Un nouveau malware Vo1d infecte 1,3 million de boîtiers de streaming Android - Actus du 13/09/2024
Un jeune de 17 ans arrêté pour une cyberattaque sur les transports de Londres, nos yeux peuvent dévoiler des mots de passe sur l'Apple Vision Pro, et découvrez comment bannir le phishing avec des outils essentiels. Ne manquez pas cet article crucial pour votre sécurité numérique!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un jeune de 17 ans arrêté en lien avec une cyberattaque touchant les transports de Londres
Les autorités britanniques ont annoncé l'arrestation d'un jeune homme de 17 ans en lien avec une cyberattaque sur Transport for London (TfL) survenue le 1er septembre 2024. Selon la National Crime Agency (NCA), le suspect, originaire de Walsall, a été arrêté le 5 septembre pour des infractions liées à la loi sur l'utilisation des ordinateurs. Bien qu'il ait été interrogé, il a été libéré sous caution. TfL a confirmé que cette violation de sécurité a permis l'accès non autorisé aux coordonnées bancaires d'environ 5 000 clients, et l'agence a commencé à contacter les personnes concernées. Paul Foster, directeur adjoint de la NCA, a souligné que de telles attaques peuvent avoir des conséquences graves pour les communautés locales. Par ailleurs, un autre adolescent de 17 ans de Walsall avait été arrêté en juillet 2024 pour une attaque par ransomware sur MGM Resorts, attribuée au groupe Scattered Spider. Ce groupe est connu pour cibler les infrastructures cloud, notamment dans les secteurs de l'assurance et de la finance, en utilisant des techniques de manipulation sophistiquées. Les recherches indiquent que Scattered Spider utilise des outils cloud légitimes pour exécuter des commandes et transférer des données tout en évitant la détection.
Sources :
Nos yeux peuvent trahir un mot de passe sur l’Apple Vision Pro
Une étude menée par des chercheurs des universités de Floride et du Texas a révélé que le casque Vision Pro d'Apple pourrait exposer des informations sensibles lors de visioconférences. En analysant les mouvements des yeux et des mains, l'équipe a réussi à identifier les lettres tapées par un utilisateur sur un clavier virtuel avec une précision de 77 % pour les mots de passe et 92 % pour les messages. Cette vulnérabilité a été mise en évidence lors d'appels sur des plateformes comme Zoom, Teams et FaceTime. Le Vision Pro utilise le regard comme méthode de saisie, où l'utilisateur fixe un clavier virtuel et valide les lettres en tapotant avec deux doigts. Les chercheurs ont développé un programme d'intelligence artificielle capable de recréer les frappes à partir des fixations oculaires. Bien que cette méthode n'ait pas encore été testée dans un contexte réel, elle soulève des inquiétudes quant à la sécurité, notamment en cas de partage de fichiers malveillants. En réponse, Apple a publié une mise à jour fin juillet pour corriger cette faille, empêchant le partage d'avatar en direct lors de l'utilisation du clavier virtuel. Les utilisateurs sont encouragés à mettre à jour leur logiciel.
Sources :
Dites adieu au phishing : les indispensables pour éliminer le vol d'identifiants
Les menaces cybernétiques évoluent, mais le principal vecteur d'attaque reste le vol de données d'identification par phishing, selon le rapport Verizon DBIR 2024. Les attaques de phishing incitent les utilisateurs à divulguer leurs identifiants via des sites ou messages trompeurs. Les défenses traditionnelles, comme la formation des utilisateurs ou l'authentification multi-facteurs (MFA), ne suffisent pas à éliminer ce risque. Beyond Identity propose une approche de sécurité déterministe en utilisant la cryptographie à clé publique-privée, évitant ainsi les facteurs vulnérables comme les mots de passe et les OTP. Grâce à des enclaves sécurisées, cette solution protège les clés privées contre les accès non autorisés. Beyond Identity offre une authentification sans mot de passe, résistante au phishing, permettant aux utilisateurs de se connecter facilement sur divers systèmes d'exploitation. De plus, elle intègre des signaux de risque pour un accès adaptatif, renforçant la sécurité en temps réel. Cette architecture flexible évite le verrouillage des fournisseurs et simplifie la gestion administrative. En adoptant Beyond Identity, les organisations peuvent réduire leur exposition aux menaces et protéger efficacement leurs ressources critiques. Une démonstration personnalisée est disponible pour découvrir cette solution innovante.
