Nouveau Trojan Android : Crocodilus cible vos banques et données sensibles - Actus du 29/03/2025
Découvrez pourquoi OpenText insiste sur la gestion proactive des données pour la sécurité durable des entreprises. Ne manquez pas votre résumé cybersécurité ZATAZ de la semaine et soyez vigilant face au nouveau Trojan Android Crocodilus qui cible vos données bancaires et cryptographiques.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
World Back Up 2025 : Pour OpenText, la gestion proactive des données est essentielle à la sécurité et à la durabilité des entreprises
Le World Back Up est une initiative mondiale visant à sensibiliser à l'empreinte numérique, particulièrement pertinente en 2025 avec l'essor de l'intelligence artificielle (IA). Selon Greg Clark, directeur de la gestion des produits chez OpenText Cybersecurity, l'adoption croissante de l'IA entraîne une génération massive de données, posant des défis en matière de gestion, de sécurité et de conformité. Les entreprises doivent donc adopter une approche proactive de la gestion des données, en commençant par leur minimisation. Les sauvegardes sont cruciales pour assurer la continuité des activités et réagir rapidement aux cyberattaques. Cependant, il est essentiel de ne sauvegarder que les données critiques, car 33 % des données sont considérées comme redondantes, obsolètes ou insignifiantes (ROT). En identifiant et en éliminant ces données inutiles, les entreprises peuvent réduire leur surface d'attaque et renforcer leur sécurité. Cette minimisation des données non seulement améliore la résilience face aux menaces, mais optimise également l'efficacité opérationnelle en libérant des ressources. De plus, avec l'évolution des réglementations, cela permet un meilleur contrôle des informations sensibles et réduit la complexité et les coûts de conformité.
Sources :
Votre récapitulatif cybersécurité ZATAZ – Semaine du 29 mars 2025
Cette semaine, le récapitulatif de cybersécurité de ZATAZ met en lumière une série d'événements marquants, allant des cyberattaques ciblées aux fuites massives de données. Parmi les incidents notables, on trouve l'exposition des données de plus de 3 millions de candidats par un pirate à l'Université de New York et une violation touchant plus de 12 millions de dossiers chez AUTOSUR. Les escroqueries par phishing continuent de proliférer, avec des cas impliquant des convertisseurs en ligne et des entreprises comme Rakuten. Sur le plan géopolitique, la Russie intensifie ses menaces numériques, tandis que la Chine dévoile un coupe-câble sous-marin, suscitant des inquiétudes quant à l'ordre mondial. Des partenariats stratégiques, tels que ceux entre ZATAZ et LockSelf, visent à renforcer la cybersécurité. Les législations évoluent également, avec le Trésor américain levant des sanctions contre Tornado Cash. Enfin, des vidéos immersives sur le cybercrime et des conseils pratiques pour protéger les données sont disponibles pour sensibiliser le public. La cybersécurité demeure un enjeu crucial, nécessitant vigilance et information continue pour se protéger efficacement.
Sources :
Nouveau Android Trojan Crocodilus abuse de l'accessibilité pour voler la banque et les informations d'identification cryptographiques
Des chercheurs en cybersécurité ont identifié un nouveau malware bancaire Android nommé Crocodilus, ciblant principalement les utilisateurs en Espagne et en Turquie. Contrairement à d'autres trojans, Crocodilus se présente comme une menace sophistiquée dès le départ, intégrant des techniques modernes telles que le contrôle à distance et la collecte avancée de données via des journaux d'accessibilité. Masqué sous l'apparence de Google Chrome, il contourne les restrictions d'Android 13+. Une fois installé, il demande des autorisations pour les services d'accessibilité et se connecte à un serveur distant pour recevoir des instructions sur les applications financières à cibler et les superpositions HTML à utiliser pour voler des identifiants. Le malware peut également cibler les portefeuilles de cryptomonnaies en utilisant une superposition qui incite les victimes à sauvegarder leurs phrases de récupération, facilitant ainsi le vol. Crocodilus surveille en continu les lancements d'applications et capture les activités à l'écran, tout en dissimulant ses actions grâce à un écran noir. Ses fonctionnalités incluent le lancement d'applications spécifiques, l'auto-suppression, l'envoi de SMS, et la gestion des privilèges d'administration. Cette découverte souligne l'escalade des menaces posées par les malwares modernes.
Sources :
Ransomware Blacklock exposé après que les chercheurs ont exploité la vulnérabilité du site de fuite
Des chasseurs de menaces ont réussi à infiltrer l'infrastructure en ligne du groupe de ransomware BlackLock, révélant des informations cruciales sur leur mode opératoire. Resecurity a identifié une vulnérabilité dans le site de fuite de données (DLS) de BlackLock, permettant d'extraire des fichiers de configuration, des identifiants et l'historique des commandes exécutées sur le serveur. Cette faille, due à une mauvaise configuration, a exposé des adresses IP et des informations sur l'infrastructure du groupe. BlackLock, une version rebrandée du groupe Eldorado, est devenu l'un des syndicats d'extorsion les plus actifs en 2025, ciblant divers secteurs tels que la technologie et la finance, avec 46 victimes répertoriées. Le groupe a également lancé un réseau d'affiliés pour recruter des trafiquants afin de diriger les victimes vers des pages malveillantes. La vulnérabilité identifiée est un bug d'inclusion de fichiers locaux (LFI), permettant de divulguer des informations sensibles. De plus, le DLS de BlackLock a été défiguré par DragonForce, suggérant une possible coopération ou une transition silencieuse sous une nouvelle direction. Les opérations de BlackLock pourraient avoir été compromises, incitant à une sortie stratégique du projet.
