Nouveau malware Vo1d infecte des millions de boîtiers TV Android - Actus du 12/09/2024
Découvrez les détails sur la violation de données d'août 2024, les dangers du malware Vo1d qui infecte 1,3 million de boîtiers TV Android et la cyberattaque majeure chez Slim CD compromettant 1,7 million de données bancaires. Restez informé pour protéger vos informations!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Avis victime d’une violation de données en août 2024 : ce qu’il faut savoir
En août 2024, Avis, le géant de la location de voitures, a annoncé une violation de données touchant l'une de ses applications commerciales, compromettant les informations personnelles de certains clients. L'accès non autorisé a eu lieu entre le 3 et le 6 août, mais Avis n'a découvert la brèche que le 14 août. En réponse, l'entreprise a immédiatement bloqué l'accès des cybercriminels et a lancé une enquête avec des experts en cybersécurité pour évaluer l'ampleur de l'attaque. Bien qu'Avis n'ait pas précisé le nombre exact de clients affectés, des alertes ont été envoyées à plusieurs États américains, évoquant potentiellement 300 000 clients concernés. Les données compromises incluent des noms et des informations personnelles sensibles, exposant les victimes à des risques accrus de vol d'identité et de fraude financière. Cet incident souligne la vulnérabilité des grandes entreprises face aux cyberattaques, en particulier celles manipulant d'importants volumes de données clients. Avis a déclaré travailler à renforcer la sécurité de l'application touchée et à mettre en œuvre des mesures de protection supplémentaires sur l'ensemble de ses systèmes pour éviter de futures violations.
Sources :
Attention : le nouveau malware Vo1d infecte 1,3 million de boîtiers TV Android dans le monde
Près de 1,3 million de boîtiers TV Android, fonctionnant avec des versions obsolètes du système d'exploitation, ont été infectés par un nouveau malware nommé Vo1d. Ce logiciel malveillant, décrit comme une porte dérobée, permet aux attaquants de télécharger et d'installer secrètement des logiciels tiers. Les infections sont principalement détectées dans des pays comme le Brésil, le Maroc et l'Argentine. L'origine de l'infection reste inconnue, mais elle pourrait résulter d'une compromission antérieure ou de l'utilisation de firmwares non officiels. Les modèles de TV ciblés incluent le KJ-SMART4KVIP et le R4. L'attaque consiste à remplacer le fichier daemon "/system/bin/debuggerd" et à introduire deux nouveaux fichiers contenant le code malveillant. Les auteurs du trojan ont probablement tenté de masquer un de ses composants sous le nom d'un programme système similaire. Le payload "vo1d" active le module "wd", permettant ainsi de télécharger et d'exécuter des fichiers à distance. Ce type d'infection est facilité par l'utilisation de versions anciennes d'Android par certains fabricants de dispositifs à bas prix, qui les présentent comme plus récentes.
Sources :
Slim CD victime d’une cyberattaque compromettant 1,7 million de données bancaires
Slim CD, un fournisseur américain de services de paiement, a récemment subi une cyberattaque majeure compromettant les données bancaires et personnelles de près de 1,7 million d'utilisateurs. Cette intrusion, qui a débuté en août 2023 et s'est prolongée jusqu'en juin 2024, a mis en lumière les vulnérabilités des systèmes de traitement des paiements. Les cybercriminels ont réussi à infiltrer le réseau de Slim CD, accédant à des informations sensibles telles que le nom, l'adresse, le numéro de carte bancaire et sa date d'expiration. Bien que l'accès aux données des cartes bancaires n'ait duré que deux jours, les risques de fraude et de vol d'identité demeurent élevés. Slim CD a alerté ses utilisateurs sur la nécessité de rester vigilants face à toute activité suspecte et de signaler immédiatement toute tentative de fraude. Les utilisateurs concernés sont conseillés de surveiller leurs relevés bancaires, de modifier leurs identifiants de connexion et de mettre à jour leurs informations de sécurité. Cette attaque souligne l'importance cruciale de la cybersécurité dans le secteur des paiements électroniques, où la protection des données personnelles est essentielle pour maintenir la confiance des consommateurs.