Sources :
Le cheval de Troie Android TrickMo exploite les services d'accessibilité pour commettre une fraude bancaire sur l'appareil
Des chercheurs en cybersécurité ont découvert une nouvelle variante du trojan bancaire Android, TrickMo, qui intègre des capacités avancées pour échapper à l'analyse et afficher de faux écrans de connexion afin de voler les identifiants bancaires des victimes. TrickMo, initialement détecté en 2019, cible principalement les utilisateurs en Allemagne pour dérober des mots de passe à usage unique et des codes d'authentification à deux facteurs. Ce malware, attribué à l'ancien groupe criminel TrickBot, a amélioré ses mécanismes d'obfuscation au fil du temps. Parmi ses fonctionnalités, il peut enregistrer l'activité de l'écran, enregistrer les frappes, récolter des photos et des SMS, et contrôler à distance l'appareil infecté. TrickMo se propage via une application dropper déguisée en navigateur Google Chrome, incitant les utilisateurs à mettre à jour les services Google Play, ce qui permet le téléchargement du payload malveillant. L'exploitation des services d'accessibilité d'Android permet au malware d'intercepter des messages, de masquer des codes d'authentification et de désactiver des fonctionnalités de sécurité. Une faille dans le serveur de commande a exposé 12 Go de données sensibles, augmentant le risque de vol d'identité et de fraudes financières. Les conséquences pour les victimes peuvent être graves et durables.
Sources :
Progress WhatsUp Gold exploité quelques heures seulement après la publication du PoC pour une faille critique
Des acteurs malveillants exploitent probablement des exploits de preuve de concept (PoC) récemment publiés pour des vulnérabilités de sécurité dans WhatsUp Gold de Progress Software, afin de mener des attaques opportunistes. Cette activité a débuté le 30 août 2024, seulement cinq heures après la publication d'un PoC pour la vulnérabilité CVE-2024-6670 (score CVSS : 9.8) par le chercheur en sécurité Sina Kheirkhah. Les deux vulnérabilités critiques permettent à un attaquant non authentifié de récupérer le mot de passe chiffré d'un utilisateur et ont été corrigées par Progress à la mi-août 2024. Selon Trend Micro, certaines organisations n'ont pas pu appliquer rapidement les correctifs, entraînant des incidents presque immédiatement après la publication du PoC. Les attaques observées impliquent le contournement de l'authentification de WhatsUp Gold pour exploiter le script PowerShell Active Monitor, permettant le téléchargement d'outils d'accès à distance. Bien qu'aucune exploitation ultérieure n'ait été détectée, l'utilisation de plusieurs logiciels d'accès à distance suggère l'implication d'un acteur de ransomware. Ce n'est pas la première fois que des vulnérabilités dans WhatsUp Gold sont activement exploitées, soulignant un risque de sécurité persistant pour les organisations.
Sources :
Une nouvelle campagne de malwares Linux exploite Oracle Weblogic pour exploiter la crypto-monnaie
Des chercheurs en cybersécurité ont découvert une nouvelle campagne de malware ciblant les environnements Linux, visant à réaliser un minage de cryptomonnaie illicite et à déployer un malware de botnet. Cette activité cible spécifiquement le serveur Oracle Weblogic et utilise un malware nommé Hadooken. Lors de son exécution, Hadooken déploie un autre malware, Tsunami, et un mineur de cryptomonnaie. Les attaques exploitent des vulnérabilités de sécurité connues et des configurations incorrectes, telles que des identifiants faibles, pour obtenir un accès initial et exécuter du code arbitraire. Deux charges utiles, l'une en Python et l'autre en script shell, sont utilisées pour récupérer le malware Hadooken depuis des serveurs distants. Le script shell tente également d'explorer divers répertoires contenant des données SSH pour attaquer des serveurs connus. Hadooken intègre un mineur de cryptomonnaie et un botnet DDoS, Tsunami, qui cible des services Jenkins et Weblogic dans des clusters Kubernetes. Le malware établit une persistance sur l'hôte en créant des tâches cron pour exécuter le mineur à intervalles réguliers. Les adresses IP associées à cette campagne sont liées à des services d'hébergement réputés pour protéger les cybercriminels.
