SparkCat : Le malware qui extrait les phrases de récupération cachées - Actus du 06/02/2025
Découvrez comment la société d'ingénierie britannique IMI fait face à une violation de sécurité, l'ingéniosité du malware SparkCat utilisant l'OCR pour voler des données crypto, et l'évolution stratégique du rôle de PAM dans les agendas de cybersécurité pour 2025. Ne manquez pas ces insights...
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
La société d'ingénierie britannique IMI révèle une violation de sécurité, mais ne partage aucun détail
La société britannique d'ingénierie IMI plc a annoncé une violation de sécurité après qu'un groupe d'attaquants inconnus a pénétré dans ses systèmes. IMI, qui opère dans 18 pays et se spécialise dans l'ingénierie des fluides de précision, est cotée à la Bourse de Londres et fait partie de l'indice FTSE100, employant environ 10 000 personnes. Dans un communiqué, l'entreprise a indiqué avoir engagé des experts en cybersécurité pour évaluer l'impact de l'incident après avoir détecté un "accès non autorisé" à ses systèmes. IMI a précisé qu'elle prenait les mesures nécessaires pour respecter ses obligations réglementaires et qu'elle fournirait des mises à jour en temps voulu. Cependant, la société n'a pas divulgué de détails supplémentaires concernant l'attaque, notamment la date de détection, l'impact sur ses opérations, ou si des données d'entreprise ou de clients avaient été volées. Cette annonce survient après que d'autres entreprises, comme Smiths Group et Conduent, ont également signalé des violations de sécurité. IMI n'a pas pu fournir de commentaires supplémentaires à ce sujet.
Sources :
Le logiciel malveillant SparkCat utilise l'OCR pour extraire les phrases de récupération du portefeuille cryptographique à partir d'images
Des chercheurs de Kaspersky, Dmitry Kalinin et Sergey Puzan, ont révélé une nouvelle campagne de malware exploitant un modèle de reconnaissance optique de caractères (OCR) pour exfiltrer des images contenant des phrases de récupération de portefeuilles depuis des bibliothèques photo vers un serveur de commande et de contrôle (C2). Ce malware, nommé SparkCat, se cache derrière des applications prétendant être des outils d'intelligence artificielle, de livraison de nourriture ou des applications Web3, bien que certaines semblent légitimes. Il utilise la bibliothèque ML Kit de Google pour reconnaître le texte dans les images. La version iOS de SparkCat est particulièrement préoccupante car elle n'indique pas de code malveillant visible dans l'application. Parallèlement, une autre campagne, FatBoyPanel, cible les utilisateurs Android en Inde, distribuant des fichiers APK malveillants via WhatsApp sous couvert d'applications bancaires et gouvernementales, amassant 2,5 Go de données sensibles. Cette campagne utilise des numéros de téléphone codés en dur pour rediriger les SMS, rendant les acteurs malveillants traçables. En outre, 24 nouvelles familles de malware ciblant macOS ont été identifiées en 2024, soulignant une augmentation des attaques d'exfiltration d'informations.
Sources :
L'évolution du rôle de PAM dans les agendas de leadership en cybersécurité pour 2025
La gestion des accès privilégiés (PAM) est devenue essentielle dans les stratégies de cybersécurité modernes, passant d'une nécessité technique à un pilier critique des agendas de direction. Selon Gartner, les raisons clés incluent une sécurité renforcée, une conformité réglementaire et des exigences d'assurance. En 2022, 68 % des violations de données impliquaient un élément humain, soulignant l'importance de PAM face aux menaces croissantes liées à la sécurité des fournisseurs et aux attaques de la chaîne d'approvisionnement. Des incidents notables, comme la violation de données de Change Healthcare, révèlent la nécessité de solutions PAM robustes. L'intelligence artificielle facilite la création de schémas de phishing plus convaincants, tandis que l'apprentissage automatique rend les attaques par force brute plus efficaces. Les environnements hybrides, bien qu'efficaces, sont plus vulnérables aux erreurs de configuration. Les normes de cybersécurité exigent des contrôles d'accès rigoureux et des mesures de protection des données. Les solutions PAM permettent de contrôler et de surveiller l'accès aux systèmes critiques, garantissant que seules les personnes autorisées peuvent interagir avec ces systèmes. En intégrant PAM avec des systèmes de billetterie et d'autres outils, les organisations peuvent améliorer leur efficacité opérationnelle tout en restant résilientes face aux menaces dynamiques.
