Piratage de Bybit : un signal d'alarme pour la sécurité des cryptomonnaies - Actus du 25/02/2025
Découvrez comment le hacker le plus recherché défie le FBI, explorez les prouesses du sonnet Claude 3.7 d'Anthropic et restez informé des 5 campagnes de logiciels malveillants actives en 2025. Des révélations à ne pas manquer !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le hacker le plus traqué au monde fait une offre au nouveau patron du FBI, nommé par Trump
Le gang de hackers Lockbit, responsable de plusieurs cyberattaques, notamment contre des hôpitaux en France, tente de tirer parti de la nomination de Kash Patel à la tête du FBI. Dans un message publié sur le darknet le 25 février 2025, le leader du groupe, Dmitry Khoroshev, propose à Patel une « archive d’informations classifiées », prétendant que cela renforcerait la sécurité nationale des États-Unis. Ce message, teinté d'ironie, s'inscrit dans une rhétorique pro-Trump, insinuant que ces informations pourraient nuire à la réputation du FBI. Patel, connu pour ses positions controversées et son soutien à des théories du complot, pourrait être une cible de manipulation de la part de Lockbit, dont l'influence a diminué suite à des opérations menées par le FBI et Europol. Les autorités ont déjà identifié Khoroshev comme le chef du gang, qui a vu sa réputation ternie par des allégations de collaboration avec le FBI. Ce contexte souligne la fragilité actuelle de Lockbit, qui cherche à regagner de l'influence en exploitant les tensions politiques et les croyances complotistes.
Sources :
Le sonnet Claude 3.7 d'Anthropic est là et les résultats sont fous
Anthropic a lancé Claude 3.7 Sonnet, son modèle le plus avancé et premier modèle hybride de raisonnement. Les premiers tests montrent qu'il surpasse ses concurrents, y compris les modèles ChatGPT d'OpenAI et DeepSeek de Chine. Selon un article de blog d'Anthropic, Claude 3.7 combine des réponses rapides et simples avec une capacité de raisonnement étape par étape pour des tâches complexes, le rendant particulièrement efficace pour la programmation. Un test de référence, le "Software engineering (SWE-bench verified)", révèle que Claude 3.7 atteint environ 62 % de précision, montant à 70 % avec un soutien supplémentaire lors des tests. En comparaison, les modèles concurrents, comme Claude 3.5 et ceux d'OpenAI, se situent autour de 50 %. Les utilisateurs expriment leur enthousiasme sur Reddit, qualifiant les résultats de "fou" et partageant des expériences où Claude a résolu des bugs que d'autres modèles n'ont pas pu. Un utilisateur a même mentionné que Claude avait généré un projet de 5000 lignes de code en un temps record. En outre, le mode de "pensée étendue" de Claude 3.7 améliore la précision dans des domaines comme les mathématiques et les sciences, surpassant largement d'autres modèles.
Sources :
5 campagnes de logiciels malveillants actifs au premier trimestre 2025
Cet article décrit des méthodes sophistiquées utilisées par des cybercriminels pour infiltrer des systèmes informatiques via des logiciels malveillants tels que NetSupport RAT, Lynx ransomware, AsyncRAT, Lumma Stealer et InvisibleFerret. Les attaquants injectent de fausses pages CAPTCHA sur des sites compromis, incitant les utilisateurs à exécuter des commandes PowerShell malveillantes. Une fois installé, NetSupport RAT permet un contrôle total du système de la victime, incluant la surveillance d'écran et la manipulation de fichiers. Lynx ransomware, quant à lui, cible divers secteurs en cryptant toutes les données sensibles, tandis qu'AsyncRAT permet l'exécution de commandes et la gestion de fichiers. Lumma Stealer exploite l'infrastructure de GitHub pour se propager, dérobant des informations d'identification et des données personnelles. InvisibleFerret, un malware basé sur Python, utilise des scripts obfusqués pour exfiltrer des informations sensibles, en s'appuyant sur un module malveillant, BeaverTail, pour établir une porte dérobée. L'article souligne l'importance d'outils comme ANY.RUN's Interactive Sandbox pour analyser les malwares en temps réel, détecter les menaces et renforcer les défenses avant qu'une attaque ne s'intensifie.