Sources :
Un nouveau malware Vo1d infecte 1,3 million de boîtiers de streaming Android
Un nouveau malware, Vo1d, a infecté plus de 1,3 million de boîtiers de streaming Android dans plus de 200 pays, selon un rapport de Dr.Web. Les pays les plus touchés incluent le Brésil, le Maroc, le Pakistan et la Russie. Ce malware permet aux attaquants de prendre le contrôle total des appareils, en ciblant des versions spécifiques du firmware Android, telles que Android 7.1.2 et Android 12.1. Le Vo1d modifie des fichiers système essentiels pour assurer sa persistance et se lancer au démarrage. Il se compose de deux modules principaux, Android.Vo1d.1 et Android.Vo1d.3, qui fonctionnent ensemble pour exécuter des commandes et télécharger des exécutables. Les chercheurs estiment que ces appareils sont vulnérables en raison de l'utilisation de logiciels obsolètes et de firmwares non officiels. Pour se protéger, il est conseillé aux utilisateurs de vérifier les mises à jour de firmware, de déconnecter ces appareils d'Internet et d'éviter d'installer des applications APK provenant de sites tiers. Google a précisé que ces appareils ne sont pas certifiés Play Protect, ce qui signifie qu'ils n'ont pas subi de tests de sécurité adéquats.
Sources :
Un nouveau malware Vo1d infecte 1,3 million de boîtiers de streaming Android TV
Un nouveau malware, Vo1d, a infecté plus de 1,3 million de boîtiers de streaming Android dans plus de 200 pays, selon un rapport de Dr.Web. Ce malware permet aux attaquants de prendre le contrôle total des appareils, ciblant principalement des versions obsolètes d'Android, telles que 7.1.2, 10.1 et 12.1. Les pays les plus touchés incluent le Brésil, le Maroc, le Pakistan et la Russie. Le Vo1d modifie des fichiers système critiques pour assurer sa persistance et se lancer au démarrage. Il se compose de deux modules principaux, Android.Vo1d.1 et Android.Vo1d.3, qui fonctionnent ensemble pour exécuter des commandes et installer des applications malveillantes. Les chercheurs suspectent que ces appareils sont compromis en raison de vulnérabilités dans des logiciels obsolètes ou via des firmwares non officiels. Pour se protéger, il est conseillé aux utilisateurs de vérifier les mises à jour de firmware, de déconnecter ces appareils d'Internet et d'éviter d'installer des applications à partir de sources tierces. Google a précisé que ces appareils ne sont pas certifiés Play Protect, ce qui les rend plus vulnérables. Des informations supplémentaires sur les indicateurs de compromission sont disponibles sur GitHub de Dr.Web.
Sources :
FBI : Les pertes de cryptomonnaies signalées ont atteint 5,6 milliards de dollars en 2023
En 2023, le FBI a signalé des pertes record liées à la fraude en cryptomonnaie, atteignant 5,6 milliards de dollars, selon près de 70 000 rapports reçus par le Centre de plaintes sur la criminalité sur Internet (IC3). Cela représente une augmentation de 45 % par rapport à l'année précédente, avec la fraude à l'investissement représentant 71 % des pertes totales. Les citoyens américains ont subi la majorité des pertes, totalisant 4,8 milliards de dollars, suivis par les îles Caïmans, le Mexique, le Canada, le Royaume-Uni, l'Inde et l'Australie. La Californie a enregistré les pertes les plus élevées aux États-Unis, avec 1,155 milliard de dollars. Les tendances de fraude incluent des escroqueries via des applications de rencontre et des plateformes de réseautage professionnel, ainsi que des arnaques de minage de liquidités et des applications de jeu frauduleuses. Pour se protéger, le rapport recommande de rester sceptique face aux promesses d'investissement trop belles pour être vraies, de vérifier la légitimité des plateformes, d'utiliser des portefeuilles séparés pour les jeux et les investissements, et de se méfier des entreprises de récupération de cryptomonnaie demandant des paiements à l'avance.