Sources :
Arrestations dans des affaires de sextorsion internationale : les pirates ont ciblé des milliers de victimes
Un réseau criminel a été démantelé pour avoir incité des individus, y compris des mineurs, à participer à des activités sexuelles explicites en ligne, enregistrées pour extorquer jusqu'à 6,9 millions de dollars. Les escrocs menaçaient leurs victimes de divulguer des contenus compromettants si elles ne payaient pas. Le ministère de la Justice a souligné l'augmentation du cyberharcèlement, avec des appels à l'aide fréquents reçus par ZATAZ, une organisation de sensibilisation. L'affaire a pris une dimension internationale, impliquant des suspects en Côte d'Ivoire, dont Hadja Kone et Siaka Ouattara, ce dernier arrêté en février 2024. Parallèlement, deux Nigérians, Samuel et Samson Ogoshi, ont été condamnés à près de 18 ans de prison pour des activités similaires, illustrant l'ampleur mondiale de la sextorsion. Le FBI a averti que les conséquences de la sextorsion peuvent être tragiques, citant le suicide d'un adolescent de 17 ans comme un exemple. Il encourage les victimes à signaler ces crimes et à ne pas céder aux demandes des cybercriminels. ZATAZ recommande également d'éduquer les jeunes sur les dangers en ligne pour les aider à éviter de telles situations.
Sources :
Un pirate informatique vend les données de 190 000 amateurs de running !
Un pirate informatique a mis en vente une base de données contenant des informations sensibles sur plus de 190 000 amateurs de running en France. Découverte fin juin par ZATAZ sur Pastebin, cette base inclut des noms, numéros de téléphone, adresses e-mail, dates de naissance et numéros de licences sportives, suggérant un lien avec une fédération d'athlétisme. Le pirate a réitéré sa vente, utilisant la même URL pour prouver l'authenticité de ses données. Pour protéger les personnes concernées par cette fuite, plusieurs mesures préventives sont recommandées. ZATAZ propose un service de veille cyber pour surveiller les fuites et alerter les clients en cas de détection de leurs données sur des plateformes illicites. Les victimes doivent changer leurs mots de passe, surveiller leurs comptes bancaires, et activer l'authentification à deux facteurs. En cas de fuite, il est conseillé de porter plainte auprès des autorités compétentes, comme la CNIL ou la Gendarmerie. Sensibiliser son entourage aux risques de fraude est également crucial. Ces actions, combinées à un suivi régulier, peuvent aider à limiter les dommages causés par cette cyberattaque.
Sources :
Le site Nuhanciam est piraté ?
La marque de cosmétiques Nuhanciam est potentiellement victime d'une cyberattaque, avec un pirate informatique proposant à la vente une base de données contenant les informations de plus de 156 000 clients. Cette annonce, détectée par ZATAZ sur Telegram début juin, n'a pas encore été confirmée par Nuhanciam. Le pirate, utilisant un pseudonyme féminin, accepte les paiements via un service d’escrow pour sécuriser la transaction. En réponse à cette menace, il est crucial pour les clients de prendre des mesures de protection. ZATAZ propose un service de veille pour alerter les utilisateurs en cas de fuite de données. Les clients sont encouragés à changer leurs mots de passe, utiliser des adresses e-mail spécifiques, mettre à jour leurs informations bancaires et surveiller leurs relevés pour détecter toute activité suspecte. L'activation de l'authentification à deux facteurs (2FA) est également recommandée pour renforcer la sécurité. En cas de fuite avérée, il est conseillé de déposer une plainte auprès des autorités compétentes, comme la CNIL ou la police nationale, et de sensibiliser son entourage aux risques de fraude et d'usurpation d'identité. La vigilance est essentielle face aux menaces en ligne.