Sources :
Le groupe nord-coréen APT Kimsuky utilise le logiciel malveillant forceCopy pour voler les identifiants stockés dans le navigateur
Le groupe de hackers lié à la Corée du Nord, connu sous le nom de Kimsuky, a été observé menant des attaques de spear-phishing pour déployer un malware voleur d'informations nommé forceCopy, selon des recherches du Centre de sécurité AhnLab (ASEC). Ces attaques commencent par des courriels de phishing contenant un fichier de raccourci Windows (LNK) déguisé en document Microsoft Office ou PDF. L'ouverture de cette pièce jointe déclenche l'exécution de PowerShell ou mshta.exe, permettant de télécharger des charges utiles supplémentaires depuis une source externe. Les attaques aboutissent à l'installation d'un trojan connu, PEBBLEDASH, et d'une version personnalisée d'un utilitaire de bureau à distance open-source, RDP Wrapper. Un malware proxy est également déployé, permettant aux attaquants de maintenir des communications persistantes via RDP. Kimsuky utilise également un keylogger basé sur PowerShell et le malware forceCopy pour copier des fichiers dans les répertoires des navigateurs web. Ce changement tactique, utilisant RDP Wrapper et des proxies, marque une évolution par rapport à leurs méthodes antérieures. Actif depuis 2012, Kimsuky est associé au Bureau général de reconnaissance de la Corée du Nord et a un historique d'attaques d'ingénierie sociale ciblées.
Sources :
Les 3 principales menaces de ransomware actives en 2025
En 2025, trois familles de ransomware dominent le paysage des cybermenaces : LockBit, Lynx et Virlock. Ces ransomwares fonctionnent selon un modèle Ransomware-as-a-Service (RaaS), permettant à des affiliés de propager le malware à grande échelle. LockBit, malgré les actions des forces de l'ordre, reste une menace majeure, ciblant principalement les grandes entreprises. En revanche, Lynx s'attaque aux petites et moyennes entreprises en exploitant leurs faiblesses en matière de sécurité, menaçant de divulguer des données sensibles si la rançon n'est pas payée. Virlock, quant à lui, demande des paiements en Bitcoin, menaçant de supprimer définitivement des fichiers. L'analyse interactive, comme celle proposée par ANY.RUN, est cruciale pour aider les entreprises à détecter et à stopper ces attaques. Elle permet de comprendre la propagation des ransomwares, d'identifier les points faibles de la sécurité et de prendre des mesures proactives. Les rapports générés par ces analyses facilitent la collaboration des équipes de sécurité pour développer des stratégies efficaces contre ces menaces. En somme, la lutte contre les ransomwares en 2025 nécessite une vigilance accrue et des outils d'analyse avancés pour protéger les données sensibles des entreprises.
Sources :
Cisco corrige des vulnérabilités critiques ISE activant Root CmdExec et PrivEsc
Cisco a publié des mises à jour pour corriger deux vulnérabilités critiques dans son moteur de services d'identité (ISE), qui pourraient permettre à des attaquants distants d'exécuter des commandes arbitraires et d'élever leurs privilèges sur des appareils vulnérables. Les vulnérabilités sont les suivantes :
- CVE-2025-20124 (score CVSS : 9.9) : une vulnérabilité de désérialisation Java non sécurisée dans une API de Cisco ISE, permettant à un attaquant authentifié d'exécuter des commandes en tant qu'utilisateur root.
