Scarcruft : des logiciels malveillants espionnent les utilisateurs d'Android via des faux utilitaires - Actus du 13/03/2025
Découvrez comment la campagne de phishing Clickfix menace le secteur de l'hôtellerie avec de faux e-mails Booking.com. Protégez vos données avec les bonnes pratiques de gestion durable et sécurisée de Kingston. Ne tombez pas dans le piège !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft met en garde contre la campagne de phishing Clickfix ciblant le secteur de l'hôtellerie via une fausse réservation [.] Com e-mails
Microsoft a révélé une campagne de phishing ciblant le secteur de l'hôtellerie, utilisant Booking.com comme appât pour distribuer des malwares volants de données. Cette activité, identifiée comme Storm-1865, a débuté en décembre 2024 et vise principalement des employés d'organisations hôtelières en Amérique du Nord, Océanie, Asie du Sud et du Sud-Est, ainsi qu'en Europe. Les attaquants envoient de faux e-mails prétendant provenir de Booking.com, incitant les destinataires à donner leur avis sur une critique négative d'un client fictif. La technique ClickFix, récemment adoptée, trompe les utilisateurs en leur faisant exécuter des instructions malveillantes sous prétexte de corriger une erreur inexistante. Ce processus utilise le binaire légitime mshta.exe pour déployer des malwares tels que XWorm et Lumma Stealer. Les experts en cybersécurité soulignent que cette méthode exploite la confiance des utilisateurs, contournant ainsi les défenses automatisées. D'autres campagnes similaires ont été observées, utilisant des techniques variées comme des faux CAPTCHA et des redirections vers des pages malveillantes. Ces évolutions dans les stratégies de phishing montrent comment les cybercriminels exploitent la psychologie humaine pour faciliter la propagation de malwares.
Sources :
Clickfix Attack fournit des infostelleurs, des rats dans de faux e-mails Booking.com
Microsoft a averti d'une campagne de phishing en cours, se faisant passer pour Booking.com, qui utilise des attaques de ClickFix pour infecter les employés du secteur de l'hôtellerie avec divers malwares, notamment des voleurs d'informations et des chevaux de Troie d'accès à distance (RAT). Démarrée en décembre 2024, cette campagne cible les employés d'hôtels et d'agences de voyage utilisant Booking.com pour les réservations. Les acteurs de la menace, identifiés comme le groupe 'Storm-1865', cherchent à détourner les comptes des employés pour voler des informations de paiement et des données personnelles des clients.
Les attaques ClickFix affichent de fausses erreurs sur des sites ou dans des documents de phishing, incitant les utilisateurs à effectuer un "captcha" pour accéder au contenu. Cependant, ces faux "fixes" téléchargent en réalité des malwares via des commandes PowerShell. Les emails de phishing, se présentant comme des demandes de clients ou des alertes de vérification de compte, contiennent des liens vers de fausses pages CAPTCHA. En exécutant ces commandes, les victimes téléchargent des RAT et des malwares tels que XWorm et VenomRAT. Microsoft recommande de vérifier l'authenticité des expéditeurs et de se méfier des demandes urgentes pour se protéger contre ces attaques.
Sources :
Les bonnes pratiques de Kingston pour une gestion durable et sécurisé des données
Le Digital Cleanup Day, qui se déroule dans deux jours, est une initiative mondiale visant à sensibiliser sur l'impact environnemental du stockage numérique. Chaque année, cette journée met en avant la problématique des e-mails inutilisés, des fichiers obsolètes et des applications abandonnées, qui entraînent une consommation énergétique excessive. Kingston, expert en solutions de stockage, propose des recommandations pour une gestion durable des données. Parmi celles-ci, il est conseillé d'optimiser le matériel en privilégiant la mise à niveau plutôt que le remplacement. Par exemple, augmenter la mémoire vive (RAM) ou remplacer un disque dur par un SSD peut améliorer significativement les performances d'un ordinateur. De plus, il est recommandé de favoriser le stockage local, comme les SSD ou les clés USB chiffrées, plutôt que les solutions cloud, souvent énergivores et moins sécurisées. Les clés USB chiffrées offrent un accès sécurisé aux fichiers sans dépendre d'une connexion internet, réduisant ainsi les risques liés aux réseaux publics. En adoptant ces pratiques, il est possible de diminuer l'empreinte carbone tout en renforçant la cybersécurité et en optimisant les performances des équipements numériques.
