa valeur en tant que ressource essentielle pour les professionnels de la cybersécurité. Les descriptions générées par l'IA sont désormais disponibles sur intel.intruder.io.
Sources :
Microsoft Patch Mardi février 2025 corrige quelques défauts zéro jour
Ce mois-ci, les mises à jour Patch Tuesday de Microsoft ont introduit plus de 50 correctifs de sécurité, marquant une mise à jour relativement modeste par rapport à celle de janvier. Cependant, l'importance de cette mise à jour de février réside dans les correctifs pour quatre vulnérabilités zero-day. Parmi celles-ci, deux ont été divulguées publiquement sans exploitation active, tandis que les deux autres ont été attaquées avant d'être corrigées.
Les vulnérabilités notables incluent :
- CVE-2025-21418, une élévation de privilèges dans le pilote Windows Ancillary Function Driver pour WinSock, exploitée activement.
- CVE-2025-21391, une autre élévation de privilèges dans Windows Storage, permettant à un attaquant de supprimer des données critiques.
- CVE-2025-21194, un contournement de sécurité dans Microsoft Surface, qui nécessitait des conditions spécifiques pour être exploité.
- CVE-2025-21377, une vulnérabilité de spoofing affectant la divulgation de hachage NTLM.
En plus de ces vulnérabilités, Microsoft a corrigé trois autres vulnérabilités critiques, dont deux liées à l'exécution de code à distance. Les utilisateurs doivent mettre à jour rapidement leurs appareils pour bénéficier de ces correctifs et se protéger contre d'éventuelles menaces.
Sources :
Les nouveaux logiciels malveillants FrigidStealer ciblent les utilisateurs macOS via de fausses mises à jour du navigateur
Des chercheurs en cybersécurité mettent en garde contre une nouvelle campagne exploitant des injecteurs web pour diffuser un malware macOS nommé FrigidStealer. Cette activité est attribuée à un acteur de menace non documenté, TA2727, qui utilise des leurres de fausses mises à jour pour distribuer divers malwares, notamment Lumma Stealer et Marcher sur d'autres plateformes. TA2727, actif depuis septembre 2022, collabore avec TA2726, un opérateur de système de distribution de trafic malveillant, et TA569, responsable de la diffusion de malware JavaScript. Les deux acteurs partagent des méthodes similaires, mais TA2727 adapte ses chaînes d'attaque en fonction de la géographie et du dispositif de la victime. Par exemple, un utilisateur Windows en France pourrait être redirigé vers un installateur de Lumma Stealer, tandis qu'un utilisateur Android pourrait recevoir le trojan bancaire Marcher. En janvier 2025, la campagne a été mise à jour pour cibler les utilisateurs macOS en dehors de l'Amérique du Nord, les redirigeant vers une page de mise à jour factice pour télécharger FrigidStealer. Ce malware, écrit en Go, utilise AppleScript pour obtenir des privilèges élevés et collecter des informations sensibles. Les acteurs malveillants exploitent des compromis web pour cibler à la fois les utilisateurs d'entreprise et les consommateurs.
Sources :
Les perturbations du journal de Lee Enterprises causées par l'attaque des ransomwares
Lee Enterprises, un important groupe de presse américain, a confirmé qu'une attaque par ransomware a causé des perturbations dans ses opérations depuis plus de deux semaines. Publieur de 77 journaux quotidiens et de 350 publications hebdomadaires à travers 26 États, Lee atteint une circulation quotidienne de plus de 1,2 million d'exemplaires et plus de 44 millions de visiteurs uniques en ligne. L'attaque, survenue le 3 février 2025, a entraîné une panne des systèmes, avec un accès non autorisé au réseau de l'entreprise, le chiffrement d'applications critiques et l'exfiltration de fichiers. Les opérations de distribution, de facturation et de paiements aux fournisseurs ont été affectées, entraînant des retards dans la distribution des publications imprimées et des limitations des opérations en ligne. Bien que les produits principaux soient de nouveau distribués normalement depuis le 12 février, les produits hebdomadaires n'ont pas encore été rétablis, représentant 5 % des revenus d'exploitation de l'entreprise. Lee enquête également sur une éventuelle exposition de données sensibles. En réponse, des mesures temporaires ont été mises en place pour maintenir les fonctions critiques pendant la restauration des systèmes. Ce n'est pas la première fois que Lee subit une cyberattaque, ayant déjà été ciblé en 2020.