Sources :
Le géant de la vente au détail Sam’s Club enquête sur les réclamations de violation des ransomwares CLOP
Sam's Club, une chaîne de supermarchés américaine appartenant à Walmart, enquête sur des allégations de violation de données par le groupe de ransomware Clop. Avec plus de 600 clubs et 2,3 millions d'employés, Sam's Club a généré 84,3 milliards de dollars de revenus pour l'exercice fiscal se terminant le 31 janvier 2023. Un porte-parole a déclaré que la protection des informations des membres est une priorité et que l'entreprise prend ces préoccupations au sérieux. Bien que des détails supplémentaires sur l'enquête ne soient pas disponibles, le groupe Clop a ajouté Sam's Club à son site de fuite sur le dark web, affirmant que l'entreprise "ne se soucie pas de ses clients". Les revendications de Clop surviennent après une série d'attaques de vol de données exploitant une vulnérabilité dans le logiciel de transfert de fichiers Cleo. Ce n'est pas la première fois que Sam's Club fait face à des incidents de sécurité, ayant déjà informé des clients en 2020 d'attaques de credential stuffing. L'entreprise a alors précisé qu'il ne s'agissait pas d'une violation de ses systèmes, mais d'une compromission due à des campagnes de phishing. L'enquête est en cours pour déterminer l'ampleur de la situation.
Sources :
Openai paie maintenant 100 000 $ pour les chercheurs pour les vulnérabilités critiques
OpenAI a annoncé une augmentation significative de ses récompenses pour la découverte de vulnérabilités critiques, passant de 20 000 à 100 000 dollars. Cette décision vise à encourager la recherche en sécurité et à protéger les 400 millions d'utilisateurs de ses services à travers le monde. La société a déclaré que cette hausse reflète son engagement à récompenser les recherches de sécurité ayant un impact significatif. En plus de cette augmentation, OpenAI introduit des promotions temporaires offrant des primes supplémentaires pour des rapports qualifiés dans certaines catégories. Par exemple, jusqu'au 30 avril, les chercheurs signalant des vulnérabilités de type Insecure Direct Object Reference (IDOR) peuvent recevoir jusqu'à 13 000 dollars. Le programme de bug bounty d'OpenAI, lancé en avril 2023, permettait initialement des paiements allant jusqu'à 20 000 dollars pour les signalements de vulnérabilités. Ce programme a été mis en place après une fuite de données de paiement liée à un bug dans la bibliothèque open-source de son client Redis, exposant des informations personnelles de certains abonnés. Les problèmes de sécurité liés à la modélisation et les contournements de sécurité ne sont pas couverts par ce programme.
Sources :
« Il n’a jamais été question de donner la liberté d’expression aux bots », insiste la ministre de l’IA et du numérique
Le 28 mars, le gouvernement français a mis en avant l'agence Viginum, dédiée à la lutte contre la désinformation, lors d'un forum à Sorbonne Université. Placée sous la tutelle du Premier ministre, cette structure a pour mission de détecter et d'analyser les ingérences étrangères, afin de protéger la démocratie européenne. François Bayrou a souligné l'urgence de la situation, affirmant que la France, après l'Ukraine, est le pays le plus ciblé en Europe par ces manipulations. Il a cité un rapport indiquant que sur 505 incidents en Europe entre 2023 et 2024, 257 concernaient l'Ukraine. Clara Chappaz, ministre de l'IA et du numérique, a précisé que la désinformation ne doit pas être confondue avec la liberté d'expression, dénonçant l'impact des faux profils automatisés. Viginum a identifié des campagnes ciblées, notamment depuis la Russie, visant à usurper des médias français pour diffuser des narratifs spécifiques. Bien que certains critiquent l'attention portée à ces campagnes, Viginum justifie ses actions comme préventives, soulignant que même des campagnes peu visibles peuvent avoir des conséquences significatives à long terme.
Sources :
L'opération de phishing-as-a-service utilise DNS-sur-HTTPS pour l'évasion
Une nouvelle opération de phishing-as-a-service (PhaaS) nommée Morphing Meerkat utilise le protocole DNS over HTTPS (DoH) pour échapper à la détection. Découverte par des chercheurs d'Infoblox, cette plateforme active depuis 2020 permet de lancer des attaques de phishing évolutives avec peu de connaissances techniques. Elle exploite des enregistrements DNS MX pour identifier les fournisseurs d'emails des victimes et sert des pages de connexion falsifiées pour plus de 114 marques, y compris Gmail et Outlook. Les emails, souvent rédigés dans plusieurs langues, incitent à une action urgente avec des lignes de sujet comme "Action Required: Account Deactivation". En cas de clic sur un lien malveillant, les victimes sont redirigées à travers des exploits d'open redirect, aboutissant à un kit de phishing qui interroge les enregistrements MX via DoH. Cela permet de charger une page de connexion factice avec l'adresse email de la victime pré-remplie. Les identifiants saisis sont ensuite exfiltrés vers les cybercriminels. Pour contrer cette menace, Infoblox recommande un contrôle DNS renforcé pour limiter l'accès aux serveurs DoH. Les indicateurs de compromission associés à Morphing Meerkat sont disponibles sur GitHub.