- CVE-2025-20125 (score CVSS : 9.1) : une vulnérabilité de contournement d'autorisation dans une API de Cisco ISE, permettant à un attaquant authentifié avec des identifiants en lecture seule d'accéder à des informations sensibles, de modifier des configurations de nœuds et de redémarrer le nœud.
Les attaquants peuvent exploiter ces failles en envoyant un objet Java désérialisé ou une requête HTTP à un point de terminaison API non spécifié. Cisco a indiqué qu'il n'existe pas de solutions de contournement et a recommandé de mettre à jour vers les versions corrigées. Les chercheurs de Deloitte, Dan Marin et Sebastian Radulea, ont découvert ces vulnérabilités. Bien que Cisco ne soit pas au courant d'une exploitation malveillante, il est conseillé aux utilisateurs de maintenir leurs systèmes à jour.
Sources :
Un nouveau script Microsoft met à jour Windows Media avec des correctifs de malware Bootkit
Microsoft a publié un script PowerShell pour aider les utilisateurs et administrateurs de Windows à mettre à jour les supports amorçables afin d'utiliser le nouveau certificat "Windows UEFI CA 2023". Cette mise à jour est cruciale avant que les mesures contre le bootkit UEFI BlackLotus ne soient appliquées plus tard cette année. BlackLotus est capable de contourner le Secure Boot et de prendre le contrôle du processus de démarrage, désactivant ainsi des fonctionnalités de sécurité de Windows comme BitLocker et Microsoft Defender Antivirus. Bien que Microsoft ait déjà publié des mises à jour de sécurité pour contrer ce problème, celles-ci sont désactivées par défaut pour éviter des conflits qui pourraient rendre le système inopérant. Le script permet de mettre à jour les fichiers de médias amorçables, qu'il s'agisse d'images ISO, de clés USB ou de chemins de disque local. Les administrateurs doivent d'abord installer le Windows ADK pour que le script fonctionne correctement. Microsoft recommande de tester ce processus avant l'application des mises à jour de sécurité, prévue d'ici fin 2026, avec un préavis de six mois. Les images de démarrage générées par les versions récentes de l'ADK contiennent déjà cette correction.
Sources :
Le script Microsoft met à jour le support de démarrage pour les correctifs du kit de démarrage BlackLotus
Microsoft a publié un script PowerShell pour aider les utilisateurs et administrateurs de Windows à mettre à jour les supports amorçables afin d'utiliser le nouveau certificat "Windows UEFI CA 2023". Cette mise à jour est cruciale avant que les mesures contre le bootkit UEFI BlackLotus ne soient appliquées plus tard cette année. BlackLotus est capable de contourner le Secure Boot et de prendre le contrôle du processus de démarrage de l'OS, désactivant ainsi des fonctionnalités de sécurité telles que BitLocker et Microsoft Defender Antivirus. Bien que Microsoft ait déjà publié des mises à jour de sécurité pour contrer ce problème, celles-ci sont désactivées par défaut pour éviter des conflits potentiels. Le script permet d'ajouter le certificat "Windows UEFI CA 2023" à la base de données de signatures sécurisées UEFI, facilitant l'installation de nouveaux gestionnaires de démarrage signés. Les administrateurs doivent tester ce processus avant l'application obligatoire des mises à jour de sécurité, prévue d'ici fin 2026. Le script peut être utilisé pour mettre à jour des fichiers ISO, des clés USB ou des chemins de disque local et nécessite l'installation préalable de Windows ADK. Microsoft recommande de mettre à jour les médias amorçables pour éviter des problèmes de démarrage après l'application des correctifs.