Sources :
Orange Group confirme les violations après les documents de la société de fuite de pirate
Le 25 février 2025, Orange Group a confirmé une violation de ses systèmes après qu'un hacker, utilisant le pseudonyme Rey, a divulgué des milliers de documents internes, y compris des données d'utilisateurs et d'employés. Le groupe HellCat, auquel Rey est affilié, a tenté d'extorquer l'entreprise sans succès. Orange a déclaré que la violation concernait une application non critique et a lancé une enquête pour évaluer l'impact. Selon Rey, les données volées proviennent principalement de la branche roumaine d'Orange et incluent 380 000 adresses e-mail uniques, du code source, des factures, des contrats, ainsi que des informations sur les clients et les employés. Le hacker a eu accès aux systèmes d'Orange pendant plus d'un mois avant d'exfiltrer les données en trois heures, sans détection. Les échantillons partagés montrent des adresses e-mail d'anciens et actuels employés, ainsi que des informations de cartes de paiement, dont beaucoup étaient périmées. Orange a assuré qu'il n'y avait pas eu d'impact sur les opérations des clients et que ses équipes de cybersécurité travaillent à minimiser les conséquences de cette violation. L'entreprise coopère également avec les autorités compétentes.
Sources :
2 500+ variantes de pilote Truesight.sys exploitées pour contourner EDR et déployer Hiddengh0st Rat
Une campagne de malware à grande échelle a été découverte, exploitant un pilote Windows vulnérable lié à la suite de produits d'Adlice pour contourner les efforts de détection et déployer le malware Gh0st RAT. Selon Check Point, les attaquants ont généré plusieurs variantes du pilote 2.0.2 en modifiant des parties spécifiques tout en maintenant la signature valide. Cette activité malveillante a impliqué des milliers d'échantillons utilisés pour déployer un programme capable de désactiver les logiciels de détection et de réponse des points de terminaison (EDR) via une attaque BYOVD (Bring Your Own Vulnerable Driver). Environ 2 500 variantes distinctes du pilote vulnérable truesight.sys ont été identifiées, bien que ce chiffre soit probablement plus élevé. Les attaques, qui ciblent principalement des victimes en Chine, se propagent par des applications déguisées et des sites frauduleux. Le module EDR-killer utilise la technique BYOVD pour désactiver les processus de sécurité, contournant ainsi la liste de blocage des pilotes vulnérables de Microsoft. La campagne se termine par le déploiement d'une variante de Gh0st RAT, permettant aux attaquants de contrôler à distance les systèmes compromis. Microsoft a mis à jour sa liste de blocage pour inclure ce pilote, bloquant ainsi l'exploitation.
Sources :
Gitvenom Malware vole 456 000 $ en Bitcoin en utilisant de faux projets GitHub pour détourner les portefeuilles
Des chercheurs en cybersécurité alertent sur une campagne en cours ciblant les joueurs et les investisseurs en cryptomonnaie, déguisée en projets open-source sur GitHub, nommée GitVenom par Kaspersky. Cette campagne, qui s'étend sur des centaines de dépôts, propose des outils prétendument légitimes, comme un automate pour Instagram, un bot Telegram pour gérer des portefeuilles Bitcoin, et un outil de piratage pour le jeu Valorant. Cependant, ces fonctionnalités sont fausses et les cybercriminels volent des données personnelles et bancaires, ainsi que des adresses de cryptomonnaies. Environ 5 bitcoins, d'une valeur de 456 600 dollars, auraient été dérobés. La campagne dure depuis au moins deux ans, avec des tentatives d'infection principalement en Russie, au Brésil et en Turquie. Les projets sont écrits dans divers langages de programmation et visent à exécuter un code malveillant pour récupérer des informations sensibles. Kaspersky souligne l'importance de vérifier soigneusement le code tiers avant de l'exécuter. Parallèlement, Bitdefender révèle que des escrocs exploitent des tournois d'e-sport pour tromper les joueurs de Counter-Strike 2, en usurpant des comptes YouTube de joueurs professionnels pour des arnaques.