Sources :
Scarcruft de la Corée du Nord déploie des logiciels malveillants kospys, espionnant les utilisateurs d'Android via de fausses applications utilitaires
Le groupe de cyberespionnage nord-coréen ScarCruft, également connu sous le nom d'APT27, est à l'origine d'un nouvel outil de surveillance Android, KoSpy, ciblant les utilisateurs coréens et anglophones. Selon Lookout, qui a révélé cette campagne de malware, les premières versions de KoSpy remontent à mars 2022. Ce logiciel malveillant peut collecter des données variées, telles que des messages SMS, des journaux d'appels, des localisations, des fichiers, des enregistrements audio et des captures d'écran, grâce à des plugins chargés dynamiquement. Les applications identifiées semblent innocentes, mais déploient discrètement des composants de spyware en arrière-plan. KoSpy utilise une approche à deux niveaux pour communiquer avec un serveur de commande et de contrôle (C2) via une base de données cloud Firebase Firestore, permettant ainsi une flexibilité et une résilience dans les opérations. Parallèlement, d'autres campagnes nord-coréennes, comme Contagious Interview, exploitent des paquets npm malveillants pour déployer un malware d'extraction d'informations. De plus, une nouvelle menace ciblant le secteur des cryptomonnaies a été identifiée, impliquant des malwares macOS comme RustDoor et Koi Stealer, soulignant les risques accrus posés par les attaques d'États-nations.
Sources :
Red Report 2025: démasquer une pointe de 3x dans le vol d'identification et démystifier le battage médiatique de l'IA
Le Red Report 2025 de Picus Labs révèle une augmentation alarmante du vol de données d'identification, avec une hausse des échantillons de logiciels malveillants ciblant les gestionnaires de mots de passe, passant de 8 % en 2023 à 25 % en 2024. Cette étude, basée sur plus d'un million d'échantillons de malwares, met en lumière les tactiques des cybercriminels, qui combinent discrétion, automatisation et persistance pour infiltrer les systèmes. Contrairement à l'engouement médiatique autour des attaques alimentées par l'IA, le rapport souligne que la plupart des techniques malveillantes restent d'origine humaine, telles que le vol de mots de passe et les injections. Les chercheurs décrivent un nouveau type de malware, "SneakThief", qui exécute des attaques en plusieurs étapes, semblables à un vol planifié, en s'infiltrant discrètement dans les réseaux et en utilisant des canaux chiffrés pour communiquer. Les campagnes de type "heist" sont devenues courantes, combinant le vol de données avec des tactiques d'extorsion. Le rapport insiste sur l'importance d'une stratégie proactive pour renforcer la cybersécurité, en évaluant continuellement les contrôles de sécurité pour faire face aux menaces réelles, plutôt que de se concentrer sur des scénarios d'IA fantasmés.
Sources :
Chiffrement : le gouvernement subit un revers cinglant sur les backdoors
Le gouvernement français fait face à une surprise au sein du Parlement, où un amendement controversé a été adopté malgré l'opposition du gouvernement et d'une commission spéciale. Cet amendement, qui vise à lutter contre le narcotrafic, a suscité des débats intenses, notamment en raison de préoccupations liées au chiffrement des données. Alors que le projet de loi initial proposait une "frontdoor" pour accéder aux données, cela a provoqué des réactions négatives de la part des experts en cybersécurité, qui craignent que cela ne soit plus dangereux qu'une "backdoor". Plusieurs amendements de suppression ont été adoptés, montrant un consensus transpartisan. Le processus législatif se poursuit, avec une prochaine discussion sur la lutte contre le narcotrafic prévue à l'Assemblée du 17 au 21 mars. Clara Chappaz, secrétaire d'État au numérique, a tenté de rassurer en affirmant que le renforcement des moyens de lutte contre la criminalité ne devrait pas compromettre la sécurité du chiffrement. Les prochaines étapes législatives incluront également un projet de loi sur la résilience et la cybersécurité, prévu pour discussion à partir du 26 mai.
