Un nouveau malware Voldemort utilise Google Sheets pour stocker des données volées - Actus du 31/08/2024
Découvrez comment le Brésil bannit X (Twitter) après une bataille contre Elon Musk, les efforts de Microsoft pour optimiser Windows 11, et la découverte choquante d'une injection SQL contournant la sécurité TSA. Ne manquez pas ces révélations majeures !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une bataille contre Elon Musk conduit le Brésil à bannir X (Twitter) de son territoire
Elon Musk fait face à un dilemme crucial concernant le marché brésilien de 215 millions d'habitants, alors que la Cour suprême fédérale du Brésil a décidé de bannir le réseau social X (anciennement Twitter) du pays. Cette décision fait suite au refus de Musk de nommer un représentant légal au Brésil, une demande formulée le 28 août 2024. La tension entre X et le gouvernement brésilien s'est intensifiée après qu'une enquête a été ouverte en avril 2024, accusant X d'avoir réactivé des comptes liés à l'ancien président Jair Bolsonaro, malgré des décisions judiciaires locales. Musk, qui défend la liberté d'expression, a critiqué le juge brésilien Alexandre de Moraes, le qualifiant de menace pour la démocratie. Le Brésil, de son côté, insiste sur le respect de ses lois par les entreprises américaines. En cas d'utilisation d'un VPN pour contourner le blocage, les utilisateurs brésiliens risquent une amende de 50 000 réaux. Ce conflit soulève des questions sur la manière dont les grandes plateformes doivent se conformer aux régulations locales tout en opérant à l'échelle mondiale.
Sources :
Microsoft tente de réduire l'encombrement du bureau de Windows 11
Microsoft travaille à réduire l'encombrement du bureau de Windows 11 causé par la fonctionnalité Spotlight, qui propose des fonds d'écran variés et des informations lorsque l'on survole l'icône. Actuellement, cette fonctionnalité occupe environ 20 % de l'espace du bureau, ce qui peut déranger certains utilisateurs. Dans la version bêta 22635.4145, Microsoft teste des ajustements, notamment l'ajout de points d'accès lorsque l'on clique avec le bouton droit sur l'icône Spotlight. Les nouvelles fenêtres contextuelles seront plus compactes, tout en conservant l'interaction actuelle : un clic droit ouvre l'expérience en plein écran et un double clic redirige vers Bing. En plein écran, deux points d'accès animés apparaîtront pour faciliter la découverte d'informations supplémentaires sans avoir à se rendre sur Bing. En plus de ces améliorations, cette mise à jour inclut des options dans les paramètres Bluetooth et appareils, permettant de désactiver la précision améliorée du pointeur de la souris et de modifier la direction du défilement, auparavant disponibles uniquement dans le Panneau de configuration. Ces changements visent à offrir une expérience utilisateur plus fluide et moins encombrée.
Sources :
Des chercheurs découvrent une injection SQL pour contourner les contrôles de sécurité de la TSA dans les aéroports
Des chercheurs, Ian Carroll et Sam Curry, ont découvert une vulnérabilité dans FlyCASS, un service web tiers utilisé par certaines compagnies aériennes pour gérer le programme Known Crewmember (KCM) et le Cockpit Access Security System (CASS). Ces systèmes permettent aux pilotes et aux membres d'équipage de contourner les contrôles de sécurité. En exploitant une faille de type injection SQL, les chercheurs ont pu se connecter en tant qu'administrateur d'Air Transport International, ajoutant un employé fictif, "Test TestOnly", qui a obtenu un accès non autorisé aux systèmes KCM et CASS. Cela leur a permis de sauter les contrôles de sécurité et d'accéder aux cockpits des avions commerciaux. Conscients de la gravité de la situation, ils ont informé le Département de la Sécurité intérieure (DHS) le 23 avril 2024. Bien que le DHS ait reconnu le problème et déconnecté FlyCASS du système KCM/CASS, les tentatives de coordination pour une divulgation sécurisée ont échoué. La TSA a minimisé l'impact de la vulnérabilité, affirmant que le processus de vérification empêchait l'accès non autorisé. Par ailleurs, FlyCASS aurait subi une attaque par ransomware en février 2024, soulevant des inquiétudes supplémentaires sur la sécurité des données.
Sources :
Un nouveau malware Voldemort utilise Google Sheets pour stocker des données volées
Une nouvelle campagne de malware, nommée "Voldemort", utilise Google Sheets pour stocker des données volées et cible des organisations à travers le monde, en se faisant passer pour des agences fiscales des États-Unis, d'Europe et d'Asie. Selon un rapport de Proofpoint, cette campagne a débuté le 5 août 2024, avec plus de 20 000 e-mails envoyés à plus de 70 organisations, dont plus de la moitié dans les secteurs de l'assurance, de l'aérospatiale, des transports et de l'éducation. Les attaquants envoient des e-mails de phishing adaptés à la localisation des cibles, redirigeant les victimes vers une page d'atterrissage qui utilise des URL de Google AMP Cache. En cliquant sur un bouton, les utilisateurs Windows sont redirigés vers un URI de recherche qui exécute un script Python pour collecter des informations système, tandis qu'un PDF trompeur est affiché. Voldemort, un backdoor en C, permet diverses actions, y compris l'exfiltration de données. Les machines infectées écrivent leurs données dans des cellules spécifiques de Google Sheets, offrant un canal de commande et de contrôle fiable. Proofpoint recommande de restreindre l'accès aux services de partage de fichiers externes et de surveiller les exécutions PowerShell suspectes pour se défendre contre cette menace.
Sources :
Des pirates nord-coréens exploitent la faille zero-day de Chrome pour déployer un rootkit
Des hackers nord-coréens ont exploité une vulnérabilité récemment corrigée de Google Chrome (CVE-2024-7971) pour déployer le rootkit FudModule après avoir obtenu des privilèges SYSTEM via une faille du noyau Windows. Microsoft a attribué ces attaques au groupe de menaces Citrine Sleet, qui cible principalement le secteur des cryptomonnaies pour des gains financiers. Ce groupe est également connu sous d'autres noms tels qu'AppleJeus et Labyrinth Chollima. Les hackers utilisent des sites malveillants déguisés en plateformes de trading légitimes pour infecter les victimes avec des applications de travail frauduleuses ou des portefeuilles de cryptomonnaies piégés. En mars 2023, ils ont compromis le client de bureau d'un logiciel de visioconférence, 3CX, après avoir attaqué le site de Trading Technologies. La vulnérabilité CVE-2024-7971 a permis aux attaquants d'exécuter du code à distance dans le processus de rendu Chromium, puis de télécharger un exploit pour contourner les protections du noyau Windows. Le rootkit FudModule, utilisé depuis octobre 2022, permet une manipulation directe des objets du noyau, facilitant ainsi l'accès non autorisé. Les autorités américaines ont mis en garde contre ces menaces persistantes liées aux cryptomonnaies.
