Un faux outil de cybercriminalité OnlyFans infecte les pirates avec des logiciels malveillants - Actus du 05/09/2024
Découvrez comment Veeam avertit contre une faille RCE critique, la saisie par les États-Unis de 32 domaines pro-russes et l'importance du cadre de cybersécurité NIST (CSF) pour une meilleure collaboration. Protégez vos données et restez informé sur les dernières menaces !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Veeam met en garde contre une faille critique de RCE dans le logiciel de sauvegarde et de réplication
Veeam a publié des mises à jour de sécurité pour plusieurs de ses produits, corrigeant 18 vulnérabilités de gravité élevée et critique dans Veeam Backup & Replication, Service Provider Console et ONE. La vulnérabilité la plus grave, CVE-2024-40711, est une faille d'exécution de code à distance (RCE) critique (score CVSS v3.1 : 9.8) dans Veeam Backup & Replication, pouvant être exploitée sans authentification. Étant donné que VBR gère l'infrastructure de sauvegarde des entreprises, il représente une cible de choix pour les opérateurs de ransomware, qui cherchent à voler des sauvegardes pour des extorsions doubles. Des groupes comme Cuba et FIN7 ont déjà ciblé ces vulnérabilités. D'autres failles critiques incluent des problèmes permettant l'extraction de données sensibles, la modification des paramètres d'authentification multi-facteurs, et des validations TLS faibles. Veeam recommande aux utilisateurs de mettre à jour vers la version 12.2.0.334 de VBR et les versions corrigées de Veeam ONE et Service Provider Console pour se protéger contre ces menaces. Les utilisateurs doivent agir rapidement pour éviter des prises de contrôle potentielles de leurs systèmes.
Sources :
Les États-Unis saisissent 32 domaines de propagande pro-russe dans le cadre d'une vaste opération de répression contre la désinformation
Le Département de la Justice des États-Unis a annoncé la saisie de 32 domaines internet liés à une opération de propagande pro-russe nommée Doppelganger, accusée de violer les lois américaines sur le blanchiment d'argent et les marques. Cette opération, dirigée par le gouvernement russe, vise à diffuser des messages pro-russes pour diminuer le soutien international à l'Ukraine et influencer les élections, y compris celles de 2024 aux États-Unis. Les entreprises impliquées, telles que Social Design Agency et Structura, ont utilisé des "influenceurs" et des publicités sur les réseaux sociaux pour rediriger les internautes vers des sites imitant des médias légitimes. Parallèlement, le Département du Trésor a sanctionné dix individus et deux entités pour leurs efforts d'influence sur le processus électoral. Deux employés de RT ont été inculpés pour avoir transféré 9,7 millions de dollars à des campagnes de désinformation. Le gouvernement américain a également mis en place des restrictions sur les visas pour les personnes travaillant pour des médias soutenus par le Kremlin. Ces actions s'inscrivent dans une stratégie plus large visant à contrer les opérations de désinformation russes et chinoises avant les élections générales de novembre.
Sources :
Cadre de cybersécurité du NIST (CSF) et CTEM : une meilleure collaboration
Depuis dix ans, le National Institute of Standards and Technology (NIST) a introduit son Cybersecurity Framework (CSF) 1.0, conçu pour aider les organisations à gérer les risques cybernétiques. Ce cadre, basé sur des normes et meilleures pratiques, se divise en cinq fonctions essentielles : Identifier, Protéger, Détecter, Répondre et Récupérer. La version récente vise à rendre le CSF plus adaptable et accessible, en mettant l'accent sur les menaces émergentes et en intégrant une nouvelle catégorie d'Amélioration dans la fonction Identifier, encourageant une approche proactive et continue de la cybersécurité. En 2022, Gartner a lancé le cadre Continuous Threat Exposure Management (CTEM), qui représente un changement majeur dans la gestion de l'exposition aux menaces. Tandis que le CSF offre une vue d'ensemble pour identifier et gérer les risques, le CTEM se concentre sur la surveillance continue des menaces. L'adoption du CTEM permet aux leaders en cybersécurité de renforcer la conformité au CSF, en priorisant les risques selon leur impact potentiel et en modélisant les chemins d'attaque pour réduire les risques de compromission. Ensemble, le CSF et le CTEM forment une alliance stratégique pour défendre les organisations contre les cybermenaces, en améliorant la détection et la mitigation des vulnérabilités.
