RomCom exploite des failles zero-day dans ses récentes campagnes de backdoor - Actus du 02/12/2024
Découvrez comment le malware SmokeLoader cible Taïwan, les efforts de Mozilla pour imposer Firefox sur Windows, et les répercussions de la cyberattaque chez Guy Demarle. Protégez vos données et restez informé!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le malware SmokeLoader refait surface, ciblant les secteurs de la fabrication et de l'informatique à Taïwan
Des entités taïwanaises dans les secteurs de la fabrication, de la santé et des technologies de l'information sont ciblées par une nouvelle campagne de distribution du malware SmokeLoader. Ce malware, connu pour sa polyvalence et ses techniques d'évasion avancées, est principalement utilisé comme téléchargeur pour d'autres malwares, mais dans ce cas, il exécute directement l'attaque en téléchargeant des plugins depuis son serveur de commande et de contrôle (C2). SmokeLoader, apparu en 2011, est conçu pour exécuter des charges utiles secondaires et peut également voler des données, lancer des attaques DDoS et miner des cryptomonnaies. Il utilise des techniques d'obfuscation pour éviter la détection. Bien que son activité ait diminué après l'Opération Endgame, qui a démantelé de nombreuses infrastructures de malwares, SmokeLoader est toujours utilisé par des groupes de menaces grâce à des versions piratées disponibles en ligne. La dernière chaîne d'attaque commence par un email de phishing contenant une pièce jointe Excel exploitant des vulnérabilités anciennes pour déployer SmokeLoader. Ce malware se compose d'un stager et d'un module principal, capable de voler des informations sensibles via divers plugins, soulignant la nécessité d'une vigilance accrue face à des malwares connus.
Sources :
Mozilla souhaite vraiment que vous puissiez facilement définir Firefox comme navigateur Windows par défaut
Mozilla cherche à renforcer l'attractivité de Firefox face à la domination de Google et à la montée de Microsoft Edge. Pour cela, l'entreprise teste une nouvelle fonctionnalité facilitant la définition de Firefox comme navigateur par défaut lors de son installation sur Windows. Dans la version bêta de Firefox, un nouvel écran de configuration permet aux utilisateurs de personnaliser leur expérience immédiatement après l'installation. Cet écran met en avant le soutien de Mozilla en tant qu'organisation à but non lucratif et son engagement envers la protection de la vie privée des utilisateurs. Les utilisateurs peuvent choisir de fixer Firefox comme navigateur par défaut, de l'épingler à la barre des tâches ou d'importer des données d'un autre navigateur. De plus, cette initiative s'inscrit dans un projet plus large visant à simplifier le processus d'intégration pour ceux qui téléchargent Firefox via des campagnes marketing. Si un utilisateur installe Firefox à partir d'une campagne promouvant le navigateur comme "par défaut", le processus de configuration se fait automatiquement, sans intervention manuelle. Cette fonctionnalité est actuellement testée dans les versions Nightly et Beta de Firefox avant son déploiement prévu dans la version 135.
Sources :
Cyberattaque chez Guy Demarle : des données personnelles compromises
Dans la nuit du 12 au 13 octobre, la société Guy Demarle, spécialisée dans les ustensiles de cuisine, a subi une cyberattaque entraînant une fuite partielle de données personnelles de ses clients. Les informations compromises incluent les noms, adresses, e-mails et numéros de téléphone, mais les mots de passe, identifiants de connexion et données bancaires restent protégés. L'entreprise a rapidement réagi pour stopper l'intrusion et a informé la CNIL, conformément à la législation. Malgré l'absence de données bancaires, les informations exposées peuvent être utilisées pour des attaques de phishing et d'autres escroqueries. Guy Demarle a conseillé à ses clients de rester vigilants face aux e-mails ou SMS suspects, de ne pas cliquer sur des liens non sollicités, et de protéger leurs comptes en modifiant régulièrement leurs mots de passe et en activant l'authentification à deux facteurs. Cet incident souligne l'augmentation des cyberattaques en France et la nécessité d'une sensibilisation accrue des consommateurs aux bonnes pratiques de cybersécurité. Bien que l'entreprise ait agi efficacement, cela soulève des questions sur la robustesse des systèmes de sécurité en place. La vigilance collective est essentielle pour contrer la cybercriminalité.