Sources :
Session des Juniper La vulnérabilité des routeurs intelligents pourrait permettre aux attaquants de contourner l'authentification
Juniper Networks a publié des mises à jour de sécurité pour corriger une vulnérabilité critique affectant ses produits Session Smart Router, Session Smart Conductor et WAN Assurance Router, qui pourrait permettre à un attaquant de prendre le contrôle des appareils vulnérables. Cette faille, identifiée sous le nom CVE-2025-21589, a un score CVSS v3.1 de 9.8 et un score CVS v4 de 9.3. Selon l'avis de l'entreprise, cette vulnérabilité permet à un attaquant basé sur le réseau de contourner l'authentification et d'accéder aux contrôles administratifs du dispositif. Les versions concernées incluent plusieurs itérations des produits mentionnés, notamment celles antérieures à 5.6.17 pour Session Smart Router et Conductor, ainsi que des versions spécifiques pour WAN Assurance. Juniper a découvert cette vulnérabilité lors de tests de sécurité internes et n'a pas connaissance d'exploitations malveillantes. Les failles ont été corrigées dans les versions SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts et SSR-6.3.3-r2. De plus, les dispositifs utilisant WAN Assurance connectés à Mist Cloud ont été automatiquement mis à jour, bien qu'il soit recommandé de procéder à une mise à niveau manuelle vers les versions corrigées.
Sources :
Proofpoint identifie deux nouveaux acteurs cybercriminels et un nouveau malware pour Mac
L’équipe de Threat Research de Proofpoint a identifié deux nouveaux acteurs de la cybercriminalité, TA2726 et TA2727, qui exploitent des campagnes d’injection web et diffusent un nouveau malware pour macOS, nommé « FrigidStealer ». Historiquement, ces campagnes étaient dominées par le groupe TA569, mais l’émergence de ces imitateurs complique le suivi des menaces. TA2726 agit comme un service de distribution de trafic (TDS) pour TA569 et TA2727, ce dernier étant responsable de la diffusion de FrigidStealer, qui cible les utilisateurs de Mac via des sites compromis proposant de fausses mises à jour. Les chercheurs soulignent l’utilisation de techniques sophistiquées, telles que le piratage de sites et le filtrage des agents utilisateurs, pour adapter les charges utiles en fonction de la géographie et du système d’exploitation. Cette évolution des tactiques met en lumière le risque accru pour les utilisateurs de Mac, souvent perçus comme moins vulnérables. Les chercheurs insistent sur l’importance de la formation des utilisateurs et de la vigilance en matière de sécurité des sites web, souvent externalisée, pour contrer ces menaces. Le rapport complet est accessible sur le site de Proofpoint.
Sources :
Debunking the Ai Hype: Inside Real Hacker Tactics
L'article examine si l'intelligence artificielle (IA) modifie réellement le paysage des menaces cybernétiques ou si l'engouement médiatique masque des dangers plus concrets. Selon le Red Report 2025 de Picus Labs, qui a analysé plus d'un million d'échantillons de logiciels malveillants, il n'y a pas eu d'augmentation significative des attaques basées sur l'IA jusqu'à présent. Les données révèlent que les techniques d'attaque traditionnelles restent efficaces pour contrer la majorité des menaces. Les équipes de cybersécurité doivent se concentrer sur l'identification des lacunes critiques dans leurs défenses plutôt que de se laisser distraire par l'impact potentiel de l'IA. Le rapport souligne l'importance d'une gestion rigoureuse des identifiants et d'une détection proactive des menaces. Les logiciels malveillants modernes, tels que les infostealers, utilisent des techniques d'exfiltration et de furtivité, rendant leur détection difficile. En se concentrant sur des fondamentaux de cybersécurité, comme la protection des identifiants et la validation continue de la sécurité, les organisations peuvent mieux se défendre contre les menaces actuelles. Le Picus Security Validation Platform aide à évaluer et renforcer les défenses des entreprises, permettant ainsi de se concentrer sur les menaces réelles plutôt que sur le battage médiatique autour de l'IA.
