Nouvelle attaque Starydobry : Les jeux cachent des mineurs de crypto-monnaie - Actus du 19/02/2025
Découvrez comment FINALDRAFT infiltre vos brouillons, les améliorations de confidentialité de WinRAR et la nouvelle menace de Snake Keylogger utilisant AUTOIT. Protégez vos données avec nos conseils experts ! #SécuritéInformatique #CyberSécurité #WinRAR #Keylogger
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Vous avez un logiciel malveillant : FINALDRAFT se cache dans vos brouillons
Elastic Security Labs a récemment identifié un nouveau logiciel malveillant, référencé REF7707, ciblant un ministère des affaires étrangères d'un pays d'Amérique du Sud, avec des liens vers des compromissions en Asie du Sud-Est. Ce malware comprend un chargeur personnalisé et une porte dérobée, utilisant notamment l'API Graph de Microsoft pour les communications de commande et contrôle (C2). L'analyse a révélé des variantes pour Linux et une ancienne version PE, indiquant un développement prolongé et organisé. Les outils sophistiqués et l'ingénierie impliquée suggèrent une campagne d'espionnage bien orchestrée. Malgré l'innovation et l'efficacité des intrusions, les opérateurs de la campagne ont montré des lacunes dans la gestion et des pratiques d'évasion incohérentes. Elastic Security Labs a publié deux articles détaillant cette découverte : l'un sur l'analyse du malware, intitulé "You’ve Got Malware: FINALDRAFT Hides in Your Drafts", et l'autre sur la campagne elle-même, "From South America to Southeast Asia: The Fragile Web of REF7707". Ces publications mettent en lumière la complexité et les enjeux de cette menace cybernétique.
Sources :
La nouvelle version Winrar dépouille les métadonnées Windows pour augmenter la confidentialité
La version 7.10 de WinRAR, lancée le 17 février 2025, introduit plusieurs nouvelles fonctionnalités, notamment des pages mémoire plus grandes, un mode sombre et une option de gestion des métadonnées Windows pour améliorer la confidentialité. WinRAR, un outil de compression de fichiers utilisé par environ 500 millions de personnes dans le monde, permet de créer et d'extraire des fichiers compressés dans divers formats, dont RAR et ZIP. Une des nouveautés majeures est la possibilité de supprimer des informations potentiellement sensibles du flux de données alternatif "Mark of the Web" (MoTW) lors de l'extraction de fichiers. Cette fonctionnalité, activée par défaut, ne conserve que la valeur de zone (ZoneId), éliminant ainsi des données telles que l'emplacement de téléchargement ou l'adresse IP, qui pourraient compromettre la vie privée si le fichier est partagé. Bien que cela puisse limiter les enquêtes numériques, cette option est appréciée par ceux qui privilégient la confidentialité. Les utilisateurs peuvent choisir de rétablir la propagation complète des données MoTW en modifiant les paramètres de sécurité de WinRAR. Cette mise à jour souligne l'engagement de win.rar GmbH à améliorer la sécurité et la confidentialité des utilisateurs.
Sources :
Nouvelle variante Snake Keylogger Tente des scripts AUTOIT pour échapper à la détection
Une nouvelle variante du malware Snake Keylogger cible activement les utilisateurs de Windows en Chine, en Turquie, en Indonésie, à Taïwan et en Espagne. Selon Fortinet FortiGuard Labs, cette version a été responsable de plus de 280 millions de tentatives d'infection bloquées depuis le début de l'année. Le Snake Keylogger est généralement diffusé via des e-mails de phishing contenant des pièces jointes malveillantes ou des liens, et il est conçu pour voler des informations sensibles en enregistrant les frappes, en capturant des identifiants et en surveillant le presse-papiers. Il utilise le protocole SMTP et des bots Telegram pour exfiltrer les données volées. Une caractéristique notable de cette attaque est l'utilisation du langage de script AutoIt, permettant au malware de contourner les mécanismes de détection traditionnels. Une fois lancé, il s'installe dans le dossier de démarrage de Windows pour garantir son exécution à chaque redémarrage. Le malware utilise également une technique appelée "process hollowing" pour se dissimuler dans des processus .NET légitimes. Parallèlement, une campagne distincte exploite des infrastructures compromises d'institutions éducatives pour distribuer des fichiers LNK malveillants, déployant ainsi le malware Lumma Stealer.