Sources :
Les vulnérabilités du plugin anti-spam WordPress mettent en danger plus de 200 000 sites Web
Des vulnérabilités critiques ont été découvertes dans le plugin WordPress Spam protection, Anti-Spam, FireWall de CleanTalk, permettant une exécution de code à distance sur les sites ciblés. Selon un article de Wordfence, deux failles majeures ont été corrigées. La première, CVE-2024-10542 (CVSS 9.8), est une vulnérabilité de contournement d'autorisation qui pourrait permettre à un attaquant d'installer des plugins non autorisés et d'exécuter du code, exploitée via une usurpation DNS inverse. La seconde, CVE-2024-10781 (CVSS 8.1), résulte d'un manque de vérification de valeur vide sur la clé API, permettant à un adversaire non authentifié d'installer des plugins arbitraires. Ces vulnérabilités ont été signalées par le chercheur en sécurité Michael Mazzolini, qui a reçu une récompense de 4095 $ pour son rapport. Les développeurs du plugin ont rapidement publié des correctifs dans les versions 6.44 et 6.45. Avec plus de 200 000 installations actives, de nombreux sites sont potentiellement à risque. Il est donc crucial que tous les administrateurs WordPress utilisant ce plugin mettent à jour leurs sites vers la dernière version (6.45.2 au moment de l'écriture) pour bénéficier des correctifs.
Sources :
RomCom exploite des failles zero-day dans ses récentes campagnes de backdoor
Le groupe de cybercriminels RomCom, d'origine russe, a récemment exploité deux vulnérabilités zero-day pour déployer des malwares de type backdoor sur des systèmes Windows. Selon un rapport d'ESET, les vulnérabilités concernées sont CVE-2024-9680, une faille critique dans les produits Mozilla, et CVE-2024-49039, une vulnérabilité d'escalade de privilèges dans le Planificateur de tâches Windows. Bien que des correctifs aient été publiés pour ces failles, les systèmes non mis à jour restent vulnérables aux attaques. RomCom utilise des pages de phishing pour inciter les utilisateurs à télécharger le malware, qui exploite ensuite les vulnérabilités pour exécuter du code malveillant. Les attaques ciblent principalement des utilisateurs en Amérique du Nord et en Europe, avec une approche discrète, visant entre 1 et 250 utilisateurs par pays. Les experts soulignent l'importance de mettre à jour rapidement les systèmes pour éviter d'être compromis par ces menaces. En résumé, la vigilance et la mise à jour des logiciels sont essentielles pour se protéger contre les campagnes malveillantes de RomCom.
Sources :
Guide pour sécuriser le développement d'applications d'IA : participez à ce webinaire sur la cybersécurité
L'intelligence artificielle (IA) transforme notre quotidien, de la commande de café au diagnostic médical. Cependant, cette avancée technologique s'accompagne de risques, notamment des fuites de données et des menaces à la sécurité. Dans ce contexte, la sécurisation des projets d'IA devient essentielle. Liqian Lim, responsable marketing produit chez Snyk, propose un webinaire intitulé "Construire demain, en toute sécurité : sécuriser l'utilisation de l'IA dans le développement d'applications". Ce séminaire vise à fournir des outils et des connaissances pour relever les défis liés à l'innovation alimentée par l'IA. Les participants apprendront à sécuriser leurs projets dès le départ, à identifier des risques cachés, à comprendre le marché grâce à des données réelles sur la sécurité de l'IA, à intégrer des protections dans leur cycle de développement logiciel (SDLC) et à choisir les bons outils pour protéger leurs applications d'IA. Ce webinaire est une opportunité pour les développeurs, les leaders technologiques et les professionnels de la cybersécurité d'acquérir des stratégies pratiques. Avec l'accélération de la révolution de l'IA, sécuriser vos projets aujourd'hui est crucial pour éviter des problèmes futurs. Inscrivez-vous dès maintenant, les places sont limitées.