Sources :
Winnti APT41 cible les entreprises japonaises dans la campagne de cyber-espionnage Revivalstone
Le groupe de cyberespionnage lié à la Chine, connu sous le nom de Winnti, a été associé à une nouvelle campagne appelée RevivalStone, ciblant des entreprises japonaises dans les secteurs de la fabrication, des matériaux et de l'énergie en mars 2024. Selon la société de cybersécurité japonaise LAC, cette activité chevauche un cluster de menaces suivi par Trend Micro sous le nom d'Earth Freybug, considéré comme un sous-ensemble du groupe APT41. Winnti, actif depuis 2012, utilise des techniques sophistiquées pour mener des attaques d'espionnage et empoisonner la chaîne d'approvisionnement, en exploitant des vulnérabilités dans des applications publiques. Les attaques récentes ont impliqué des malwares tels que DEATHLOTUS, UNAPIMON et PRIVATELOG, permettant des accès persistants et la collecte d'informations critiques. La dernière chaîne d'attaque a exploité une vulnérabilité d'injection SQL dans un système ERP pour déployer des web shells et a élargi son intrusion en compromettant un fournisseur de services gérés. Les chercheurs ont également noté des références à TreadStone et StoneV5, suggérant des mises à jour potentielles du malware Winnti. Parallèlement, Fortinet a révélé une suite d'attaques Linux, SSHDInjector, associée à un autre groupe de hackers chinois, Daggerfly.
Sources :
Compte à rebours quantique : les mesures à prendre contre les nouvelles menaces émergentes
Le cryptage RSA pourrait être compromis dès 2028, incitant les entreprises à se préparer à l'ère post-quantique. Keyfactor souligne trois mesures essentielles pour anticiper cette transition. Premièrement, il est crucial d'évaluer l'exposition aux risques, car les menaces quantiques affecteront tous les secteurs, de l'administration à la finance. Les entreprises doivent agir rapidement pour protéger leurs systèmes actuels tout en se préparant pour l'avenir. Deuxièmement, la planification d'une migration vers la sécurité quantique est indispensable. L'utilisation de certificats hybrides, qui combinent des algorithmes quantiques avec des systèmes existants, représente une étape clé. Une migration progressive, en parallèle d'une infrastructure PKI classique, permettra une transition en douceur. Enfin, la collaboration entre le secteur public et privé est essentielle pour relever les défis posés par le quantique. Les entreprises doivent s'engager dans des discussions sectorielles et s'associer à des acteurs déterminés à faire avancer les normes de cryptographie post-quantique. En évaluant les risques, en planifiant la migration et en collaborant, les entreprises pourront se préparer efficacement aux cybermenaces émergentes et maintenir leur compétitivité dans un monde à sécurité quantique.
Sources :
Les nouveaux défauts de l'imprimante Xerox pourraient permettre aux attaquants de capturer Windows Active Directory des informations d'identification
Des vulnérabilités de sécurité ont été révélées dans les imprimantes multifonctions Xerox VersaLink C7025, permettant à des attaquants de capturer des informations d'authentification via des attaques de type "pass-back" utilisant les protocoles LDAP et SMB/FTP. Selon Deral Heiland, chercheur en sécurité chez Rapid7, ces attaques exploitent une faille permettant à un acteur malveillant de modifier la configuration de l'imprimante et de rediriger les informations d'authentification vers un serveur contrôlé par l'attaquant. Les vulnérabilités, affectant les versions de firmware 57.69.91 et antérieures, incluent CVE-2024-12510 (score CVSS : 6.7) et CVE-2024-12511 (score CVSS : 7.6). L'exploitation réussie de ces failles pourrait permettre la capture de données d'authentification pour Windows Active Directory, facilitant ainsi des mouvements latéraux dans l'environnement d'une organisation. Un correctif a été publié dans le Service Pack 57.75.53. En attendant, il est conseillé aux utilisateurs de renforcer la sécurité de leurs comptes administratifs et de désactiver l'accès à distance pour les utilisateurs non authentifiés. Parallèlement, une vulnérabilité SQL dans le logiciel de santé HealthStream MSOW a été identifiée, exposant des données sensibles de 23 organisations de santé.