Sources :
Arnaque SMS : L’escroquerie au « colis non livré » revient sur vos smartphones pendant les vacances
Une campagne de phishing par SMS refait surface pendant les vacances, utilisant le prétexte d'un colis non livré pour tromper les victimes. Les cybercriminels envoient des messages usurpant Mondial Relay, prétendant que le colis ne peut pas être livré à cause d'un problème de boîte aux lettres. Un SMS reçu le 25 février a alerté sur cette arnaque. Les escrocs ont mis en place un site d'escroquerie protégé par un code CAPTCHA pour éviter les filtres anti-fraude, imitant l'apparence de Mondial Relay et incitant les utilisateurs à payer pour reprogrammer la livraison. En plus de voler quelques euros, ils accèdent aux données bancaires des victimes pour les revendre. Pour éviter de tomber dans le piège, il est conseillé de vérifier le numéro de l'expéditeur, de ne pas cliquer sur des liens suspects, de consulter directement le site du service de livraison avec le numéro de colis, et de contacter les entreprises concernées en cas de doute. La prudence est essentielle, surtout en période de vacances, pour se protéger contre ces arnaques.
Sources :
Piratage de Bybit : un signal d’alarme pour la sécurité des cryptomonnaies et l’avenir de la protection multisignature
Un détournement spectaculaire dans le domaine des cryptoactifs a vu des cybercriminels s'emparer de 1,5 milliard de dollars d'actifs numériques, principalement des tokens Ethereum, en infiltrant un portefeuille hors ligne de Bybit. Contrairement aux attaques traditionnelles exploitant des failles de protocole, les attaquants ont utilisé une ingénierie sociale sophistiquée pour tromper les utilisateurs et compromettre une installation multisignatures. En juillet, Check Point a identifié une méthode d'attaque qui détournait des transactions légitimes via la fonction execTransaction du protocole Safe. Cet incident remet en question la sécurité des portefeuilles multisignatures, démontrant qu'aucun système n'est infaillible si les signataires sont manipulés. L'alerte de Check Point a révélé une anomalie critique dans le réseau Ethereum, soulignant l'importance de la détection précoce des menaces. L'attaque illustre que les portefeuilles hors ligne ne garantissent pas une sécurité absolue si l'interface utilisateur est altérée. Pour se prémunir contre de telles attaques, le secteur doit adopter une approche proactive de la sécurité, incluant des stratégies de prévention en temps réel et une mise en œuvre de la sécurité Zero Trust, considérant chaque dispositif comme potentiellement compromis.
Sources :
Les joueurs de Counter-Strike 2 sont la cible d’un nouveau piège de hackers
La communauté de Counter-Strike 2 (CS2) est actuellement ciblée par des hackers, selon un rapport de BitDefender publié le 20 février 2025. Des cybercriminels détournent des chaînes YouTube populaires pour créer de faux streams, usurpant l'identité d'influenceurs du jeu. Ce phénomène touche des personnalités connues, comme Michou et Florent Manaudou, qui ont vu leurs comptes piratés. Les hackers exploitent l'audience massive de ces chaînes pour lancer des arnaques, notamment en proposant des produits inexistants liés au marché lucratif des skins et accessoires de CS2. Les joueurs renommés, tels que s1mple et NiKo, ont également été victimes de cette usurpation. BitDefender met en garde les joueurs sur les risques de piratage et propose des conseils pour se protéger : vérifier l'authenticité des chaînes, éviter les liens suspects, se méfier des offres trop alléchantes et sécuriser son compte Steam avec l'authentification multifacteur. La protection des comptes de jeux vidéo est cruciale pour éviter des pertes financières et la divulgation d'informations sensibles. Les joueurs doivent rester vigilants face à ces menaces croissantes dans l'univers du gaming.