Sources :
Des robots d'appel se faisant passer pour l'équipe de prévention des fraudes de la FCC appellent le personnel de la FCC
La FCC a proposé une amende de 4,492,500 dollars contre le fournisseur de services VoIP Telnyx, l'accusant d'avoir permis à des clients de passer des appels automatisés en se faisant passer pour une équipe fictive de prévention de la fraude de la FCC. Telnyx conteste ces accusations, affirmant que la FCC se trompe. Les appelants, utilisant des comptes enregistrés sous des noms fictifs, ont effectué 1,797 appels frauduleux en février 2024, atteignant même des membres du personnel de la FCC. Les messages préenregistrés, utilisant des voix artificielles, prétendaient provenir d'une équipe de la FCC qui n'existe pas. La FCC a souligné que ces appels visaient à menacer et à frauder les destinataires, certains étant sollicités pour payer des cartes-cadeaux Google pour éviter des poursuites. Selon la FCC, Telnyx n'a pas respecté les règles de connaissance du client (KYC) en ne vérifiant pas correctement l'identité des utilisateurs. Telnyx, qui fournit des services vocaux à l'échelle mondiale, a déclaré avoir respecté toutes les exigences KYC et a exprimé sa surprise face à la décision de la FCC, affirmant que la réglementation ne requiert pas une perfection dans la prévention des abus.
Sources :
Les paiements de ransomware ont chuté de 35 % en 2024, totalisant 813 550 000 $
En 2024, les paiements liés aux ransomwares ont chuté de 35 % par rapport à l'année précédente, atteignant 813,55 millions de dollars, contre 1,25 milliard en 2023. Selon Chainalysis, seulement 30 % des victimes ayant négocié avec des acteurs de ransomwares ont finalement payé une rançon. Malgré cette baisse, l'année a enregistré un nombre record de violations, avec 5 263 attaques réussies. Un paiement notable a été effectué par une entreprise du Fortune 50, qui a versé 75 millions de dollars au groupe Dark Angels. Cette diminution des paiements s'explique par une résistance accrue des victimes, qui investissent davantage dans la cybersécurité et adoptent de meilleures pratiques. De plus, la méfiance envers les promesses des cybercriminels et la pression légale incitent les organisations à ne pas négocier, préférant récupérer leurs données via des sauvegardes. Les opérations des forces de l'ordre, comme l'Opération Cronos, ont également perturbé des groupes notoires tels que LockBit. Enfin, les méthodes de blanchiment d'argent pour les acteurs de ransomwares sont devenues plus complexes, avec une préférence croissante pour les portefeuilles personnels, par crainte d'être traqués.
Sources :
La CISA ordonne aux agences de corriger un bug du noyau Linux exploité dans les attaques
Le 5 février 2025, la CISA a ordonné aux agences fédérales américaines de corriger une vulnérabilité critique du noyau Linux, identifiée comme CVE-2024-53104, dans un délai de trois semaines. Cette faille, introduite dans la version 2.6.26 du noyau, est activement exploitée dans des attaques ciblées. Selon Google, elle résulte d'une faiblesse d'écriture hors limites dans le pilote USB Video Class (UVC), permettant une élévation de privilèges sans nécessiter d'exécution supplémentaire sur les appareils non corrigés. Le problème provient d'une incapacité à traiter correctement les trames UVCVSUNDEFINED, entraînant des erreurs de calcul de taille de tampon. Bien que Google n'ait pas fourni de détails sur les attaques exploitant cette vulnérabilité, l'équipe de développement de GrapheneOS a suggéré qu'elle pourrait être utilisée par des outils d'extraction de données judiciaires. Conformément à la directive opérationnelle BOD 22-01, les agences doivent sécuriser leurs réseaux contre les vulnérabilités connues. La CISA a également signalé d'autres vulnérabilités critiques dans des logiciels comme Microsoft .NET Framework et Apache OFBiz, sans préciser les auteurs des attaques. Les agences de cybersécurité des Five Eyes ont également partagé des conseils de sécurité pour améliorer la détection des attaques.