Sources :
Les cybercriminels exploitent l'événement onerror dans des balises d'image pour déployer des skimmers de paiement
Des chercheurs en cybersécurité ont identifié une campagne de malware visant à voler des informations de carte de crédit sur des sites e-commerce utilisant Magento. Ce malware, connu sous le nom de MageCart, dissimule son contenu malveillant dans des balises
du code HTML pour éviter d'être détecté. Les attaques se déclenchent généralement lors de la visite des pages de paiement, où le malware peut soit servir un faux formulaire, soit capturer les informations saisies en temps réel. Les cybercriminels ont adapté leurs techniques au fil des ans, utilisant des méthodes d'encodage et d'obfuscation pour masquer le code malveillant dans des fichiers apparemment inoffensifs. Dans ce cas, le contenu malveillant est dissimulé dans une balise
, qui déclenche l'exécution d'un code JavaScript lors d'un événement d'erreur. Cela permet au malware de passer inaperçu, car les balises
sont généralement considérées comme inoffensives. Une fois sur la page de paiement, le script insère un formulaire malveillant pour exfiltrer des données sensibles vers un serveur externe. Les attaquants cherchent à rester indétectés le plus longtemps possible, rendant leurs techniques plus complexes que celles des malwares courants.
Sources :
Chase bloquera bientôt les paiements Zelle aux vendeurs sur les réseaux sociaux
JPMorgan Chase a annoncé qu'il bloquera bientôt les paiements Zelle vers des contacts sur les réseaux sociaux afin de lutter contre une augmentation significative des escroqueries en ligne utilisant ce service. Zelle, un réseau de paiements numériques très populaire, permet des transferts d'argent rapides entre comptes bancaires, mais ne propose pas de protection des achats. Dans une mise à jour de sa politique, Chase a précisé que Zelle ne doit pas être utilisé pour acheter des biens auprès de détaillants ou de commerçants, y compris sur les réseaux sociaux. Selon des rapports, près de 50 % des escroqueries signalées par les clients de Chase entre juin et décembre 2024 provenaient des réseaux sociaux. À partir du 23 mars, la banque commencera à retarder ou bloquer les paiements Zelle identifiés comme provenant de contacts sur les réseaux sociaux. Cette décision fait suite à une poursuite du Bureau de protection financière des consommateurs (CFPB) contre Zelle et ses banques propriétaires pour avoir lancé le service sans protections adéquates, entraînant des pertes de plus de 870 millions de dollars pour les consommateurs. Chase vise ainsi à protéger ses clients contre les fraudes en ligne.
Sources :
Microsoft pour supprimer la fonction d'historique de localisation dans Windows
Microsoft a annoncé la suppression de la fonctionnalité d'historique de localisation dans Windows, qui permettait à des applications comme l'assistant virtuel Cortana d'accéder à l'historique de localisation de l'appareil. Cette décision signifie que les données ne seront plus enregistrées localement et que l'option disparaîtra des systèmes d'exploitation Windows 10 et 11. Selon l'annonce de Microsoft, l'API associée, 'Geolocator.GetGeopositionHistoryAsync', fournissait aux applications des données stockées localement, collectées par les services de localisation au cours des 24 dernières heures. Microsoft précise que les services de localisation ne collectent des positions que lorsque cela est demandé par une application, et ce, pas plus d'une fois par seconde. Les développeurs sont invités à revoir leurs applications utilisant l'API Windows.Devices.Geolocation et à migrer vers d'autres solutions pour éviter des dysfonctionnements futurs. De plus, l'option de services de localisation sera supprimée des paramètres de Windows, permettant aux utilisateurs de désactiver complètement l'accès aux données de localisation. Une fois désactivée, les utilisateurs peuvent effacer les données de localisation des dernières 24 heures.