Sources :
Un faux outil de cybercriminalité OnlyFans infecte les pirates avec des logiciels malveillants
Des hackers ciblent d'autres hackers avec un outil frauduleux prétendant aider à voler des comptes OnlyFans, mais qui infecte en réalité les victimes avec le malware Lumma, un voleur d'informations. Cette opération, révélée par Veriti Research, illustre les dynamiques complexes et souvent ironique du cybercrime, où les rôles de prédateur et de proie se confondent. OnlyFans, plateforme populaire de contenu pour adultes, est fréquemment ciblée par des cybercriminels cherchant à détourner des comptes pour extorquer des paiements ou divulguer des contenus privés. Les outils de vérification, conçus pour valider des ensembles de données d'identifiants volés, sont souvent créés par d'autres criminels, ce qui peut entraîner des conséquences inattendues. Dans ce cas, un outil de vérification promettant de valider des identifiants a installé le malware Lumma, qui vole des informations sensibles telles que des codes d'authentification à deux facteurs et des données de cartes de crédit. Lumma, disponible en tant que service, est distribué via divers canaux, y compris GitHub. Cette campagne s'inscrit dans une tendance où des hackers ciblent d'autres hackers, comme observé dans des attaques précédentes utilisant des voleurs de presse-papiers et des outils de construction de malware.
Sources :
De malware isolé à Ransomware-as-a-Service : la montée en puissance de Mallox
Le ransomware Mallox a connu une évolution rapide et inquiétante depuis son apparition en 2021, passant d'un malware ciblé à un modèle Ransomware-as-a-Service (RaaS). Kaspersky a publié un rapport détaillant cette transformation, qui a vu plus de 700 nouveaux échantillons identifiés entre 2021 et mi-2024. Cette croissance est en grande partie due à un programme d'affiliation lancé en janvier 2023, attirant des cybercriminels grâce à des conditions avantageuses de partage des bénéfices. Mallox utilise des méthodes de chiffrement de plus en plus sophistiquées, témoignant des efforts continus de ses développeurs pour améliorer son efficacité. Les vecteurs d'infection privilégiés incluent les vulnérabilités des serveurs MS SQL et PostgreSQL, soulignant l'adaptabilité de la menace. Mallox est particulièrement actif dans des pays comme le Brésil, le Vietnam et la Chine, tandis que d'autres, comme les États-Unis et l'Espagne, bien que moins touchés, restent vulnérables. Le rapport de Kaspersky est une ressource essentielle pour les professionnels de la cybersécurité, leur permettant de mieux comprendre et se défendre contre cette menace croissante. Fedor Sinitsyn, expert en sécurité, souligne l'importance de renforcer les défenses pour protéger les actifs numériques des organisations.
Sources :
Les outils essentiels pour créer une boutique en ligne avec WordPress
Créer une boutique en ligne avec WordPress est une opportunité pour les entrepreneurs souhaitant diversifier leur activité. Pour cela, plusieurs outils sont essentiels. Le thème Astra est recommandé pour son design optimisé pour l’e-commerce, s'intégrant parfaitement avec WooCommerce, permettant de créer des boutiques élégantes et adaptées à divers produits. Pour ceux qui vendent des fichiers numériques, Easy Digital Downloads (EDD) est l'extension idéale, offrant une solution légère pour la vente d'eBooks, musiques et logiciels. En matière de référencement, Yoast SEO est un outil incontournable, facilitant l'optimisation des titres et méta-descriptions, tout en générant des sitemaps pour améliorer la visibilité sur les moteurs de recherche. Enfin, pour les paiements en ligne, Stripe et PayPal sont des solutions essentielles. Stripe se distingue par sa simplicité d'intégration avec WooCommerce, permettant aux clients de payer directement sur le site, ce qui réduit les abandons de panier. En combinant ces outils, les entrepreneurs peuvent créer une boutique en ligne performante, maximisant ainsi leurs chances de succès et de conversion. Pour des tutoriels et conseils supplémentaires, le site https://boutique-wp.fr/ est une ressource précieuse.