Sources :
Récapitulatif THN : principales menaces de cybersécurité, outils et conseils (du 25 novembre au 1er décembre)
Des systèmes d'IA sophistiqués sont désormais capables de créer des emails de phishing si convaincants qu'ils trompent même les experts en cybersécurité. Des malwares récents, tels que GHOSTSPIDER, surveillent les tentatives de détection et adaptent leur comportement pour échapper aux défenses. Les experts soupçonnent le groupe de hackers 'Salt Typhoon', lié à la Chine, d'être derrière ces attaques. Par ailleurs, un acteur de menace aligné sur la Russie, connu sous le nom de RomCom, a exploité deux vulnérabilités zero-day dans Mozilla Firefox et Microsoft Windows pour déployer un backdoor sans interaction utilisateur. En Russie, Mikhail Pavlovich Matveev, recherché aux États-Unis pour des opérations de ransomware LockBit et Hive, a été arrêté. Ce dernier avait établi un commerce sur Telegram pour vendre des services DDoS. D'autres familles de malwares, comme Raspberry Robin et XWorm, utilisent des techniques d'obfuscation pour échapper à la détection. Les groupes de ransomware adaptent rapidement leurs outils, exploitant des constructeurs existants pour mener leurs attaques. Face à ces menaces évolutives, des solutions comme CodeQL et des pratiques de sécurité renforcées sont essentielles pour protéger les organisations.
Sources :
8 millions d'utilisateurs Android touchés par le malware SpyLoan dans les applications de prêt sur Google Play
Plus d'une douzaine d'applications Android malveillantes, téléchargées plus de 8 millions de fois sur le Google Play Store, contiennent un malware appelé SpyLoan, selon McAfee Labs. Ces applications, qualifiées de programmes potentiellement indésirables (PUP), utilisent des tactiques de manipulation pour inciter les utilisateurs à fournir des informations sensibles et à accorder des autorisations excessives, entraînant extorsion et pertes financières. Les 15 applications identifiées prétendent offrir des prêts rapides avec peu d'exigences, ciblant des utilisateurs dans plusieurs pays, dont le Mexique et la Colombie. Certaines d'entre elles ont modifié leur contenu pour se conformer aux politiques de Google Play. SpyLoan, actif depuis 2020, a déjà été associé à d'autres applications frauduleuses. Ces apps collectent des données personnelles sous prétexte de vérification d'identité, en demandant des informations intrusives comme les contacts et les messages SMS. Les utilisateurs sont souvent piégés dans un cycle de dettes et de violations de la vie privée. Pour se protéger, il est crucial de vérifier les autorisations des applications et de s'assurer de la légitimité des développeurs avant de les télécharger. La menace des applications SpyLoan reste un problème mondial, exploitant la confiance et la détresse financière des utilisateurs.
Sources :
La fonction IA de Google Chrome vous permet de vérifier rapidement la fiabilité d’un site Web
Google Chrome introduit une nouvelle fonctionnalité alimentée par l'IA, appelée "Store reviews", qui permet aux utilisateurs de vérifier rapidement la fiabilité des sites web. Cette fonctionnalité résume les avis provenant de plateformes d'évaluation indépendantes telles que Trust Pilot et ScamAdvisor. Lorsqu'un utilisateur clique sur l'icône de verrouillage ou sur l'icône "i" dans la barre d'adresse, un panneau d'information s'affiche, incluant une section dédiée aux "Store reviews". En cliquant sur cette section, un résumé généré par l'IA apparaît, offrant une évaluation de la réputation du site basé sur divers avis. Cela permet aux utilisateurs de juger rapidement de la crédibilité d'un site sans avoir à consulter plusieurs sites d'avis. En outre, Chrome prévoit d'autres outils basés sur l'IA, notamment une protection améliorée contre les sites dangereux, les téléchargements et les extensions. Cette protection, auparavant appelée protection proactive, sera désormais désignée comme protection alimentée par l'IA. Google semble travailler sur plusieurs fonctionnalités IA pour Chrome, dont des détails supplémentaires devraient être révélés dans les mois à venir.
Sources :
Kaspersky prédit des ransomwares à l’épreuve du quantique et des avancées dans les cybermenaces financières mobiles en 2025
Dans le rapport 2025 sur les crimewares et les menaces financières, Kaspersky met en lumière l'évolution des cybermenaces, notamment une diminution des attaques par malware bancaire sur PC et une forte augmentation des menaces financières sur mobile, avec une hausse de 102 % des utilisateurs touchés en 2024 par rapport à 2023. Les ransomwares évoluent, intégrant des techniques d'empoisonnement des données, rendant les informations compromises douteuses même après décryptage. De plus, l'usage de la cryptographie post-quantique par des groupes avancés rendra le déchiffrement des données presque impossible. Le ransomware en tant que service (RaaS) facilitera l'accès à des attaques sophistiquées pour des acteurs moins expérimentés. Les cybercriminels cibleront également les banques centrales et les systèmes de paiement instantané, tandis que l'intelligence artificielle sera de plus en plus utilisée pour renforcer la cyberdéfense. De nouvelles menaces basées sur la blockchain émergeront, nécessitant une vigilance accrue. Kaspersky souligne l'importance de la formation des employés pour prévenir les attaques, car le personnel non informé reste un vecteur d'attaque courant. Le rapport complet est disponible sur Securelist pour des analyses approfondies et des prédictions.