Sources :
X victime d’une attaque DDoS, Elon Musk engage la responsabilité d’un Etat-Nation
Ce lundi, le réseau social X a subi une attaque DDoS, entraînant un ralentissement significatif de ses services. Elon Musk a indiqué que l'attaque provenait d'un groupe important ou d'un État-nation, tandis que plusieurs groupes d'hacktivistes ont revendiqué cette action. Andy Thompson, expert en cybersécurité chez CyberArk, souligne que cette attaque illustre que les ralentissements de service peuvent être aussi nuisibles que les violations de données. Il note que les cyberattaques modernes ressemblent à des scènes de crime avec de multiples acteurs impliqués, rendant difficile l'identification des responsables. Les motivations derrière ces cybermenaces ont évolué, passant du vol de données à des perturbations numériques à grande échelle, touchant désormais des infrastructures critiques comme les réseaux sociaux. Ces plateformes, conçues pour l'engagement, sont vulnérables et deviennent des cibles privilégiées pour des attaques coordonnées. Thompson avertit que, à mesure que l'importance des plateformes en ligne augmente, elles seront davantage ciblées pour perturber les opérations et contrôler le récit. Cette attaque n'est qu'un avant-goût des menaces futures, soulignant la nécessité d'une préparation accrue face à des sièges numériques.
Sources :
Github découvre les nouvelles vulnérabilités Ruby-SAML permettant aux attaques de rachat de compte
Deux vulnérabilités de haute gravité ont été révélées dans la bibliothèque open-source ruby-saml, permettant à des acteurs malveillants de contourner les protections d'authentification SAML. SAML, un langage de balisage basé sur XML, est utilisé pour échanger des données d'authentification et d'autorisation, facilitant des fonctionnalités comme le SSO (Single Sign-On). Les failles, identifiées sous les références CVE-2025-25291 et CVE-2025-25292, ont un score CVSS de 8.8 et affectent les versions de la bibliothèque inférieures à 1.12.4 et comprises entre 1.13.0 et 1.18.0. Elles résultent d'une différence de traitement entre les parseurs REXML et Nokogiri, permettant une attaque de Signature Wrapping et un contournement de l'authentification. Ces vulnérabilités ont été corrigées dans les versions 1.12.4 et 1.18.0. GitHub, qui a découvert ces failles en novembre 2024, a averti qu'elles pourraient être exploitées pour des attaques de prise de contrôle de compte. En outre, les nouvelles versions corrigent également une faille de déni de service à distance (CVE-2025-25293, score CVSS : 7.7). Les utilisateurs sont fortement conseillés de mettre à jour vers les dernières versions pour se protéger contre ces menaces.
Sources :
Continuité des activités à l'épreuve du futur: Tendances et défis du BCDR pour 2025
Avec le travail hybride devenu la norme et l'adoption du cloud en hausse, les données sont de plus en plus dispersées, élargissant la surface d'attaque face aux cybermenaces. Les entreprises peinent à gérer les coûts croissants et la complexité de la continuité des activités et de la récupération après sinistre (BCDR), tout en garantissant la sécurité et la récupérabilité de leurs données critiques. Le rapport "State of Backup and Recovery 2025" a recueilli des informations de plus de 3 000 professionnels de l'IT, révélant une baisse de confiance dans les systèmes de sauvegarde et un décalage entre les attentes de récupération et la réalité. Plus de la moitié des organisations envisagent de changer de fournisseur de sauvegarde, citant des problèmes de coût et d'efficacité. Les équipes IT passent de plus en plus de temps à gérer les systèmes de sauvegarde, ce qui limite leur capacité à tester les processus de récupération. Bien que 90 % des entreprises utilisant des services cloud publics comme Azure s'appuient sur des outils de protection des données natifs, plus de 60 % manquent de véritables capacités de récupération. Pour faire face à ces défis, une stratégie BCDR moderne doit intégrer sécurité multicouche, automatisation et solutions cloud hybrides, tout en évoluant rapidement pour protéger les données dans un environnement de plus en plus complexe.