Sources :
Zimperium détecte une campagne coordonnée de malwares mobiles ciblant les applications bancaires dans le monde entier
Zimperium, leader en sécurité mobile, a révélé des liens entre la campagne de malwares Gigabud et le RAT Android Spynote. Cette campagne mondiale utilise des sites de phishing pour installer des applications financières malveillantes, manipulant les utilisateurs pour qu'ils accordent des autorisations sensibles, ce qui entraîne des transactions frauduleuses. Spynote permet aux attaquants de contrôler les appareils infectés, soulignant l'évolution des cyberattaques mobiles. Nico Chiaraviglio, Chief Scientist chez Zimperium, insiste sur l'importance de la détection en temps réel pour contrer ces menaces. Les recherches montrent une forte corrélation entre Gigabud et Spynote, suggérant une coordination d'un acteur unique. La campagne cible des institutions financières mondiales, avec 11 serveurs de commande et 79 sites de phishing imitant des marques de confiance. Plus de 50 applications financières, y compris des banques et des plateformes de crypto-monnaies, sont spécifiquement visées. Le malware utilise des techniques d'obscurcissement avancées, rendant sa détection difficile. Cette sophistication pose un risque non seulement pour les applications bancaires, mais aussi pour les données d'entreprise, incitant les entreprises à renforcer leur sécurité mobile en temps réel.
Sources :
Les serveurs Selenium Grid exposés sont la cible du minage de cryptomonnaies et du proxyjacking
Des chercheurs de Cado Security ont révélé que des instances de Selenium Grid exposées sur Internet sont ciblées par des acteurs malveillants pour des campagnes de minage de cryptomonnaies et de proxyjacking. Selenium Grid, un serveur permettant d'exécuter des tests en parallèle sur différents navigateurs, souffre d'une configuration par défaut sans authentification, le rendant vulnérable. Cette exploitation a été précédemment signalée par Wiz dans le cadre d'une activité nommée SeleniumGreed. Cado a observé deux campagnes distinctes sur son serveur honeypot. La première utilise le dictionnaire "goog:chromeOptions" pour injecter un script Python encodé en Base64, qui récupère un script de reverse shell open-source. Ce shell permet ensuite d'introduire un script bash qui télécharge des services de proxy résidentiels, tels qu'IPRoyal Pawn et EarnFM, permettant aux utilisateurs de monétiser leur bande passante. La seconde attaque suit un processus similaire, déployant un binaire ELF basé sur Golang qui tente d'escalader les privilèges via la vulnérabilité PwnKit et installe un mineur de cryptomonnaies XMRig. Les chercheurs soulignent l'importance de configurer l'authentification pour éviter de telles abus.
Sources :
Annonces d’iPhone 16 frauduleuses : les experts de Kaspersky révèlent comment les cybercriminels exploitent les tendances
Le lancement de l'iPhone 16, prévu pour le 20 septembre 2024, a suscité un engouement considérable, attirant l'attention des fans et des cybercriminels. Lors de l'événement « Glowtime » du 9 septembre, des rumeurs avaient déjà circulé, permettant aux escrocs de préparer des arnaques. L'une des plus courantes consiste à proposer des précommandes avec des réductions attractives, incitant les utilisateurs à fournir leurs informations de paiement. Après le paiement, les victimes réalisent qu'elles n'ont pas reçu leur appareil et que leurs données personnelles ont été compromises, pouvant être revendues sur le Dark Web. Une autre escroquerie identifiée par Kaspersky concerne une fausse assistance technique pour iPhone, ciblant les utilisateurs d'Amérique latine. Ce site frauduleux demande aux utilisateurs de se connecter avec leur identifiant Apple, exposant ainsi leurs données personnelles et leur compte iCloud à des risques de vol et de rançon. Les experts conseillent aux consommateurs de rester vigilants, d'utiliser uniquement des canaux officiels pour leurs achats et de se méfier des offres trop alléchantes. La prudence est essentielle pour éviter de tomber dans les pièges tendus par les cybercriminels lors de tels lancements.