Sources :
Les campagnes de phishing russe exploitent la fonction de liaison du dispositif du signal
Des acteurs de menace russes exploitent la fonctionnalité de liaison d'appareils de l'application de messagerie Signal pour mener des campagnes de phishing. Selon le Google Threat Intelligence Group (GTIG), cette méthode, qui consiste à tromper les cibles pour qu'elles lient leur compte Signal à un appareil contrôlé par l'attaquant, est devenue courante. Les attaquants créent des QR codes malveillants que les victimes sont incitées à scanner, permettant ainsi la synchronisation des messages avec l'appareil de l'attaquant sans compromettre entièrement le dispositif de la cible. Des groupes comme Sandworm ont utilisé cette technique pour accéder aux comptes Signal d'appareils capturés sur le champ de bataille. D'autres attaques impliquent la modification de pages d'invitation de groupe pour rediriger vers des URL malveillantes. Un kit de phishing ciblant spécifiquement les militaires ukrainiens a également été identifié, se faisant passer pour un logiciel utilisé par les forces armées. Les chercheurs soulignent que ces compromissions sont difficiles à détecter, car il n'existe pas de solution technique pour surveiller les nouveaux appareils liés. Les utilisateurs de Signal sont conseillés de mettre à jour l'application et d'activer des mesures de sécurité supplémentaires pour se protéger contre ces menaces.
Sources :
Kaspersky rapporte près de 900 millions de tentatives de phishing en 2024, dans un contexte de multiplication des cybermenaces
En France, plus de 23 millions de tentatives de fraude ont été bloquées, marquant une augmentation de 6 % par rapport à l'année précédente. Cette hausse est particulièrement observée entre mai et juillet, période où les fraudeurs exploitent les vacances d'été pour orchestrer des escroqueries liées à de fausses réservations de voyages. Les cybercriminels usurpent des marques connues comme Booking, Airbnb et TikTok pour voler des informations d'identification et propager des logiciels malveillants. En outre, plus de 125 millions d'attaques impliquant des pièces jointes malveillantes ont été signalées. Les arnaques ciblent également des sujets d'actualité, comme les cryptomonnaies, et utilisent des deepfakes de célébrités pour promouvoir de faux cadeaux. Les techniques de phishing évoluent, les attaquants combinant plusieurs marques sur des pages frauduleuses pour augmenter leur efficacité. Les entreprises ne sont pas épargnées, avec des campagnes d'emails ciblant des professionnels par le biais de contenus malveillants dissimulés. La vigilance et l'utilisation de solutions de cybersécurité robustes sont essentielles pour se protéger contre ces menaces croissantes, selon Olga Svistunova, experte en sécurité chez Kaspersky.
Sources :
DORA : un nouveau défi pour le secteur financier
Depuis le 17 janvier, la loi DORA impose des normes strictes de cybersécurité aux institutions financières, notamment aux banques et assurances, face à l'essor des paiements numériques et de l'IA. Fortinet, leader en cybersécurité, aide ces organisations à adopter une posture proactive. Ricardo Ferreira, CISO chez Fortinet, souligne plusieurs défis majeurs. Premièrement, les banques doivent garantir la sécurité des paiements instantanés tout en respectant les réglementations, comme le SEPA, mais seules 7 % d'entre elles sont prêtes technologiquement. Deuxièmement, la cyber-résilience est cruciale : les systèmes de paiement doivent être rapides, efficaces et sécurisés, tout en répondant aux exigences croissantes de la Banque Centrale Européenne. La cybercriminalité représente une menace sérieuse, incitant les banques à investir massivement dans la cybersécurité. Enfin, l'intelligence artificielle (IA) transforme la détection des fraudes, avec des investissements prévus de 85 milliards de dollars d'ici 2030. Toutefois, son adoption nécessite un équilibre entre innovation et sécurité pour maximiser les bénéfices tout en gérant les risques. Les institutions financières doivent donc s'adapter rapidement pour rester compétitives et sécurisées dans un environnement en constante évolution.