Sources :
INE Security Alert: Utilisation de la formation de cybersécurité dirigée par l'IA pour contrer les menaces émergentes
Cary, Caroline du Nord, le 13 mars 2025, CyberNewsWire - Face à la montée des menaces cybernétiques alimentées par l'intelligence artificielle (IA), INE Security, leader mondial en formation et certification en cybersécurité, lance une initiative pour repenser la formation en cybersécurité et le développement des compétences. L'entreprise souligne que l'IA transforme le paysage des menaces et les compétences requises pour les professionnels de la cybersécurité. Bien que l'IA offre des avantages significatifs, il est crucial que les équipes soient formées pour l'utiliser efficacement sans dépendre excessivement de l'automatisation. Dara Warn, PDG d'INE Security, affirme que l'IA représente à la fois un défi et une opportunité. Les outils de sécurité basés sur l'IA améliorent l'efficacité des centres d'opérations de sécurité (SOC) en réduisant les fausses alertes. Cependant, des préoccupations subsistent concernant la confidentialité des données et les risques liés aux modèles de langage. INE Security s'engage à élargir ses programmes de formation pour combler le fossé des compétences en cybersécurité, en enseignant aux professionnels à travailler avec l'IA tout en développant des compétences critiques. L'entreprise appelle les organisations à investir dans la formation pour préparer leurs équipes aux menaces alimentées par l'IA.
Sources :
Les cyberattaques russes contre la France sont complètement « désinhibées », alerte l’ANSSI, le cyber-pompier français
En 2024, l'ANSSI a enregistré 4 386 incidents de sécurité, marquant une hausse de 15 % par rapport à 2023. Les cyberattaques par rançongiciel ont diminué dans les collectivités territoriales (de 24 % à 17 %) et les établissements de santé (de 10 % à 4 %), témoignant de l'efficacité des mesures de cybersécurité. Cependant, une intensification des cyberattaques par des hacktivistes russes a été observée, qualifiée de « désinhibée ». Un incident notable a impliqué une tentative d'attaque sur des infrastructures énergétiques, qui a échoué en ciblant un moulin privé. Les attaques par DDoS ont également doublé, affectant des entités publiques et privées, avec une intensité accrue durant les JOP 2024. Le Réseau interministériel de l'État a subi des perturbations significatives entre le 10 et le 12 mars 2024. L'ANSSI a également signalé une cyberattaque contre un satellite français, attribuée à un État aux méthodes agressives, identifié comme la Russie par les pays européens. Ces événements soulignent la complexité croissante des menaces cybernétiques et la nécessité d'une vigilance accrue dans le domaine de la cybersécurité.
Sources :
Meta met en garde contre la vulnérabilité Freetype (CVE-2025-27363) avec un risque d'exploitation actif
Meta a averti d'une vulnérabilité de sécurité affectant la bibliothèque de rendu de polices open-source FreeType, potentiellement exploitée dans la nature. Cette vulnérabilité, identifiée par le CVE CVE-2025-27363, a un score CVSS de 8.1, indiquant une gravité élevée. Il s'agit d'un défaut d'écriture hors limites qui pourrait permettre l'exécution de code à distance lors de l'analyse de certains fichiers de polices. Selon Meta, le problème se situe dans les versions 2.13.0 et inférieures de FreeType, où une valeur courte signée est assignée à une valeur longue non signée, entraînant un débordement et une allocation de mémoire insuffisante. Cela permet d'écrire jusqu'à six entiers longs signés en dehors des limites de ce tampon, ce qui peut mener à une exécution de code arbitraire. Bien que Meta n'ait pas précisé comment cette vulnérabilité est exploitée, elle a reconnu qu'elle pourrait être active. Werner Lemberg, développeur de FreeType, a indiqué qu'un correctif est disponible depuis près de deux ans, et que les versions supérieures à 2.13.0 ne sont plus affectées. Plusieurs distributions Linux utilisent encore des versions obsolètes, les rendant vulnérables, et il est conseillé de mettre à jour vers FreeType 2.13.3.