Sources :
Une cyberattaque perturbe 45% de l’informatique en Iran !
L'Iran a récemment été confronté à une cyberattaque majeure qui a entraîné la fermeture temporaire de distributeurs automatiques de billets et a nécessité le paiement d'une rançon d'au moins 3 millions de dollars en cryptomonnaie pour éviter la vente de données sensibles sur le dark web. Cette attaque, qui a révélé la vulnérabilité du système bancaire iranien déjà affaibli par des sanctions et une inflation élevée, a été orchestrée via l'entreprise Tosan, fournisseur de services numériques pour le secteur bancaire. Environ 10 bitcoins, soit environ 561 000 dollars, ont été transférés aux cybercriminels. Parallèlement, le vice-président iranien a exprimé des inquiétudes concernant la cybersécurité des stations-service, de plus en plus ciblées par des attaques. En décembre 2023, une cyberattaque a paralysé près de 3 800 stations-service, attribuée à des hackers liés à Israël et aux États-Unis, revendiquée par le groupe Predatory Sparrow. Ce groupe a déjà mené des attaques similaires, comme celle d'octobre 2021, qui avait également perturbé le réseau de distribution de carburant en Iran. Ces incidents soulignent la nécessité urgente de renforcer la cybersécurité des infrastructures critiques du pays.
Sources :
Les 3 principales informations du rapport sur les menaces pour le deuxième trimestre 2024
Le rapport Cato CTRL SASE sur les menaces du deuxième trimestre 2024 révèle des résultats clés issus de l'analyse de 1,38 trillion de flux réseau provenant de plus de 2 500 clients mondiaux. Parmi les principales conclusions, Cato CTRL a identifié un acteur malveillant notoire, IntelBroker, actif sur le dark web et impliqué dans la vente de données de grandes entreprises telles qu'AMD, Apple et Microsoft. De plus, 66 % des cas de cybersquatting ciblaient Amazon, faisant de cette marque la plus souvent usurpée, suivie de Google avec 7 %. La vulnérabilité Log4j, découverte en 2021, continue d'être exploitée, avec une augmentation de 61 % des tentatives d'exploitation dans le trafic entrant et de 79 % dans le trafic sortant. La vulnérabilité Oracle WebLogic a également connu une hausse de 114 % des tentatives d'exploitation. En réponse à ces menaces, Cato CTRL recommande aux entreprises de surveiller régulièrement le dark web, de mettre en place des outils de détection des attaques, d'établir un calendrier de correction des vulnérabilités critiques, et d'adopter une mentalité proactive face aux violations de données. Des recommandations supplémentaires sont disponibles dans le rapport.
Sources :
Le groupe iranien de cybercriminalité OilRig cible le gouvernement irakien avec une attaque de malware sophistiquée
Des réseaux gouvernementaux irakiens ont été ciblés par une campagne de cyberattaques sophistiquée orchestrée par un acteur menaçant soutenu par l'État iranien, connu sous le nom d'OilRig. Selon l'analyse de la société de cybersécurité Check Point, les attaques ont visé des organisations irakiennes, notamment le bureau du Premier ministre et le ministère des Affaires étrangères. OilRig, actif depuis 2014, est associé au ministère iranien du Renseignement et de la Sécurité et a un historique d'attaques de phishing dans la région. La dernière campagne utilise de nouveaux malwares, Veaty et Spearal, capables d'exécuter des commandes PowerShell et de collecter des fichiers. Les mécanismes de commande et de contrôle (C2) incluent un protocole de tunneling DNS personnalisé et des canaux C2 basés sur des emails compromis. Les fichiers malveillants, déguisés en documents inoffensifs, déclenchent l'exécution de scripts intermédiaires qui déploient les malwares. Spearal, un backdoor .NET, utilise le tunneling DNS pour communiquer, tandis que Veaty exploite les emails pour exécuter des commandes. Cette campagne souligne les efforts soutenus des acteurs iraniens pour développer des mécanismes de C2 spécialisés dans la région.