Sources :
- https://www.undernews.fr/banque-cartes-bancaires/dora-un-nouveau-defi-pour-le-secteur-financier.html
Le guide MSP ultime pour structurer et vendre des services VCISO
Ce guide, élaboré en collaboration avec Jesse Miller, expert en vCISO, propose des stratégies pratiques pour surmonter les défis liés à la mise en place de services vCISO. Il commence par évaluer les offres actuelles des MSP et MSSP, souvent déjà en partie intégrées sans formalisation. Le guide aide à identifier les activités de sécurité existantes et à les structurer en un service vCISO complet, tout en segmentant la clientèle par secteur, taille et maturité en matière de sécurité. En s'appuyant sur des relations existantes, les services vCISO peuvent répondre à des besoins non satisfaits, favorisant ainsi la croissance des revenus. Il est crucial d'aligner les stratégies de cybersécurité sur les objectifs commerciaux des clients, en soulignant l'importance d'une sécurité proactive. Les avantages des services vCISO incluent une sécurité de niveau entreprise sans coûts à temps plein, une conformité rapide et des améliorations immédiates de la posture de sécurité. Toutefois, des coûts cachés, tels que le recrutement de talents qualifiés et les processus manuels, peuvent affecter la rentabilité. En utilisant des outils d'automatisation et des cadres adaptés, les MSP et MSSP peuvent se positionner comme des conseillers de confiance, aidant leurs clients à naviguer dans un paysage numérique complexe.
Sources :
Les installateurs de jeux transmissibles déploient un mineur de crypto-monnaie dans une attaque Starydobry à grande échelle
Une campagne de cybercriminalité, nommée StaryDobry par Kaspersky, a été détectée à partir du 31 décembre 2024, ciblant des utilisateurs de jeux vidéo à travers le monde. Les attaquants ont diffusé des installateurs de jeux malveillants, intégrant un mineur de cryptomonnaie, principalement en utilisant des jeux populaires comme BeamNG.drive et Garry's Mod pour attirer les victimes. Les installateurs, créés avec Inno Setup, ont été mis en ligne sur des sites de torrents en septembre 2024. Lors de l'installation, un fichier DLL malveillant est extrait et exécuté, effectuant des vérifications pour éviter d'être détecté dans des environnements de débogage. Ce fichier collecte l'adresse IP de l'utilisateur et, en cas d'échec, attribue par défaut la localisation à la Chine ou à la Biélorussie. Ensuite, il déchiffre un exécutable et modifie des fonctionnalités de Windows pour charger un payload supplémentaire, qui récupère le binaire final depuis un serveur distant. Le mineur, une version modifiée de XMRig, ne s'active que sur des machines avec 8 cœurs ou plus. Bien que l'origine de StaryDobry reste inconnue, des éléments suggèrent l'implication d'un acteur de langue russe.
Sources :
Rapport : les malwares ciblant les endpoints, principalement via des services web légitimes et des documents, sont en hausse de 300%
WatchGuard® Technologies, leader en cybersécurité, a publié son rapport trimestriel sur la sécurité Internet pour le troisième trimestre 2024, mettant en lumière l'évolution des menaces cybernétiques. Les cybercriminels exploitent de plus en plus des sites web légitimes et des documents comme OneNote pour diffuser des malwares tels que Qbot, contournant les protections anti-macro sur les fichiers Microsoft. Le rapport souligne une augmentation des attaques par ingénierie sociale, avec une hausse de 40 % des détections basées sur des signatures, indiquant une prévalence croissante des malwares traditionnels. La région EMEA a enregistré 53 % des attaques, tandis que l'Asie-Pacifique a vu 59 % des détections d'attaques réseau. Bien que le nombre de nouveaux malwares ait diminué, les attaquants utilisent une variété de techniques pour infecter les appareils. Les ransomwares, bien que moins fréquents, ont vu une augmentation du nombre d'opérateurs. Les détections de malwares sur les endpoints ont explosé, avec une hausse de 300 % par rapport au trimestre précédent. Corey Nachreiner, CSO de WatchGuard, souligne l'importance d'adopter des solutions de cybersécurité avancées, notamment basées sur l'intelligence artificielle, pour faire face à ces menaces en constante évolution.