Sources :
KeyFactor livre les 5 principes fondamentaux pour sécuriser l’IoT
L'interconnectivité croissante des appareils, allant des stimulateurs cardiaques aux voitures autonomes, soulève des préoccupations en matière de sécurité. KeyFactor, une solution de sécurité axée sur l'identité, souligne l'importance d'intégrer des principes de sécurité dès la conception des systèmes IoT. Cinq principes clés sont recommandés :
- Authentification unique : Chaque appareil doit disposer d'informations d'authentification uniques pour éviter que la compromission d'un appareil n'affecte les autres. L'utilisation de certificats numériques uniques est essentielle.
- Stockage sécurisé des clés : Les clés privées doivent être stockées dans des modules matériels sécurisés pour renforcer la sécurité.
- Vérification des mises à jour : Les appareils doivent pouvoir vérifier l'authenticité des mises à jour logicielles via une infrastructure de signature de code robuste.
- Racine de confiance : Les entreprises doivent gérer leur propre racine de confiance pour contrôler l'identité des appareils, évitant ainsi les risques liés au partage de cette racine.
- Gestion du cycle de vie : Une gestion continue des certificats et des clés est cruciale pour maintenir la sécurité, car les algorithmes et les clés peuvent s'affaiblir avec le temps.
Ces principes visent à garantir une sécurité renforcée dans un environnement IoT de plus en plus complexe.
Sources :
INTERPOL arrête 5 500 personnes dans le cadre d'une opération de répression mondiale contre la cybercriminalité et saisit plus de 400 millions de dollars
Une opération mondiale de lutte contre la criminalité financière a conduit à l'arrestation de plus de 5 500 suspects et à la saisie de plus de 400 millions de dollars en actifs virtuels et en monnaies soutenues par des gouvernements. Cette initiative, baptisée Operation HAECHI-V, a impliqué des autorités de 40 pays entre juillet et novembre 2024, selon INTERPOL. Le secrétaire général d'INTERPOL, Valdecy Urquiza, a souligné l'impact dévastateur des crimes liés à la cybercriminalité, qui peuvent entraîner la perte des économies de vie et nuire à la confiance dans les systèmes financiers. Dans le cadre de cette opération, des autorités coréennes et de Pékin ont démantelé un syndicat de phishing vocal responsable de pertes financières de 1,1 milliard de dollars. Au moins 27 membres de ce groupe criminel ont été arrêtés. INTERPOL a également émis un avis concernant une nouvelle escroquerie liée aux cryptomonnaies, le USDT Token Approval Scam, qui exploite des thèmes romantiques pour tromper les victimes. Cette opération fait suite à une précédente initiative qui avait abouti à l'arrestation de près de 3 500 personnes et à des saisies de 300 millions de dollars dans 34 pays.
Sources :
La protection de vos données à un prix, mais il n’est pas aussi élevé que vous le pensez [Sponso]
NordVPN est reconnu pour sa qualité de service et son écosystème en constante évolution dédié à la cybersécurité. L'application se distingue par sa simplicité d'utilisation et une interface parmi les meilleures du marché. Elle est compatible avec de nombreux appareils et plateformes, incluant Windows, macOS, Android et plus encore. NordVPN offre une multitude de fonctionnalités, tant basiques qu'avancées, telles que le split tunneling, le Kill Switch et la surveillance du dark web, tout en garantissant une sécurité renforcée grâce à des protocoles de chiffrement solides et une politique stricte de non-journalisation des données. Les performances sont également au rendez-vous, notamment pour le streaming, avec des serveurs rapides. Un seul compte permet de protéger jusqu'à 10 appareils. En complément, NordPass facilite la gestion des mots de passe, tandis que NordLocker propose un espace de stockage sécurisé dans le cloud. Actuellement, NordVPN offre une promotion à 2,99 euros par mois pour un abonnement de deux ans, avec trois mois gratuits. L'offre ultime, incluant une assurance cyber-risques, est à 6,99 euros par mois. Une garantie satisfait ou remboursé de 30 jours est également disponible pour les nouveaux utilisateurs.