Sources :
Est-il vrai que les données personnelles valent de l’or ? [Sponso]
Lorsque vous naviguez sur Internet, vous laissez une empreinte numérique précieuse pour les entreprises et les cybercriminels. Vos données personnelles, telles que votre localisation et vos habitudes, sont collectées et peuvent être revendues sur le dark web. Les hackers utilisent diverses méthodes, comme le phishing et les malwares, pour accéder à des informations sensibles, entraînant des conséquences graves telles que l'usurpation d'identité et des transactions frauduleuses. Malgré leur faible valeur marchande, ces données peuvent causer des dommages financiers importants aux victimes. Une étude de Sopra Steria révèle que les données personnelles, même associées à des documents officiels, sont vendues à des prix dérisoires. Pour se protéger, il est crucial d'adopter de bonnes pratiques : utiliser des mots de passe forts, activer l'authentification à double facteur, maintenir ses logiciels à jour, et installer des solutions de cybersécurité comme Bitdefender. En suivant ces recommandations, les internautes peuvent mieux sécuriser leurs informations et réduire les risques liés à la cybercriminalité. La sensibilisation et la vigilance sont essentielles pour naviguer en toute sécurité dans un environnement numérique de plus en plus risqué.
Sources :
Les attaques de phishing fatalrat ciblent les industries APAC en utilisant des services de cloud chinois
Des organisations industrielles de la région Asie-Pacifique (APAC) ont été ciblées par des attaques de phishing visant à déployer le malware FatalRAT. Selon un rapport de Kaspersky ICS CERT, les attaquants ont utilisé des services légitimes tels que myqcloud et Youdao Cloud Notes pour orchestrer ces attaques. La campagne a principalement visé des agences gouvernementales et des secteurs industriels comme la fabrication, la santé et les télécommunications, dans des pays tels que Taïwan, la Malaisie et le Japon. Les emails de phishing contenaient des pièces jointes avec des noms de fichiers en chinois, suggérant que les cibles étaient des locuteurs chinois. FatalRAT, un cheval de Troie sophistiqué, effectue des vérifications pour éviter d'être détecté dans des environnements virtuels et peut exécuter diverses fonctions malveillantes, comme le vol de données et la manipulation de systèmes. Les attaquants ont utilisé des techniques de chargement de DLL pour dissimuler l'infection. Bien que l'identité des attaquants reste inconnue, des éléments indiquent qu'un acteur de langue chinoise pourrait être impliqué, reflétant des campagnes d'attaques interconnectées.
Sources :
Deux défauts de sécurité activement exploités dans Adobe et Oracle Products signalés par CISA
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté deux vulnérabilités affectant Adobe ColdFusion et Oracle Agile Product Lifecycle Management (PLM) à son catalogue des vulnérabilités exploitées, en raison de preuves d'exploitation active. Les vulnérabilités concernées sont : CVE-2017-3066 (score CVSS : 9.8), une vulnérabilité de désérialisation dans la bibliothèque Apache BlazeDS d'Adobe ColdFusion, permettant l'exécution de code arbitraire, corrigée en avril 2017 ; et CVE-2024-20953 (score CVSS : 8.8), une vulnérabilité de désérialisation dans Oracle Agile PLM, permettant à un attaquant peu privilégié d'accéder au système via HTTP, corrigée en janvier 2024. Bien qu'aucun rapport public ne mentionne l'exploitation de ces vulnérabilités, une autre vulnérabilité d'Oracle Agile PLM (CVE-2024-21287, score CVSS : 7.5) a été activement exploitée l'année dernière. Pour atténuer les risques, il est conseillé aux utilisateurs d'appliquer les mises à jour nécessaires, les agences fédérales ayant jusqu'au 17 mars 2025 pour sécuriser leurs réseaux. Par ailleurs, des tentatives d'exploitation ciblant une faille de sécurité Cisco récemment corrigée ont été révélées, impliquant des adresses IP malveillantes principalement en provenance de Bulgarie, du Brésil et de Singapour.
Sources :
Openai interdit les comptes Chatgpt utilisés par les pirates nord-coréens
OpenAI a récemment interdit plusieurs comptes associés à des groupes de hackers nord-coréens utilisant sa plateforme ChatGPT pour cibler des réseaux et planifier des cyberattaques. Dans son rapport de renseignement sur les menaces de février 2025, l'entreprise a précisé que ces comptes étaient liés à des acteurs menaçants tels que VELVET CHOLLIMA et STARDUST CHOLLIMA. Les hackers ont exploité ChatGPT pour rechercher des outils d'attaque, des informations sur les cryptomonnaies, et pour obtenir de l'aide en programmation, notamment pour des outils d'administration à distance. OpenAI a également découvert que ces acteurs divulguaient des URL de staging pour des binaires malveillants, facilitant ainsi leur détection par la communauté de la sécurité. En outre, les comptes bannis étaient impliqués dans des activités telles que le développement de clients RDP, la création de scripts PowerShell pour des connexions RDP, et la rédaction de courriels de phishing ciblant des investisseurs en cryptomonnaies. OpenAI a également identifié des tentatives d'infiltration par des travailleurs IT nord-coréens cherchant à obtenir des revenus pour le régime de Pyongyang. Depuis octobre 2024, l'entreprise a interrompu plusieurs campagnes de cyber-opérations liées à des hackers soutenus par l'État iranien et chinois.