Sources :
Le géant espagnol de la mode Tendam victime d’une cyberattaque : 724 Go de données sensibles volées
Le groupe espagnol de mode Tendam, propriétaire de marques comme Cortefiel et Springfield, a été victime d'une cyberattaque majeure orchestrée par le groupe Medusa. Les hackers ont volé 724 Go de données sensibles et exigent une rançon de 800 000 $ pour éviter la diffusion de ces informations. Cette attaque survient alors que Tendam est en pleine exposition dédiée à Pedro del Hierro, ce qui accentue l'impact médiatique de l'incident. Les pirates ont contourné les systèmes de sécurité de l'entreprise en utilisant un ransomware, une méthode courante dans ce type de cybercriminalité. Tendam mène actuellement une analyse pour évaluer l'ampleur des dommages, craignant que des données clients aient été compromises, ce qui pourrait nuire à sa réputation dans un secteur de plus en plus numérique. Le groupe Medusa, connu pour ses attaques contre des entreprises de renom, menace de vendre ou de publier les données volées si la rançon n'est pas payée. Cette situation met en lumière la vulnérabilité croissante de l'industrie de la mode face aux cyberattaques, notamment pour les marques investissant dans le commerce électronique et les programmes de fidélité. Tendam doit maintenant renforcer sa sécurité informatique pour prévenir de futures violations.
Sources :
L'organisme irlandais de surveillance lance une enquête sur les pratiques de Google en matière de données d'IA en Europe
La Commission irlandaise de protection des données (DPC) a lancé une enquête statutaire transfrontalière sur le modèle d'intelligence artificielle (IA) de Google, le Pathways Language Model 2 (PaLM 2), afin de vérifier si l'entreprise respecte les réglementations sur la protection des données lors du traitement des données personnelles des utilisateurs européens. Cette enquête vise à déterminer si Google a réalisé une évaluation d'impact sur la protection des données, conformément à l'article 35[2] du Règlement général sur la protection des données (RGPD), avant de traiter les données des citoyens de l'UE/EEE liées au développement de son modèle IA. Le DPC, en tant que régulateur principal basé à Dublin, souligne l'importance de cette enquête pour protéger les droits fondamentaux des individus, surtout dans un contexte où le développement de systèmes IA peut engendrer des risques élevés. Cette annonce intervient après que d'autres entreprises, comme X et Meta, ont été contraintes de suspendre l'utilisation des données personnelles d'utilisateurs européens pour former leurs modèles d'IA, suite à des préoccupations similaires en matière de confidentialité. L'année dernière, l'Italie avait également interdit temporairement ChatGPT d'OpenAI pour des violations présumées des lois sur la protection des données.
Sources :
Une antenne Starlink installée en cachette sur un bateau de guerre !
Un groupe de marins de l'US Navy a été surpris en train d'installer illégalement un terminal Starlink sur le porte-hélicoptères USS Manchester, une action qui a duré six mois. Starlink, un service Internet par satellite de SpaceX, est apprécié pour son accès haut débit dans des zones reculées, mais son utilisation dans un cadre militaire soulève des préoccupations de sécurité. Les marins ont justifié leur acte par le désir d'améliorer leur connexion pour communiquer avec leurs proches, mais cette installation non autorisée enfreint les protocoles de sécurité militaires, exposant potentiellement les communications à des cyberattaques et à des interceptions. L'enquête a révélé que les marins avaient tenté de dissimuler leur acte, aggravant leur situation. Les autorités militaires ont réagi rapidement, imposant des sanctions disciplinaires, y compris des dégradations. Cet incident met en lumière les risques liés à l'utilisation de technologies commerciales dans des environnements sensibles, soulignant la nécessité de respecter des règles strictes pour protéger les informations classifiées. La marine américaine a lancé une enquête approfondie pour déterminer comment une telle violation de sécurité a pu se produire, tout en s'assurant qu'aucune influence étrangère n'était impliquée.