Sources :
L’IA va bouleverser le métier de créateur de contenu : 5 exemples
L'intelligence artificielle (IA), autrefois réservée aux laboratoires, est désormais accessible et transforme les pratiques créatives dans divers domaines, notamment l'écriture. Bien que ces outils ne remplacent pas la créativité humaine, ils augmentent la productivité des écrivains, leur permettant de se concentrer sur des aspects stratégiques de leur travail. Par exemple, au lieu de passer des heures à peaufiner un texte, un auteur peut utiliser l'IA pour générer plusieurs versions d'un même passage. Cela enrichit le processus créatif sans en diminuer le contrôle. L'IA facilite également la production vidéo et améliore la qualité des contenus. Pour les étudiants et chercheurs, elle aide à structurer des idées, reformuler des textes complexes et résumer des articles académiques. En tant qu'assistant virtuel, l'IA inspire et propose de nouvelles pistes à explorer. Cependant, des questions se posent sur la propriété des créations générées par l'IA, notamment concernant la reconnaissance des artistes dont les œuvres ont servi d'inspiration. Les créateurs doivent donc utiliser l'IA comme un outil complémentaire, tout en préservant leur voix unique, afin de produire des œuvres authentiques et engageantes.
Sources :
Comment maximiser le retour sur investissement (ROI) de vos campagnes SEA ?
Pour maximiser le retour sur investissement (ROI) des campagnes de Search Engine Advertising (SEA), il est essentiel de bien gérer les coûts, notamment le coût par clic (CPC) et le budget global. Une optimisation efficace repose sur l'ajustement des investissements vers les stratégies les plus rentables, tout en anticipant les fluctuations du marché. Comprendre les métriques de performance, telles que le taux de clics (CTR) et le taux de conversion, est crucial pour affiner la stratégie. Les mots-clés doivent être soigneusement sélectionnés pour correspondre aux attentes des consommateurs et doivent être régulièrement réévalués en fonction des évolutions du marché. De plus, une page de destination bien conçue, rapide et adaptée aux besoins des utilisateurs est primordiale pour augmenter les chances de conversion. L'utilisation de tests A/B permet d'identifier les éléments les plus performants et ceux nécessitant des améliorations. Enfin, l'analyse et l'ajustement continus de chaque aspect de la campagne, du ciblage à la création d'annonces, sont indispensables pour détecter les opportunités d'amélioration et réduire le gaspillage, garantissant ainsi une optimisation constante du ROI.
Sources :
Les attaquants de logiciels malveillants utilisent MacroPack pour diffuser Havoc, Brute Ratel et PhantomCore
Selon de nouvelles découvertes de Cisco Talos, des acteurs malveillants utilisent un outil conçu pour des exercices de red teaming, appelé MacroPack, pour diffuser des malwares. Développé par Emeric Nasi, MacroPack génère des documents Office, des scripts Visual Basic et d'autres formats pour des tests de pénétration. Cisco Talos a identifié des artefacts provenant de pays comme la Chine, le Pakistan, la Russie et les États-Unis, tous générés par MacroPack et utilisés pour livrer divers payloads, dont Havoc, Brute Ratel et une nouvelle variante de PhantomCore, un cheval de Troie d'accès à distance attribué à un groupe hacktiviste nommé Head Mare. Les chercheurs ont noté la présence de quatre sous-routines VBA non malveillantes dans tous les documents analysés, ce qui est atypique. Les thèmes des documents varient, allant de sujets génériques à des documents officiels semblant provenir d'organisations militaires, indiquant l'implication de différents acteurs. Certains documents exploitent des fonctionnalités avancées de MacroPack pour contourner les détections heuristiques des anti-malwares. Les chaînes d'attaque, observées entre mai et juillet 2024, suivent un processus en trois étapes, illustrant l'évolution des tactiques des acteurs malveillants face aux perturbations.