Sources :
La Russie prévient le secteur financier du principal fournisseur de services informatiques hack
Le 24 février 2025, le Centre national de coordination des incidents informatiques de Russie (NKTsKI) a averti le secteur financier du pays d'une violation de sécurité chez LANIT, un important fournisseur de services informatiques. L'attaque, survenue le 21 février, a potentiellement touché deux filiales de LANIT, LLC LANTER et LLC LAN ATMservice, qui se spécialisent dans les technologies bancaires. LANIT, considéré comme le plus grand intégrateur de systèmes en Russie, a des clients notables, y compris le ministère de la Défense russe, ce qui a conduit à des sanctions américaines en mai 2024. En raison de cette violation, le NKTsKI recommande aux organisations concernées de changer immédiatement leurs mots de passe et clés d'accès, ainsi que de renforcer la surveillance des menaces. Bien que les détails sur la manière dont les attaquants ont accédé au réseau de LANIT restent flous, cette situation soulève des inquiétudes quant à des compromissions potentielles dans la chaîne d'approvisionnement. Les banques et opérateurs de distributeurs automatiques en Russie ont déjà été ciblés par des hackers ukrainiens, utilisant souvent des tactiques de déni de service distribué (DDoS) pour perturber les services.
Sources :
Microsoft teste les applications de bureau soutenues par la publicité pour les utilisateurs de Windows
Microsoft teste actuellement des versions d'applications Office pour Windows soutenues par des publicités, permettant aux utilisateurs d'éditer des documents avec des fonctionnalités limitées. Bien que les applications Microsoft 365 soient déjà disponibles gratuitement en ligne, ces nouvelles versions de bureau affichent des annonces dans un panneau vertical à droite de l'écran. Les utilisateurs verront également des messages incitant à s'abonner à Microsoft 365 pour supprimer les publicités. Pour participer à ce test, il faut télécharger Microsoft 365 et suivre certaines étapes pour accéder aux applications Word, Excel et PowerPoint gratuites. Cependant, il est important de noter que les documents ne peuvent être enregistrés localement sans un abonnement, les utilisateurs étant contraints de sauvegarder sur OneDrive. Microsoft a confirmé qu'il s'agit d'un test limité et qu'aucun lancement officiel n'est prévu pour le moment. Ce n'est pas la première fois que Microsoft intègre des publicités dans ses produits, ayant déjà expérimenté des annonces dans le menu Démarrer de Windows 11 et d'autres services. Les réactions des utilisateurs sont mitigées, certains critiquant cette approche jugée intrusive.
Sources :
L'Australie interdit tous les produits Kaspersky sur les systèmes gouvernementaux
Le gouvernement australien a décidé d'interdire tous les produits et services web de Kaspersky Lab sur ses systèmes, invoquant des risques de sécurité significatifs. Stephanie Foster, secrétaire du Département des affaires intérieures, a justifié cette décision par des analyses de menaces, soulignant que l'utilisation des produits de Kaspersky par les entités gouvernementales représente un risque inacceptable en raison de possibles interférences étrangères, d'espionnage et de sabotage. La directive impose aux entités concernées d'identifier et de retirer tous les produits Kaspersky, d'empêcher leur installation future et de rendre compte de leur conformité. Une exemption est prévue pour des cas liés à la sécurité nationale ou à des fonctions réglementaires. En réponse, un porte-parole de Kaspersky a contesté ces allégations, affirmant qu'elles manquent de preuves concrètes et que la décision est motivée par des considérations politiques plutôt que techniques. Kaspersky a également noté que cette interdiction s'inscrit dans un contexte géopolitique plus large, similaire à des actions prises par d'autres pays occidentaux, tels que les États-Unis et le Canada, qui ont également restreint l'utilisation de leurs produits pour des raisons de sécurité nationale.