Sources :
Fortinet confirme une violation de données après qu'un pirate informatique a prétendu avoir volé 440 Go de fichiers
Fortinet, un leader mondial en cybersécurité, a confirmé une violation de données après qu'un hacker, se faisant appeler "Fortibitch", ait revendiqué le vol de 440 Go de fichiers depuis son serveur Microsoft Sharepoint. Le hacker a partagé des identifiants d'accès à un bucket S3 contenant les données volées, incitant d'autres cybercriminels à les télécharger. Fortinet a déclaré que l'accès non autorisé concernait un nombre limité de fichiers, incluant des données de quelques clients, mais a précisé que moins de 0,3 % de sa clientèle était affectée. L'entreprise a également assuré qu'aucune activité malveillante n'avait été observée à l'encontre de ses clients et que l'incident n'impliquait ni ransomware ni accès à son réseau d'entreprise. Malgré une tentative d'extorsion de la part du hacker, Fortinet a refusé de payer la rançon. L'incident rappelle une précédente violation en mai 2023, où des données de Panopta, acquis par Fortinet, avaient été divulguées sur un forum de hackers. Fortinet a communiqué directement avec les clients concernés, mais n'a pas précisé le type de données compromises.
Sources :
Les dessous d’une cyberattaque iranienne contre le gouvernement irakien
Check Point Research (CPR) a récemment révélé une cyberattaque sophistiquée ciblant le gouvernement irakien, mettant en lumière la persistance des menaces cybernétiques étatiques. L'analyse des fichiers sur Virus Total a montré que les logiciels malveillants utilisés dans cette attaque partageaient des caractéristiques avec ceux employés dans d'autres opérations menées par des groupes liés à l'Iran, notamment APT34, associé au ministère iranien du renseignement et de la sécurité (MOIS). L'attaque a visé des institutions clés, telles que le bureau du Premier ministre et le ministère des Affaires étrangères, en utilisant un programme d'installation arborant le logo du secrétariat général irakien. Deux nouvelles familles de logiciels malveillants, Veaty et Spearal, ont été identifiées, démontrant des capacités avancées d'évasion et de persistance. Ces malwares ont été diffusés via des fichiers trompeurs, incitant les utilisateurs à les ouvrir sous de faux prétextes. Cette découverte souligne l'importance de comprendre les schémas d'attaques pour renforcer les défenses et détecter proactivement les menaces. CPR appelle à une vigilance accrue face à ces cybermenaces, qui continuent d'évoluer dans la région.
Sources :
Un adolescent lié à la cyberattaque de Transport for London arrêté au Royaume-Uni
Le 12 septembre 2024, l'Agence nationale de la criminalité du Royaume-Uni (NCA) a arrêté un adolescent de 17 ans à Walsall, soupçonné d'être lié à une cyberattaque contre Transport for London (TfL) survenue le 1er septembre. L'adolescent a été placé en garde à vue pour des infractions liées à la loi sur l'utilisation des ordinateurs, puis relâché sous caution. La NCA dirige l'enquête en collaboration avec le National Cyber Security Centre et TfL. Bien que l'attaque n'ait pas perturbé les services de transport, elle a affecté les systèmes internes et les services en ligne, notamment la capacité à traiter les remboursements. TfL a confirmé que des données clients, y compris noms, adresses et informations bancaires de 5 000 clients, avaient été volées. Ce n'est pas la première fois que TfL est ciblé, ayant subi une violation de données en mai 2023 par le gang de ransomware Clop. La NCA avait également arrêté un autre adolescent en juillet 2024, lié à une attaque de ransomware contre MGM Resorts, mais il n'est pas confirmé s'il s'agit de la même personne.
Sources :
Les pirates informatiques ciblent WhatsUp Gold avec un exploit public depuis août
Des hackers exploitent depuis le 30 août 2024 deux vulnérabilités critiques dans WhatsUp Gold, un logiciel de surveillance de réseau de Progress Software. Ces failles, identifiées comme CVE-2024-6670 et CVE-2024-6671, permettent d'accéder à des mots de passe chiffrés sans authentification. Bien que Progress Software ait publié des mises à jour de sécurité le 16 août, de nombreuses organisations n'ont pas encore effectué les mises à jour nécessaires, laissant la porte ouverte aux cyberattaques. Le chercheur en sécurité Sina Kheirkhah, qui a découvert ces vulnérabilités, a publié des preuves de concept (PoC) le 30 août, détaillant comment exploiter une mauvaise validation des entrées utilisateur pour compromettre les comptes administratifs. Selon Trend Micro, des attaques exploitant ces vulnérabilités ont été détectées, utilisant des scripts PowerShell légitimes pour exécuter des outils d'accès à distance (RAT) sur les systèmes compromis. Bien que les analystes n'aient pas pu attribuer ces attaques à un groupe spécifique, l'utilisation de plusieurs RAT suggère une implication potentielle d'acteurs de ransomware. Ce n'est pas la première fois que WhatsUp Gold est ciblé par des exploits publics cette année, soulignant des préoccupations continues en matière de sécurité.