Sources :
L’augmentation des délits commis à l’aide des technologies de l’information en Russie
En Russie, les délits liés aux technologies de l’information et des télécommunications connaissent une augmentation alarmante, représentant plus de 40 % de la criminalité totale, selon Vladimir Kolokoltsev, ministre de l'Intérieur. Lors d'une réunion interministérielle, il a souligné la montée de la cybercriminalité et de la fraude téléphonique, des domaines en pleine expansion. Les statistiques révèlent que 577 000 délits ont été enregistrés en 2024, dont 437 000 concernent des fraudes visant les citoyens russes. Kolokoltsev a également mis en lumière l'ingénierie sociale, une méthode de manipulation des victimes pour obtenir des informations sensibles, qui est devenue courante dans ces crimes. Cette technique complique la lutte contre la cybercriminalité, rendant les mesures actuelles, comme les nouvelles règles bancaires et l'obligation pour les blogueurs de se déclarer, peu efficaces. Danil Filippov, du ministère de l'Intérieur, a confirmé une hausse de 27 % des crimes liés aux technologies entre 2020 et 2023, illustrant une évolution inquiétante du paysage criminel en Russie, où les délinquants exploitent les failles technologiques pour commettre des délits à grande échelle, y compris contre leurs propres concitoyens.
Sources :
WordPress impose une authentification à deux facteurs pour les développeurs de plugins et de thèmes
WordPress.org a annoncé une nouvelle mesure de sécurité des comptes qui exigera l'activation obligatoire de l'authentification à deux facteurs (2FA) pour les comptes ayant la capacité de mettre à jour des plugins et des thèmes. Cette exigence entrera en vigueur le 1er octobre 2024. Les responsables de WordPress.org soulignent que la sécurisation de ces comptes est cruciale pour prévenir les accès non autorisés et maintenir la confiance au sein de la communauté. En plus de la 2FA, WordPress.org introduit des mots de passe SVN, qui sont des mots de passe dédiés pour les modifications de code, séparant ainsi l'accès au code des identifiants de compte. Ces mesures visent à contrer les attaques potentielles où un acteur malveillant pourrait prendre le contrôle d'un compte et introduire du code malveillant dans des plugins et thèmes légitimes. Parallèlement, Sucuri a mis en garde contre des campagnes ciblant les sites WordPress pour distribuer des logiciels malveillants. Les chercheurs en sécurité recommandent de maintenir les plugins à jour, d'utiliser un pare-feu d'application web, de revoir régulièrement les comptes administrateurs et de surveiller les modifications non autorisées des fichiers du site.
Sources :
Un faux test de codage de gestionnaire de mots de passe utilisé pour pirater les développeurs Python
Des membres du groupe de hackers nord-coréen Lazarus se font passer pour des recruteurs afin de piéger des développeurs Python avec un test de codage impliquant des projets de gestion de mots de passe contenant des malwares. Cette campagne, nommée 'VMConnect', a été détectée pour la première fois en août 2023 et cible les développeurs via des paquets Python malveillants sur le dépôt PyPI. Selon un rapport de ReversingLabs, les hackers hébergent ces projets sur GitHub, où les victimes trouvent des fichiers README contenant des instructions qui semblent professionnelles et urgentes. Ils se font passer pour de grandes banques américaines pour attirer des candidats, souvent contactés via LinkedIn. Les victimes doivent trouver un bug dans une application de gestion de mots de passe, mais le fichier README les incite à exécuter d'abord l'application malveillante, déclenchant un module obfusqué qui télécharge d'autres malwares. ReversingLabs a constaté que cette campagne est toujours active et conseille aux développeurs de vérifier l'identité des recruteurs et de scanner le code avant de l'exécuter, en utilisant des environnements sécurisés comme des machines virtuelles.