Sources :
Planned Parenthood confirme la cyberattaque et RansomHub dénonce une violation
Planned Parenthood a confirmé avoir subi une cyberattaque qui a affecté ses systèmes informatiques, l'obligeant à mettre certaines parties de son infrastructure hors ligne pour contenir les dégâts. L'incident, survenu fin août 2024, a été identifié par Planned Parenthood of Montana (PPMT) le 28 août. La PDG, Martha Fuller, a déclaré que des protocoles de réponse avaient été immédiatement mis en œuvre pour sécuriser le réseau. Le groupe de ransomware RansomHub a revendiqué l'attaque, menaçant de divulguer 93 Go de données prétendument volées dans six jours, et a publié des documents confidentiels sur son portail d'extorsion sur le dark web. Les autorités, dont le FBI et le Département de la Santé et des Services humains, ont récemment averti des tendances de RansomHub à cibler des organisations de santé. Fuller a assuré que Planned Parenthood prenait la situation très au sérieux et avait informé les forces de l'ordre fédérales. Bien qu'aucune donnée n'ait encore été confirmée comme volée, une enquête est en cours. Cette violation pourrait soulever d'importantes préoccupations en matière de confidentialité pour les patients, étant donné la nature des services offerts par l'organisation.
Sources :
Un nouveau malware multiplateforme, KTLVdoor, a été découvert lors d'une attaque contre une société commerciale chinoise
Le groupe de cybercriminalité chinois connu sous le nom d'Earth Lusca a été observé utilisant un nouveau logiciel malveillant, KTLVdoor, dans le cadre d'une attaque ciblant une entreprise de trading en Chine. Ce malware, écrit en Golang, est capable de fonctionner sur des systèmes Microsoft Windows et Linux. KTLVdoor se distingue par son obfuscation avancée et se fait passer pour divers utilitaires système, permettant aux attaquants d'effectuer des manipulations de fichiers, d'exécuter des commandes et de scanner des ports à distance. Parmi les outils qu'il imite figurent sshd, Java, SQLite, et bash. Les chercheurs de Trend Micro ont identifié plus de 50 serveurs de commande et de contrôle (C&C) hébergés par Alibaba, suggérant une infrastructure potentiellement partagée avec d'autres acteurs malveillants chinois. Actif depuis au moins 2021, Earth Lusca a mené des attaques contre des entités publiques et privées à travers le monde. KTLVdoor, qui tire son nom d'un marqueur dans son fichier de configuration, établit un contact continu avec les serveurs C&C pour recevoir des instructions. Bien que son mode de distribution reste flou, les chercheurs soulignent que cet outil pourrait également être partagé avec d'autres groupes de cybercriminalité.
Sources :
Cisco corrige deux failles critiques dans l'utilitaire Smart Licensing pour empêcher les attaques à distance
Cisco a publié des mises à jour de sécurité pour deux vulnérabilités critiques affectant son Smart Licensing Utility, permettant à des attaquants distants non authentifiés d'élever leurs privilèges ou d'accéder à des informations sensibles. Les deux failles, CVE-2024-20439 et CVE-2024-20440, ont un score CVSS de 9.8. La première concerne un identifiant utilisateur statique non documenté pour un compte administratif, permettant à un attaquant de se connecter à un système affecté. La seconde est due à un fichier de journalisation de débogage excessivement verbeux, permettant l'accès à des fichiers sensibles via une requête HTTP malveillante. Ces vulnérabilités ne sont exploitables que si le Smart Licensing Utility est en cours d'exécution. Les utilisateurs des versions 2.0.0, 2.1.0 et 2.2.0 doivent mettre à jour vers la version 2.3.0, qui est sécurisée. Par ailleurs, Cisco a également corrigé une vulnérabilité d'injection de commande dans son Identity Services Engine (ISE), identifiée comme CVE-2024-20469, qui pourrait permettre à un attaquant local authentifié d'exécuter des commandes arbitraires et d'élever ses privilèges. Un code d'exploitation de preuve de concept est disponible, bien qu'aucune exploitation malveillante ne soit signalée.