Sources :
AVERTISSEMENT: le certificat racine expiré peut désactiver les modules complémentaires de Firefox, les fonctionnalités de sécurité et la lecture DRM
Mozilla exhorte les utilisateurs à mettre à jour leur navigateur Firefox vers la version 128 ou supérieure avant le 14 mars 2025, date d'expiration d'un certificat racine essentiel pour la vérification des contenus signés et des extensions. Sans cette mise à jour, les utilisateurs pourraient rencontrer des problèmes majeurs avec les add-ons, la signature de contenu et la lecture de médias protégés par DRM. La dernière version de Firefox inclut un nouveau certificat racine qui préviendra ces problèmes. Les utilisateurs de versions antérieures à 128 ou de la version Extended Support Release (ESR) avant 115.13, y compris ceux sur Windows 7/8/8.1 et macOS 10.12-10.14, sont particulièrement concernés. Les certificats racines garantissent l'authenticité des sites web et des mises à jour logicielles. Si le certificat expire, certaines fonctionnalités, comme les alertes de mots de passe compromis et la lecture sécurisée de médias, pourraient cesser de fonctionner. Ne pas effectuer la mise à jour expose également les utilisateurs à des menaces potentielles, car les listes de blocage et les certificats SSL non fiables deviendraient obsolètes. Les utilisateurs doivent vérifier leur version de Firefox via le menu des paramètres. Les utilisateurs d'iOS et d'iPad ne sont pas affectés par ce problème.
Sources :
Cyberattaque sur Lorient : des données d’agents municipaux publiées sur un forum de pirates
Le 10 mars 2025, la municipalité de Lorient en Bretagne a annoncé avoir été victime d'une cyberattaque ayant entraîné le vol d'une base de données contenant des informations professionnelles sur ses agents. Cette fuite inclut des données telles que le nom, le prénom, l'adresse e-mail professionnelle et la fonction des agents, touchant plus de 5 000 personnes. Un hacker a publié un extrait de ces informations sur un forum de cybercriminels le 1er mars, et propose le reste à la vente à un prix très bas. La municipalité met en garde contre les risques d'usurpation d'identité, tant pour les agents que pour les habitants, qui pourraient être ciblés par des escrocs se faisant passer pour des agents municipaux. Les citoyens sont appelés à faire preuve de vigilance face à des messages suspects et à signaler tout doute au standard de la mairie ou par e-mail. Une plainte a été déposée par la ville suite à cette attaque. Malgré cet incident, les services municipaux restent opérationnels et les habitants peuvent continuer à les utiliser sans inquiétude.
Sources :
Facebook révèle Freetype 2 Flaw exploité dans les attaques
Facebook a averti d'une vulnérabilité dans FreeType, une bibliothèque de rendu de polices, qui pourrait permettre l'exécution de code arbitraire. Cette faille, identifiée sous le numéro CVE-2025-27363 et notée 8.1 sur l'échelle CVSS, affecte toutes les versions jusqu'à 2.13.0, publiée le 9 février 2023. FreeType est largement utilisé dans divers systèmes, y compris Linux et Android, ce qui rend cette vulnérabilité particulièrement préoccupante. Le problème réside dans une écriture hors limites lors de l'analyse de structures de sous-glyphes de polices, ce qui peut entraîner une allocation de mémoire insuffisante et permettre l'exécution de code malveillant. Bien que Facebook utilise potentiellement FreeType, il n'est pas clair si les attaques signalées ont eu lieu sur sa plateforme. Les développeurs sont donc fortement encouragés à mettre à jour vers la version 2.13.3 pour éviter toute exploitation. Facebook a déclaré qu'il signalait les bugs de sécurité dans les logiciels open source pour renforcer la sécurité en ligne, soulignant son engagement à protéger les communications privées des utilisateurs.