Sources :
X bloque maintenant les liens de contact du signal, les signale comme malveillants
La plateforme de médias sociaux X (anciennement Twitter) bloque désormais les liens vers "Signal.me", une URL utilisée par l'application de messagerie cryptée Signal pour partager des informations de contact. Des tests effectués par BleepingComputer et des rapports d'utilisateurs montrent que toute tentative de publier des liens Signal.me, que ce soit dans des messages publics, des messages directs ou des bios de profil, entraîne des messages d'erreur indiquant des risques de spam ou de logiciels malveillants. Ce blocage semble être une mesure récente, car les utilisateurs pouvaient auparavant partager ces liens sans problème. D'autres liens associés à Signal, comme Signal.org, ne sont pas affectés. Les liens déjà publiés restent cliquables, mais un avertissement de sécurité apparaît. Les raisons de ce blocage demeurent floues, certains chercheurs suggérant qu'il pourrait s'agir d'une décision politique, surtout après que Signal a été utilisé par des employés fédéraux pour signaler des violations. Ce comportement rappelle les précédents blocages de liens vers des plateformes concurrentes, comme Mastodon, après l'acquisition de Twitter par Elon Musk. X n'a pas encore commenté cette situation, et Signal a été contacté pour obtenir des éclaircissements.
Sources :
Ne cliquez pas sur ce faux SMS de BNP Paribas, c’est un piège de hackers
Depuis début 2025, BNP Paribas fait face à une campagne de phishing où des cybercriminels envoient des SMS frauduleux aux clients, prétendant qu'ils doivent "activer leur nouvelle clé digitale" sous 24 heures. En cliquant sur le lien, les victimes sont redirigées vers un site imitant parfaitement celui de la banque, où elles sont invitées à entrer leurs identifiants et codes de connexion, qui sont ensuite volés par les hackers. Ces escroqueries touchent également d'autres institutions financières comme la Société Générale et le Crédit Agricole. Romain Basset, expert en cybersécurité, met en garde contre ces messages et souligne que les sites frauduleux sont hébergés en Russie, souvent liés à d'autres activités criminelles. En cas de clic sur un SMS suspect, il est conseillé de ne pas paniquer, de vérifier directement avec la banque et de changer ses informations sensibles si nécessaire. Les experts évoquent une véritable industrie du phishing, soutenue par des infrastructures complexes et des réseaux de télécommunications. Malgré les efforts des forces de l'ordre pour fermer ces plateformes, le phishing reste un phénomène quotidien, rendant la vigilance essentielle pour les utilisateurs.
Sources :
Microsoft découvre une nouvelle variante de malware macOS XCSset avec des tactiques d'obscuscations avancées
Microsoft a récemment découvert une nouvelle variante du malware macOS XCSSET, connu pour cibler les utilisateurs via des projets Xcode. Cette version, la première depuis 2022, présente des méthodes d'obfuscation améliorées, des mécanismes de persistance mis à jour et de nouvelles stratégies d'infection. XCSSET est un malware modulaire sophistiqué, capable de cibler des portefeuilles numériques et d'exfiltrer des données d'applications comme Notes et d'autres fichiers système. Initialement documenté par Trend Micro en août 2020, il a évolué pour compromettre des versions récentes de macOS et les chipsets M1 d'Apple. Des mises à jour antérieures ont permis au malware d'extraire des données de diverses applications, y compris Google Chrome et Skype, et d'exploiter des vulnérabilités pour prendre des captures d'écran sans autorisation. La dernière variante améliore la persistance en téléchargeant un utilitaire dockutil signé depuis un serveur de commande et contrôle, remplaçant ainsi l'entrée du chemin du Launchpad légitime par une application malveillante. Cela garantit que chaque fois que le Launchpad est lancé, le malware s'exécute également, rendant son analyse plus difficile. Les origines de XCSSET demeurent inconnues.