Sources :
Microchip Technology confirme que des données ont été volées lors d'une cyberattaque
Microchip Technology Incorporated, un fournisseur américain de semi-conducteurs, a confirmé qu'une cyberattaque survenue en août a entraîné le vol de données d'employés. L'attaque, revendiquée par le gang de ransomware Play, a été détectée le 17 août et a perturbé les opérations de plusieurs installations de fabrication. Dans un dépôt auprès de la SEC, l'entreprise a indiqué que ses systèmes critiques sont désormais opérationnels et que les commandes clients sont traitées depuis plus d'une semaine. Bien que des données d'employés, telles que des informations de contact et des mots de passe cryptés, aient été compromises, aucune preuve n'a été trouvée concernant le vol de données clients ou fournisseurs. Le gang Play a ajouté Microchip à son site de fuite de données sur le dark web, affirmant avoir volé des informations sensibles, y compris des documents financiers et des données personnelles. Ils ont menacé de publier davantage de données si l'entreprise ne réagissait pas. Play, actif depuis juin 2022, a déjà ciblé de nombreuses organisations à l'échelle mondiale, incitant les victimes à payer une rançon pour éviter la fuite de leurs données. L'entreprise continue d'évaluer l'impact de l'attaque avec l'aide d'experts en cybersécurité.
Sources :
L'outil de l'équipe rouge « MacroPack » utilisé abusivement dans des attaques pour déployer Brute Ratel
Le cadre MacroPack, conçu à l'origine pour les exercices de Red Team, est désormais détourné par des acteurs malveillants pour déployer des charges utiles nuisibles telles que Havoc, Brute Ratel et PhantomCore. Des chercheurs de Cisco Talos ont analysé des documents malveillants soumis sur VirusTotal, révélant une utilisation variée de MacroPack à travers plusieurs pays, dont les États-Unis, la Russie, la Chine et le Pakistan. MacroPack, développé par Emeric Nasi, propose des fonctionnalités avancées pour contourner les logiciels de sécurité et intégrer des scripts VB indétectables. Les chercheurs ont identifié des échantillons de documents montrant des caractéristiques spécifiques à MacroPack, comme des sous-routines VBA non malveillantes. Quatre clusters d'activités malveillantes ont été observés : en Chine, des documents incitant à activer des macros pour livrer Havoc et Brute Ratel ; au Pakistan, des documents militaires déployant Brute Ratel ; en Russie, un document vide diffusant PhantomCore ; et aux États-Unis, un formulaire de renouvellement NMLS utilisant des noms de fonctions générés par chaîne de Markov. L'abus de MacroPack représente une menace croissante pour la cybersécurité, ajoutant une couche de furtivité aux attaques.
Sources :
Les États-Unis luttent contre la désinformation russe avant les élections de 2024
Aujourd'hui, le ministère américain de la Justice a annoncé que le FBI avait saisi 32 domaines web utilisés par le réseau d'influence lié à la Russie, Doppelgänger, dans le cadre d'une campagne de désinformation ciblant le public américain avant les élections présidentielles de cette année. Selon des documents judiciaires, Doppelgänger est associé à des entreprises russes telles que Social Design Agency et Structura, contrôlées par l'administration présidentielle russe. Les opérateurs de Doppelgänger ont utilisé ces domaines pour diffuser de la propagande pro-russe, visant à influencer les élections aux États-Unis et dans d'autres pays, tout en réduisant le soutien international à l'Ukraine. La procureure adjointe Lisa Monaco a déclaré que ces opérations incluaient des techniques de cybersquattage et la création de faux profils pour promouvoir des récits générés par l'IA sur les réseaux sociaux. En parallèle, deux ressortissants russes ont été inculpés pour avoir orchestré un plan de 10 millions de dollars de création et de distribution de propagande pro-russe. Le ministère a également sanctionné des dirigeants de RT, une chaîne d'information contrôlée par l'État russe, pour leur rôle dans cette désinformation. Le FBI a assuré que ces activités ne compromettraient pas l'intégrité des élections de 2024.