Sources :
Classement Top Malware – août 2024 : RansomHub domine tandis que le ransomware Meow gagne rapidement du terrain
Le classement des ransomwares met en évidence la persistance de cette menace, avec RansomHub en tête, ayant ciblé plus de 210 victimes à l'échelle mondiale depuis son rebranding de Knight. RansomHub, une opération de ransomware-as-a-Service (RaaS), a été récemment désignée comme la principale menace par le FBI et d'autres agences. Ce ransomware utilise des techniques de chiffrement avancées pour attaquer divers systèmes, y compris Windows, macOS, Linux et particulièrement les environnements VMware ESXi. Parallèlement, le ransomware Meow a émergé en adoptant une approche différente en vendant les données volées sur le marché noir, atteignant la deuxième place parmi les ransomwares les plus actifs. Contrairement aux méthodes traditionnelles d'extorsion, Meow se concentre sur la vente des informations dérobées. D'autres menaces notables incluent le botnet Androxgh0st, qui exploite des vulnérabilités sur plusieurs plateformes, et Qbot, un cheval de Troie bancaire sophistiqué diffusé par le groupe cybercriminel TA577. Enfin, Hydra, un autre cheval de Troie, vise à voler des identifiants bancaires en incitant les victimes à accorder des autorisations risquées. Ces menaces soulignent l'évolution constante des cyberattaques.
Sources :
Adobe corrige le zero-day d'Acrobat Reader avec un exploit PoC public
Un chercheur en cybersécurité exhorte les utilisateurs à mettre à jour Adobe Acrobat Reader suite à la publication d'un correctif pour une vulnérabilité zero-day, identifiée comme CVE-2024-41869. Cette faille critique, de type "use after free", permet une exécution de code à distance lorsqu'un document PDF spécialement conçu est ouvert. Ce type de bug survient lorsqu'un programme tente d'accéder à des données dans une zone mémoire déjà libérée, entraînant des comportements imprévus, comme des plantages. Si un attaquant parvient à stocker du code malveillant dans cette zone mémoire, il peut alors exécuter ce code sur l'appareil ciblé. La vulnérabilité a été découverte en juin grâce à EXPMON, une plateforme de détection d'exploits développée par Haifei Li. Bien qu'un correctif ait été publié en août, il n'a pas résolu le problème, permettant encore des plantages. Adobe a finalement publié une mise à jour de sécurité qui corrige la faille. Li prévoit de partager des détails sur la détection de cette vulnérabilité sur le blog d'EXPMON et dans un rapport de Check Point Research à venir.
Sources :
WordPress.org va exiger la 2FA pour les développeurs de plugins d'ici octobre
À partir du 1er octobre 2024, WordPress.org exigera que tous les comptes ayant la capacité de mettre à jour des plugins et des thèmes activent l'authentification à deux facteurs (2FA). Cette décision vise à renforcer la sécurité des comptes, réduisant ainsi le risque d'accès non autorisé et d'attaques de la chaîne d'approvisionnement. Les comptes concernés peuvent influencer des millions de sites WordPress à travers le monde, rendant leur protection essentielle pour maintenir la confiance au sein de la communauté WordPress.org. Un acteur malveillant pourrait potentiellement détourner un compte pour insérer des vulnérabilités ou des portes dérobées dans le code des thèmes ou des plugins. Pour faciliter cette transition, WordPress.org a introduit des mots de passe spécifiques à SVN, séparant l'accès aux modifications de code des identifiants principaux. Les auteurs de plugins utilisant des scripts de déploiement, comme GitHub Actions, devront également mettre à jour leurs scripts pour intégrer ces nouveaux mots de passe. Bien que des limitations techniques empêchent l'application de la 2FA sur les dépôts de code existants, WordPress.org combine désormais l'authentification à deux facteurs, des mots de passe SVN à haute entropie et d'autres fonctionnalités de sécurité au moment du déploiement.