Sources :
Botnet Targets Basic Auth dans Microsoft 365 Mot de passe Attaques de spray
Un botnet massif, composé de plus de 130 000 dispositifs compromis, mène des attaques par pulvérisation de mots de passe contre des comptes Microsoft 365 (M365) à l'échelle mondiale, en ciblant l'authentification de base pour contourner l'authentification multi-facteurs (MFA). Selon un rapport de SecurityScorecard, les attaquants exploitent des identifiants volés par des malwares pour cibler les comptes sans déclencher d'alertes de sécurité. L'authentification de base, qui transmet les identifiants en clair, est vulnérable et Microsoft prévoit de la remplacer par OAuth 2.0 en septembre 2025. Les attaques utilisent des connexions non interactives, ce qui permet aux attaquants de vérifier discrètement les identifiants sans être soumis à la MFA ou aux politiques d'accès conditionnel. Les signes d'attaques peuvent être détectés dans les journaux Entra ID, montrant des tentatives de connexion non interactives et des échecs multiples. SecurityScorecard suggère que les opérateurs du botnet pourraient être affiliés à des acteurs chinois, bien qu'aucune attribution claire ne soit établie. Les organisations sont conseillées de désactiver l'authentification de base, de bloquer les adresses IP suspectes et d'activer la MFA sur tous les comptes.
Sources :
Une nouvelle campagne de logiciels malveillants utilise un logiciel Cracked pour répandre Lumma et ACR Stealer
Des chercheurs en cybersécurité mettent en garde contre une nouvelle campagne exploitant des versions piratées de logiciels pour diffuser des voleurs d'informations tels que Lumma et ACR Stealer. Le Centre de renseignement sur la sécurité d'AhnLab (ASEC) a noté une augmentation de la distribution d'ACR Stealer depuis janvier 2025. Ce malware utilise une technique appelée "dead drop resolver" pour extraire le serveur de commande et de contrôle (C2) en s'appuyant sur des services légitimes comme Steam et Google Forms. ACR Stealer, précédemment diffusé via le malware Hijack Loader, peut collecter diverses informations sur les systèmes compromis. Parallèlement, ASEC a signalé une autre campagne utilisant des fichiers "MSC" pour livrer le malware Rhadamanthys, exploitant une vulnérabilité (CVE-2024-43572) dans le Microsoft Management Console. Les campagnes de malware exploitent également des plateformes de support comme Zendesk pour tromper les agents de support. Selon Hudson Rock, plus de 30 millions d'ordinateurs ont été infectés, entraînant le vol de données sensibles. Les cybercriminels peuvent acheter ces données pour aussi peu que 10 $ par log, soulignant les risques importants pour les environnements d'entreprise sensibles.
Sources :
Des pirates nord-coréens liés à 1,5 milliard de dollars de bila
Des experts en sécurité blockchain ont établi un lien entre le groupe de hackers nord-coréen Lazarus et le vol de plus de 1,5 milliard de dollars lors d'un braquage de la plateforme d'échange de cryptomonnaies Bybit, considéré comme le plus important de l'histoire. Le 21 février 2025, Bybit a détecté une activité non autorisée lors d'un transfert prévu de fonds d'un portefeuille froid vers un portefeuille chaud. Les attaquants ont manipulé le contrat intelligent, permettant ainsi le détournement de plus de 400 000 ETH et stETH vers une adresse sous leur contrôle. Malgré cette perte, Bybit a affirmé que ses services restaient largement opérationnels et que ses autres actifs étaient sécurisés. L'enquête menée par ZachXBT a révélé que les fonds volés avaient été transférés vers des adresses utilisées dans d'autres hacks, liant ainsi le braquage de Bybit à des attaques antérieures. Les hackers auraient également utilisé des mèmes et des échanges pour blanchir les fonds. Bien qu'eXch, un échange impliqué, ait nié toute implication dans le blanchiment, des analyses blockchain ont confirmé l'implication des hackers nord-coréens dans cette opération. En 2024, ces hackers auraient volé 1,34 milliard de dollars dans 47 attaques.