Sources :
Cisco corrige une vulnérabilité d'escalade de racine avec un code d'exploitation public
Cisco a corrigé une vulnérabilité d'injection de commandes, identifiée sous le code CVE-2024-20469, qui permet aux attaquants d'élever leurs privilèges à root sur des systèmes vulnérables. Cette faille a été découverte dans le Cisco Identity Services Engine (ISE), un logiciel de contrôle d'accès réseau basé sur l'identité. La vulnérabilité résulte d'une validation insuffisante des entrées fournies par l'utilisateur, permettant aux attaquants locaux de soumettre des commandes CLI malveillantes sans nécessiter d'interaction. Toutefois, pour exploiter cette faille, les attaquants doivent déjà disposer de privilèges d'administrateur sur des systèmes non corrigés. Cisco a publié un avis de sécurité, indiquant que du code d'exploitation de preuve de concept est disponible. Les versions affectées incluent Cisco ISE 3.2 et 3.3, avec des correctifs prévus pour septembre et octobre 2024. Bien que la société n'ait pas encore observé d'exploitation active de cette vulnérabilité, elle a également supprimé un compte backdoor dans son logiciel Smart Licensing Utility. D'autres vulnérabilités critiques ont été corrigées récemment, soulignant l'importance de maintenir les systèmes à jour pour éviter les escalades de privilèges.
Sources :
Une nouvelle attaque Eucleak permet aux acteurs malveillants de cloner les clés YubiKey FIDO
Une nouvelle vulnérabilité, nommée "EUCLEAK", a été découverte dans les dispositifs FIDO utilisant le microcontrôleur de sécurité Infineon SLE78, comme la série YubiKey 5 de Yubico. Cette faille permet aux attaquants d'extraire des clés secrètes ECDSA et de cloner le dispositif FIDO. Thomas Roche de NinjaLab, qui a identifié cette vulnérabilité, explique que l'attaque nécessite un accès physique prolongé, un équipement spécialisé et une expertise en électronique et cryptographie, ce qui limite le risque principalement aux acteurs menaçants sophistiqués, souvent soutenus par des États, ciblant des cibles de grande valeur. Les utilisateurs ordinaires ne sont pas considérés comme menacés. La faille affecte les versions de firmware antérieures à 5.7.0 des YubiKey 5 Series et d'autres modèles, mais Yubico a évalué le problème comme modéré, avec un score CVSS de 4.9. Les attaquants auraient également besoin du code PIN ou de la vérification biométrique de l'utilisateur pour exploiter pleinement la vulnérabilité. Yubico recommande d'utiliser des clés de signature RSA et de limiter la durée des sessions. EUCLEAK touche également d'autres produits utilisant le microcontrôleur SLE78 d'Infineon.
Sources :
Idées reçues numériques : une nouvelle étude Kaspersky revient sur les habitudes contradictoires des utilisateurs en matière de vie privée
Une étude de Kaspersky, intitulée « Myths and Reality of Digital World », révèle les croyances erronées des consommateurs concernant la cybersécurité et la protection des données personnelles. Malgré une prise de conscience croissante des enjeux numériques, les utilisateurs ont du mal à identifier les pratiques sécurisées. Par exemple, 56 % des Français pensent que couvrir leur webcam protège leur vie privée, alors que 41 % jouent à des jeux en ligne, partageant ainsi leurs données avec des sources peu fiables. De plus, 53 % s'inquiètent de l'écoute permanente des assistants vocaux, mais seulement 29 % mettent leur appareil en mode avion lors de conversations sensibles. Beaucoup croient à tort que le mode incognito les rend invisibles en ligne (39 %), tandis que 22 % cliquent sur des liens inconnus, s'exposant à des cybermenaces. L'étude souligne l'importance de s'informer sur la cybersécurité et de faire preuve de prudence face aux mythes non fondés. Anna Larkina de Kaspersky insiste sur la nécessité d'une approche critique et d'une protection adéquate contre les menaces numériques. L'enquête a été réalisée en juin 2024 auprès de 10 000 répondants dans plusieurs pays.