Sources :
CISA ajoute Palo Alto Networks et Sonicwall Flaws to Exploited Vulnerabilities List
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté deux vulnérabilités de sécurité affectant Palo Alto Networks PAN-OS et SonicWall SonicOS SSLVPN à son catalogue des vulnérabilités exploitées, en raison de preuves d'exploitation active. Les vulnérabilités concernent :
- CVE-2025-0108 (score CVSS : 7.8) - Une vulnérabilité de contournement d'authentification dans l'interface web de gestion de PAN-OS, permettant à un attaquant non authentifié d'accéder à des scripts PHP.
- CVE-2024-53704 (score CVSS : 8.2) - Une vulnérabilité d'authentification incorrecte dans le mécanisme d'authentification SSLVPN, permettant à un attaquant distant de contourner l'authentification.
Palo Alto Networks a confirmé des tentatives d'exploitation actives de CVE-2025-0108, qui peuvent être combinées avec d'autres vulnérabilités pour accéder à des pare-feu non corrigés. Selon GreyNoise, jusqu'à 25 adresses IP malveillantes exploitent activement cette vulnérabilité, avec une augmentation de l'activité des attaquants. En ce qui concerne CVE-2024-53704, Arctic Wolf a signalé que des acteurs malveillants exploitent cette faille peu après la publication d'un proof-of-concept. Les agences fédérales doivent remédier à ces vulnérabilités d'ici le 11 mars 2025.
Sources :
Winrar 7.10 augmente la confidentialité Windows en dépouillant les données MOTW
La version 7.10 de WinRAR, lancée le 17 février 2025, introduit plusieurs nouvelles fonctionnalités visant à améliorer la performance et la confidentialité des utilisateurs. Parmi les ajouts notables, on trouve des pages mémoire plus grandes, une interface de paramètres retravaillée et un mode sombre. Une fonctionnalité marquante est la possibilité de supprimer des informations potentiellement sensibles liées au "Mark of the Web" (MoTW) lors de l'extraction de fichiers. Le MoTW est un flux de données alternatif qui indique si un fichier a été téléchargé depuis Internet, ce qui peut entraîner des avertissements de sécurité sous Windows. La nouvelle option "Zone value only" permet de ne conserver que l'identifiant de zone (ZoneId) lors de la propagation des données MoTW, éliminant ainsi des informations telles que l'URL ou l'adresse IP, qui pourraient compromettre la vie privée de l'utilisateur. Bien que cette fonctionnalité puisse limiter les enquêtes numériques, elle est appréciée par ceux qui privilégient la confidentialité. Les utilisateurs peuvent choisir de rétablir la propagation complète des données MoTW en modifiant les paramètres de sécurité de WinRAR. Cette mise à jour répond à une préoccupation croissante concernant la protection des données personnelles.
Sources :
Mod de Garry fissuré, Beamng.Drive Games Infecte les joueurs avec des mineurs
Une campagne de malware à grande échelle, nommée "StaryDobry", cible les joueurs du monde entier en diffusant des versions trojanisées de jeux piratés tels que Garry's Mod et BeamNG.drive. Ces jeux, très populaires avec des critiques élogieuses sur Steam, sont des cibles idéales pour des activités malveillantes. Selon Kaspersky, la campagne a débuté fin décembre 2024 et a principalement touché des utilisateurs en Allemagne, Russie, Brésil, Biélorussie et Kazakhstan. Les acteurs malveillants ont téléchargé des installateurs infectés sur des sites de torrent, déclenchant les charges utiles pendant les vacances pour éviter la détection. Le processus d'infection utilise un dropper qui s'installe discrètement et collecte des informations système avant d'installer un mineur de cryptomonnaie XMRig. Ce mineur, modifié pour éviter la détection, se connecte à des serveurs privés, rendant les gains plus difficiles à tracer. Kaspersky n'a pas pu attribuer ces attaques à un groupe spécifique, mais suspecte un acteur russophone. Cette campagne illustre comment les acteurs malveillants exploitent la recherche de jeux gratuits pour cibler des machines de jeu puissantes.