Sources :
Le nouveau malware Android « Ajina.Banker » vole des données financières et contourne la 2FA via Telegram
Depuis novembre 2023, une nouvelle souche de malware Android, nommée Ajina.Banker, cible les clients bancaires en Asie centrale, visant à collecter des informations financières et à intercepter les messages d'authentification à deux facteurs (2FA). Découvert par le groupe de cybersécurité Group-IB en mai 2024, ce malware se propage via des canaux Telegram déguisés en applications légitimes liées à la banque et aux services gouvernementaux. Les chercheurs ont noté que les attaquants, motivés par des gains financiers, utilisent des stratégies de promotion localisées pour maximiser les infections, en partageant des fichiers malveillants sous forme de cadeaux. Ajina.Banker, une fois installé, accède aux messages SMS, aux informations de la carte SIM et aux applications financières, exfiltrant ces données vers un serveur distant. Bien que Google ait affirmé qu'aucune propagation via le Play Store n'ait été détectée, le malware continue de se développer, soutenu par un réseau d'affiliés. Les chercheurs ont également établi des liens entre Ajina et d'autres familles de malware, suggérant une campagne coordonnée et étendue. Cette menace souligne l'importance de la vigilance des utilisateurs face aux applications et aux messages sur les plateformes de messagerie.
Sources :
Urgent : GitLab corrige une faille critique permettant l'exécution de tâches de pipeline non autorisées
GitLab a publié mercredi des mises à jour de sécurité pour corriger 17 vulnérabilités, dont une critique permettant à un attaquant d'exécuter des tâches de pipeline en tant qu'utilisateur arbitraire. Cette faille, identifiée comme CVE-2024-6678, a un score CVSS de 9,9 sur 10. Elle affecte toutes les versions de GitLab CE/EE à partir de 8.14 jusqu'à 17.1.7, de 17.2 jusqu'à 17.2.5, et de 17.3 jusqu'à 17.3.2. GitLab a également corrigé trois autres vulnérabilités de haute sévérité, 11 de sévérité moyenne et deux de faible sévérité dans les versions 17.3.2, 17.2.5 et 17.1.7. CVE-2024-6678 est la quatrième vulnérabilité critique corrigée par GitLab cette année, après CVE-2023-5009, CVE-2024-5655 et CVE-2024-6385, toutes avec un score de 9,6. Bien qu'aucune exploitation active de ces failles ne soit signalée, il est conseillé aux utilisateurs d'appliquer les correctifs rapidement pour se protéger contre d'éventuelles menaces. En mai dernier, la CISA a révélé qu'une autre vulnérabilité critique de GitLab avait été exploitée activement.
Sources :
Transport for London confirme que les données de ses clients ont été volées lors d'une cyberattaque
Transport for London (TfL) a confirmé que les données des clients ont été compromises lors d'une cyberattaque survenue le 1er septembre 2024. Bien que l'agence de transport urbain ait initialement assuré qu'aucune donnée n'avait été affectée, une enquête interne a révélé que des informations personnelles, telles que les noms, adresses e-mail et adresses domiciliaires, avaient été accédées. Environ 5 000 clients pourraient également avoir vu leurs données de remboursement de carte Oyster et leurs coordonnées bancaires exposées. Malgré ces violations, TfL a indiqué que l'impact sur ses opérations était resté limité, bien que des perturbations subsistent, notamment l'incapacité de traiter certaines demandes clients et de rembourser des trajets payés par des méthodes sans contact. Les clients affectés reçoivent des notifications personnalisées pour les informer de la violation de données. Certaines mesures de protection sont toujours en place, mais plusieurs services demeurent indisponibles, comme les informations en direct sur les arrivées de métro et les demandes de nouvelles cartes Oyster. À ce jour, aucun groupe de ransomware n'a revendiqué l'attaque. TfL continue de travailler sur des solutions pour remédier à la situation.