Sources :
Des pirates informatiques usurpent les pages de connexion Microsoft ADFS pour voler des informations d'identification
Une campagne de phishing ciblant les services Microsoft Active Directory Federation Services (ADFS) a été découverte par Abnormal Security. Les hackers utilisent des pages de connexion falsifiées pour dérober des identifiants et contourner les protections de l'authentification multi-facteurs (MFA). Les cibles principales incluent des organisations dans les secteurs de l'éducation, de la santé et du gouvernement, avec au moins 150 victimes potentielles. L'objectif est d'accéder aux comptes email d'entreprise pour envoyer des messages à d'autres employés ou réaliser des attaques financières, comme le détournement de paiements. Les attaquants envoient des emails se faisant passer pour l'équipe informatique de l'organisation, incitant les victimes à se connecter pour mettre à jour leurs paramètres de sécurité. En cliquant sur un lien, elles sont redirigées vers une page de phishing ressemblant à la véritable page de connexion ADFS. Les victimes sont alors invitées à fournir leur nom d'utilisateur, mot de passe et code MFA. Après avoir récupéré ces informations, les attaquants peuvent accéder aux comptes, voler des données et mettre en place des règles de filtrage d'email. Abnormal recommande aux organisations de migrer vers des solutions plus sécurisées et d'implémenter des filtres supplémentaires pour détecter les activités anormales.
Sources :
AMD corrige un bug qui permet aux pirates de charger des correctifs de microcode malveillants
AMD a publié des mises à jour de firmware pour corriger une vulnérabilité de haute sévérité (CVE-2024-56161) qui permet aux attaquants de charger des microcodes malveillants sur des dispositifs non corrigés. Cette faille est due à une vérification de signature incorrecte dans le chargeur de microcode des CPU AMD. Les attaquants disposant de privilèges d'administrateur local peuvent exploiter cette vulnérabilité, compromettant la confidentialité et l'intégrité des environnements virtuels protégés par AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP). SEV isole les invités et le hyperviseur, tandis que SEV-SNP ajoute une protection de l'intégrité de la mémoire. AMD recommande une mise à jour du microcode sur toutes les plateformes affectées pour bloquer l'exécution de microcode malveillant. Certaines plateformes nécessitent également une mise à jour du firmware SEV pour l'attestation SEV-SNP. Les chercheurs en sécurité de Google, qui ont découvert cette vulnérabilité, ont démontré la possibilité de créer des microcodes malveillants sur les processeurs Zen. AMD a également reçu des rapports sur des attaques par canaux auxiliaires affectant SEV, conseillant aux développeurs de suivre les meilleures pratiques pour atténuer ces risques.
Sources :
La CISA identifie les failles de Microsoft .NET et d'Apache OFBiz comme exploitées dans des attaques
La CISA (Cybersecurity & Infrastructure Security Agency) des États-Unis a ajouté quatre vulnérabilités à son catalogue des vulnérabilités connues exploitées, incitant les agences fédérales et les grandes organisations à appliquer les mises à jour de sécurité disponibles rapidement. Parmi ces vulnérabilités figurent des failles affectant le Microsoft .NET Framework et Apache OFBiz. La première, CVE-2024-29059, est une vulnérabilité de divulgation d'informations de haute gravité (CVSS v3 : 7.5) dans .NET, découverte par CODE WHITE et signalée à Microsoft en novembre 2023. Bien que Microsoft ait initialement jugé que cette vulnérabilité ne nécessitait pas de correction immédiate, elle a finalement été corrigée en janvier 2024. La seconde vulnérabilité, CVE-2024-45195, est une faille critique (CVSS v3 : 9.8) d'exécution de code à distance dans Apache OFBiz, causée par une faiblesse de navigation forcée. Rapid7 a découvert cette faille, qui a été corrigée en septembre 2024. CISA recommande aux utilisateurs de mettre à jour leurs systèmes avant le 25 février 2025. Deux autres vulnérabilités affectant le logiciel de surveillance réseau Paessler PRTG ont également été ajoutées, avec la même date limite pour les correctifs.