Sources :
Le géant du capital-risque Insight Partners frappé par la cyberattaque
La société de capital-risque Insight Partners, basée à New York et gérant plus de 90 milliards de dollars d'actifs, a révélé avoir subi une cyberattaque en janvier 2025, suite à une attaque de social engineering. Le 16 janvier, des systèmes d'information de l'entreprise ont été compromis. Après avoir détecté la violation, Insight Partners a immédiatement informé les autorités compétentes et engagé des experts en cybersécurité pour évaluer l'impact de l'incident. Dans un communiqué, la société a affirmé avoir agi rapidement pour contenir et remédier à la situation, tout en alertant ses parties prenantes sur la nécessité de renforcer les protocoles de sécurité. Bien qu'aucune preuve n'ait été trouvée indiquant que les attaquants avaient maintenu l'accès à leur réseau après la découverte de l'incident, Insight Partners n'a pas précisé si des données d'entreprise ou de partenaires avaient été compromises. L'entreprise a assuré qu'il n'y avait pas eu de perturbations opérationnelles significatives et qu'elle travaillait avec des experts pour déterminer l'ampleur de l'incident. Des mises à jour seront fournies aux personnes concernées au fur et à mesure de l'avancement de l'enquête.
Sources :
Microsoft rappelle aux administrateurs de se préparer à la dépréciation de la synchronisation du pilote WSUS
Microsoft a rappelé aux administrateurs informatiques que la synchronisation des pilotes dans Windows Server Update Services (WSUS) sera dépréciée le 18 avril 2025, soit dans 60 jours. Après cette date, les entreprises sont encouragées à adopter des solutions basées sur le cloud pour les mises à jour des clients et des serveurs, telles que Windows Autopatch, Azure Update Manager et Microsoft Intune. Bien que les pilotes resteront disponibles dans le catalogue Microsoft Update pour les environnements sur site, leur importation dans WSUS ne sera plus possible. Les administrateurs devront donc utiliser des solutions alternatives comme les paquets de pilotes ou migrer vers des services de pilotes basés sur le cloud. Ce rappel fait suite à plusieurs avertissements depuis juin 2024 concernant la dépréciation de la synchronisation des pilotes WSUS. Microsoft a également annoncé en septembre 2024 que, bien que WSUS soit déprécié, les mises à jour continueront d'être publiées via ce canal et que les fonctionnalités existantes seront maintenues. WSUS, introduit en 2005, permet aux administrateurs de gérer les mises à jour des produits Microsoft sur de nombreux appareils Windows à partir d'un seul serveur.
Sources :
Les pirates chinois abusent de l'outil Microsoft App-V pour échapper à l'antivirus
Le groupe de hackers chinois "Mustang Panda" a été identifié en train d'exploiter l'outil Microsoft Application Virtualization Injector (MAVInject.exe) pour injecter des charges malveillantes dans des processus légitimes, contournant ainsi les logiciels antivirus. Cette technique, découverte par Trend Micro, a touché plus de 200 victimes depuis 2022, principalement des entités gouvernementales dans la région Asie-Pacifique. Les attaques se font principalement par le biais d'emails de phishing ciblés, se faisant passer pour des agences gouvernementales ou des ONG. Les emails contiennent un fichier malveillant (IRSetup.exe) qui, une fois exécuté, dépose des fichiers dans C:\ProgramData\session, y compris des composants malveillants et un PDF trompeur. Mustang Panda utilise MAVInject.exe pour injecter des malwares dans waitfor.exe, un processus Windows de confiance, permettant ainsi à ces malwares de passer inaperçus. Le malware, une version modifiée du backdoor TONESHELL, établit une connexion avec un serveur de commande et contrôle. ESET a contesté les conclusions de Trend Micro, affirmant que leur technologie protège déjà contre cette menace et que la technique n'est pas nouvelle.