Sources :
CISA: le ransomware MEDUSA a frappé plus de 300 organisations d'infrastructure critique
Le ransomware Medusa a touché plus de 300 organisations dans des secteurs d'infrastructure critique aux États-Unis, selon un avis conjoint de la CISA, du FBI et du MS-ISAC publié le 12 mars 2025. Depuis son apparition en janvier 2021, l'activité de ce groupe criminel a considérablement augmenté, notamment avec le lancement d'un site de fuite de données en 2023 pour faire pression sur les victimes. Les secteurs touchés incluent la santé, l'éducation, le droit, l'assurance, la technologie et la fabrication. Les autorités recommandent aux organisations de corriger les vulnérabilités de sécurité, de segmenter leurs réseaux et de filtrer le trafic pour se protéger contre ces attaques. Les développeurs de Medusa, qui opèrent sous un modèle de Ransomware-as-a-Service (RaaS), recrutent des courtiers d'accès initial pour cibler des victimes potentielles, avec des paiements variant de 100 à 1 million de dollars. Les attaques de Medusa ont augmenté de 42 % entre 2023 et 2024, avec une intensification notable en début 2025. Ce groupe a également été responsable de fuites de données de grandes entreprises, comme Toyota Financial Services, après des demandes de rançon non satisfaites.
Sources :
Le nouveau logiciel spyware Android nord-coréen se glisse sur Google Play
Un nouveau logiciel espion Android, nommé 'KoSpy', a été lié à des acteurs menaçants nord-coréens, infiltrant Google Play et l'APKPure via au moins cinq applications malveillantes. Selon des chercheurs de Lookout, cette campagne, attribuée au groupe APT37 (ou 'ScarCruft'), est active depuis mars 2022 et continue d'évoluer. Les applications ciblent principalement les utilisateurs coréens et anglophones en se faisant passer pour des gestionnaires de fichiers, des outils de sécurité et des mises à jour logicielles. Parmi les applications identifiées figurent 휴대폰 관리자 (Phone Manager) et 카카오 보안 (Kakao Security). Bien que certaines offrent des fonctionnalités promises, elles chargent le spyware KoSpy en arrière-plan. Une fois actif, KoSpy récupère un fichier de configuration chiffré et se connecte à un serveur de commande et de contrôle (C2), évitant ainsi la détection. Ses capacités incluent l'interception de SMS, le suivi GPS, l'enregistrement audio via le microphone et la capture d'écrans. Bien que les applications aient été retirées, les utilisateurs doivent les désinstaller manuellement et effectuer des analyses de sécurité. Google a confirmé la suppression des applications malveillantes et recommande d'activer Google Play Protect pour une protection accrue.
Sources :
L'administrateur de Garantex Crypto Exchange Arrest pendant ses vacances
Le 12 mars 2025, Aleksej Besciokov, co-fondateur de l'échange de cryptomonnaies russe Garantex, a été arrêté en Inde pendant des vacances en famille. Les autorités indiennes l'ont appréhendé sous la loi d'extradition, suite à des accusations portées par les États-Unis pour blanchiment d'argent au profit d'organisations criminelles et violation de la loi sur les pouvoirs économiques d'urgence. Besciokov, âgé de 46 ans, et son associé Aleksandr Mira Serda, ont été accusés d'avoir utilisé Garantex pour faciliter des activités criminelles telles que le hacking, le trafic de drogue et le terrorisme. Le département américain de la Justice a également saisi plusieurs domaines et serveurs de Garantex, gelant plus de 26 millions de dollars liés à des activités de blanchiment. L'échange avait déjà été sanctionné par le département du Trésor américain en avril 2022, après que des transactions de plus de 100 millions de dollars aient été liées à des marchés darknet. Depuis, Garantex a traité plus de 96 milliards de dollars, servant d'outil pour l'évasion des sanctions par des élites russes et le blanchiment d'argent.