Sources :
Cybersécurité : quand les hackers éthiques se mettent au service des entreprises
Dans une tribune, Blandine Delaporte, Directrice des Solutions chez SentinelOne, souligne l'importance croissante de la cybersécurité face aux menaces émergentes liées à l'IoT, à l'IA et aux services cloud. Les violations de données ciblent particulièrement les profils de haut niveau, exacerbées par le travail à distance qui élargit la surface d'attaque. Pour contrer ces menaces, les entreprises doivent adopter des stratégies de cybersécurité robustes, incluant des architectures zero-trust et une surveillance continue. Le rôle des hackers éthiques, ou "white-hat", devient essentiel pour identifier et atténuer proactivement les risques. Ces professionnels simulent des cyberattaques pour détecter les vulnérabilités, en respectant des directives éthiques strictes. Ils complètent les équipes de sécurité internes, qui apportent une connaissance institutionnelle et une protection quotidienne. Ensemble, ils forment une défense plus résiliente, utilisant des technologies avancées pour détecter les menaces. Les PME, souvent moins préparées, doivent mettre en place des processus rigoureux pour sélectionner des hackers éthiques qualifiés, garantissant ainsi la conformité aux normes de sécurité. Cette approche méthodique permet aux entreprises de bénéficier des compétences des hackers à louer tout en minimisant les risques associés.
Sources :
Avec une hausse de l’utilisation de l’IA dans l’industrie manufacturière, les cyberattaquants diversifient les méthodes utilisées contre ce secteur
Le Threat Labs de Netskope a publié une étude sur les menaces liées aux applications cloud dans le secteur manufacturier, mettant en lumière l'augmentation de l'utilisation de l'Intelligence Artificielle (IA) et la diversification des méthodes des cybercriminels. En 2024, l'utilisation de Microsoft OneDrive a grimpé de 43 % à 58 %, bien que son impact sur la distribution de malwares ait diminué de 34 % à 22 %. Les utilisateurs interagissent en moyenne avec 24 applications cloud par mois, et Microsoft Copilot figure désormais parmi les dix applications les plus utilisées. Environ la moitié des malwares téléchargés proviennent d'applications cloud, OneDrive étant la plus exploitée pour diffuser des malwares (22 %). Les principales familles de malwares ciblant ce secteur incluent Downloader.GuLoader et Infostealer.AgentTesla. Paolo Passeri, spécialiste en cyberintelligence chez Netskope, souligne la nécessité pour les entreprises de renforcer leur sécurité face à la sophistication croissante des attaques. Netskope recommande d'inspecter tous les téléchargements, de bloquer les fichiers à haut risque et d'utiliser des technologies d'isolation pour protéger les données sensibles. Ce rapport repose sur des données anonymes collectées via la plateforme Netskope Security Cloud.
Sources :
Cisco met en garde contre un compte administrateur de porte dérobée dans Smart Licensing Utility
Cisco a récemment supprimé un compte administrateur de porte dérobée dans son application Cisco Smart Licensing Utility (CSLU), qui permettait à des attaquants non authentifiés de se connecter à des systèmes non corrigés avec des privilèges administratifs. Cette vulnérabilité critique (CVE-2024-20439) expose les systèmes à des accès non autorisés via une "identification statique non documentée". En outre, Cisco a publié des mises à jour de sécurité pour une autre vulnérabilité (CVE-2024-20440) qui permet aux acteurs malveillants d'accéder à des fichiers journaux contenant des données sensibles en envoyant des requêtes HTTP malveillantes. Ces failles de sécurité affectent uniquement les versions vulnérables de CSLU, qui ne fonctionnent pas en arrière-plan. Bien que Cisco n'ait pas encore trouvé d'exploits publics liés à ces vulnérabilités, l'entreprise a une histoire de suppression de comptes non documentés dans divers produits. En parallèle, Cisco a récemment corrigé d'autres vulnérabilités critiques, y compris celles permettant de modifier des mots de passe d'utilisateurs sur des serveurs de licences. La vigilance est donc de mise pour les administrateurs afin de protéger leurs systèmes contre d'éventuelles attaques.