Sources :
Les nouveaux défauts OpenSSH exposent les serveurs SSH aux attaques MITM et DOS
OpenSSH a récemment publié des mises à jour de sécurité pour corriger deux vulnérabilités critiques : une faille de type man-in-the-middle (MitM) et une faille de déni de service (DoS). Découverte par Qualys, la vulnérabilité MitM, identifiée sous le code CVE-2025-26465, a été introduite en décembre 2014 et permet à des attaquants de tromper les clients OpenSSH en acceptant des clés de serveurs malveillants, même si l'option 'VerifyHostKeyDNS' est activée. Cette faille peut être exploitée sans interaction de l'utilisateur, rendant de nombreux systèmes vulnérables, notamment ceux utilisant FreeBSD. La seconde vulnérabilité, CVE-2025-26466, est une faille DoS pré-authentification introduite dans OpenSSH 9.5p1, permettant à un attaquant d'envoyer des messages ping pour saturer la mémoire et provoquer des surcharges CPU, entraînant potentiellement des plantages système. Les utilisateurs sont fortement encouragés à mettre à jour vers OpenSSH 9.9p2, à désactiver l'option 'VerifyHostKeyDNS' si possible, et à surveiller le trafic SSH pour prévenir les attaques. Des détails techniques supplémentaires sont disponibles via Qualys.
Sources :
Juniper Patches Critical Auth Typass en session Routeurs intelligents
Juniper Networks a corrigé une vulnérabilité critique (CVE-2025-21589) permettant aux attaquants de contourner l'authentification et de prendre le contrôle des Routeurs Session Smart (SSR). Cette faille a été découverte lors de tests de sécurité internes et affecte également le Session Smart Conductor et les Routeurs WAN Assurance. Dans un avis de sécurité, Juniper a indiqué qu'aucune preuve d'attaques exploitant cette vulnérabilité n'avait été trouvée jusqu'à présent. Les versions corrigées incluent SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts, SSR-6.3.3-r2 et les versions ultérieures. Les administrateurs sont conseillés de mettre à jour tous les systèmes concernés. Dans un déploiement géré par Conductor, il suffit de mettre à jour les nœuds Conductor pour appliquer automatiquement la correction aux routeurs connectés. Les appareils Juniper sont souvent ciblés en raison de leur utilisation dans des environnements critiques, et des mises à jour de sécurité sont fréquemment exploitées dans la semaine suivant leur publication. Des alertes antérieures ont signalé des attaques exploitant des failles similaires, soulignant la nécessité d'une vigilance continue face aux menaces.
Sources :
La conformité n'est pas la sécurité: pourquoi une liste de contrôle n'arrêtera pas les cyberattaques
L'article d'Autumn Stambaugh souligne que la conformité aux cadres de sécurité ne garantit pas la protection contre les cyberattaques. En 2024, le coût moyen d'une violation de données a atteint 4,88 millions de dollars, illustrant l'inefficacité de la conformité seule face aux menaces. Des entreprises comme MGM Resorts et AT&T ont subi des violations majeures en raison de vulnérabilités non corrigées et de contrôles de sécurité insuffisants. Bien que des cadres comme PCI-DSS et SEC fournissent des directives pour protéger les données sensibles, ils ne tiennent pas compte de l'évolution rapide des menaces ni de l'efficacité des contrôles mis en place. Les organisations se concentrent souvent sur le passage des audits et l'implémentation d'outils de détection, négligeant la validation continue de leur sécurité. Pour contrer les cybermenaces, il est essentiel de réaliser des tests de pénétration réguliers et d'utiliser des validations automatisées. De plus, surveiller les identifiants exposés et appliquer des politiques de mots de passe robustes, ainsi que l'authentification multi-facteurs, sont des mesures cruciales. En somme, la conformité doit être considérée comme une base, tandis que la sécurité nécessite des tests et des améliorations constantes pour faire face aux attaques réelles.