Sources :
Le botnet Quad7 s'étend pour cibler les routeurs SOHO et les appareils VPN
Les opérateurs du botnet Quad7, également connu sous le nom de 7777, évoluent en compromettant divers routeurs SOHO et appareils VPN, exploitant à la fois des vulnérabilités connues et inconnues. Selon un rapport de la société française de cybersécurité Sekoia, les cibles incluent des dispositifs de marques telles que TP-LINK, Zyxel, Asus, et D-Link. Les chercheurs ont observé que les opérateurs introduisent de nouveaux outils, notamment une porte dérobée et explorent de nouveaux protocoles pour améliorer leur furtivité. Le botnet, qui ouvre le port TCP 7777 sur les appareils compromis, a été documenté pour la première fois en octobre 2023. Il a été observé en train de forcer des instances Microsoft 365 et Azure. Sekoia a identifié plusieurs clusters au sein du botnet, chacun ciblant des dispositifs spécifiques. Les pays les plus touchés incluent la Bulgarie, les États-Unis et l'Ukraine. Les acteurs de la menace semblent être des acteurs parrainés par l'État chinois, cherchant à éviter la détection en utilisant de nouveaux malwares. Bien que l'objectif exact du botnet reste flou, il est probable qu'il soit utilisé pour des activités malveillantes sophistiquées.
Sources :
Telegram est l’application favorite des petits criminels du quotidien
Pavel Durov, le fondateur de Telegram, a récemment défendu sa plateforme après son arrestation, affirmant qu'elle n'est pas un « paradis anarchique ». Le procureur a justifié cette action par la présence de Telegram dans des affaires de pédocriminalité, de trafics et de haine en ligne, ainsi que par son manque de réponse aux réquisitions judiciaires. Telegram, avec son architecture décentralisée et son chiffrement optionnel, est souvent utilisé par des criminels et dans des régimes autoritaires, ce qui soulève des préoccupations quant à la sécurité et à la modération des contenus. Des enquêtes ont révélé des canaux facilitant la création de deepfakes pornographiques, et des vidéos violentes liées à des conflits récents circulent également sur la plateforme. Durov espère que les événements récents inciteront Telegram à devenir un réseau social plus sûr. Cependant, son appel à l'amélioration arrive peut-être trop tard pour influencer les décisions judiciaires. La situation soulève des questions sur la responsabilité des plateformes de communication face à des contenus illégaux et nuisibles, et sur leur rôle dans la société moderne.
Sources :
Campagne SEO Black Hat de DragonRank ciblant les serveurs IIS en Asie et en Europe
Un acteur parlant chinois simplifié est lié à une nouvelle campagne de manipulation du référencement (SEO) qui cible plusieurs pays d'Asie et d'Europe, nommée DragonRank par Cisco Talos. Cette campagne exploite des vulnérabilités dans des services d'applications web pour déployer un shell web, collecter des informations système et lancer des malwares tels que PlugX et BadIIS. Les attaques ont compromis 35 serveurs Internet Information Services (IIS) pour transformer ces serveurs en points de relais pour des communications malveillantes et manipuler les algorithmes des moteurs de recherche, augmentant ainsi le classement de sites d'intérêt pour les attaquants. Les secteurs touchés incluent la bijouterie, les médias, la santé et bien d'autres. Les attaques commencent par l'exploitation de failles dans des applications comme phpMyAdmin et WordPress. DragonRank se distingue par sa capacité à infiltrer d'autres serveurs et à maintenir le contrôle via PlugX et des programmes de collecte de données. Les acteurs de la menace utilisent Telegram et QQ pour faciliter des transactions illégales, offrant un service client personnalisé pour promouvoir des mots-clés spécifiques. Cette campagne met en lumière l'utilisation malveillante des algorithmes de recherche pour augmenter la visibilité de contenus frauduleux.