Sources :
Des pirates informatiques nord-coréens ciblent les demandeurs d'emploi avec une fausse application FreeConference
Des acteurs malveillants nord-coréens ont utilisé une fausse application de vidéoconférence Windows se faisant passer pour FreeConference.com afin d'infiltrer des systèmes de développeurs dans le cadre d'une campagne financière nommée "Contagious Interview". Détectée par la société singapourienne Group-IB en août 2024, cette vague d'attaques commence par un entretien d'embauche fictif, incitant les chercheurs d'emploi à télécharger un projet Node.js contenant le malware BeaverTail. Ce dernier déploie un backdoor Python, InvisibleFerret, capable de contrôle à distance, de keylogging et de vol de données de navigateur. Des variantes de BeaverTail, également conçues pour voler des informations, ont été distribuées via de faux paquets npm. En juillet 2024, des fichiers d'installation Windows et macOS déguisés en logiciel de vidéoconférence MiroTalk ont été découverts, servant à déployer une version mise à jour de BeaverTail. Group-IB attribue cette campagne au groupe Lazarus, qui continue d'affiner ses méthodes. Le malware a évolué pour cibler davantage d'extensions de portefeuilles de cryptomonnaie et utilise désormais des scripts Python, appelés CivetQ, pour extraire des données sensibles. Le FBI a également averti des attaques sophistiquées des acteurs nord-coréens visant l'industrie de la cryptomonnaie.
Sources :
Des pirates informatiques injectent du code JS malveillant dans la boutique Cisco pour voler des cartes de crédit et des identifiants
Le site de vente de produits dérivés de Cisco est actuellement hors ligne en raison d'une attaque de hackers ayant injecté un code JavaScript malveillant. Ce code vise à voler des informations sensibles des clients lors du processus de paiement, notamment des détails de cartes de crédit et des identifiants de connexion. Les chercheurs suggèrent que cette attaque pourrait être liée à la vulnérabilité CosmicSting (CVE-2024-34102), qui affecte la plateforme de commerce Adobe (Magento). Le script malveillant, enregistré sous le domaine rextension.[net] deux jours avant la découverte de l'attaque, est fortement obfusqué et a été conçu pour collecter des données telles que les adresses postales, numéros de téléphone et adresses e-mail. Bien que le magasin soit principalement utilisé par des employés de Cisco pour acheter des articles de marque, les hackers pourraient également accéder à des identifiants d'employés. À l'heure actuelle, les magasins Cisco aux États-Unis, en Europe et dans la région Asie-Pacifique sont inaccessibles. Cisco n'a pas encore répondu aux demandes de commentaires concernant cette situation.
Sources :
Google reporte le correctif pour la faille Pixel EoP sur d'autres appareils Android
Google a publié les mises à jour de sécurité Android de septembre 2024, corrigeant 34 vulnérabilités, dont la CVE-2024-32896, une faille d'élévation de privilèges activement exploitée, initialement résolue pour les appareils Pixel en juin 2024. Cette vulnérabilité, liée à une erreur logique dans le code, permet à un attaquant de contourner certaines protections sans nécessiter de permissions supplémentaires, bien qu'une interaction de l'utilisateur soit requise. Les mises à jour de sécurité concernent les appareils fonctionnant sous Android 12, 12L, 13 et 14. En plus de cette faille, d'autres problèmes de haute sévérité ont été corrigés, à l'exception de deux vulnérabilités dans des composants Qualcomm, exploitables uniquement localement. Il est recommandé à tous les utilisateurs d'Android d'appliquer ces mises à jour rapidement. Pour les utilisateurs d'Android 11 ou antérieur, il est conseillé de passer à un modèle plus récent ou d'installer une distribution Android tierce. Parallèlement, Google a également publié des correctifs pour les appareils Pixel (séries 6 et ultérieures), abordant six failles d'élévation de privilèges, dont quatre sont classées comme critiques. Aucune anomalie n'a été signalée avec cette mise à jour.
