Une nouvelle variante de Banshee Stealer contourne l’antivirus grâce au chiffrement inspiré de XProtect d’Apple - Actus du 09/01/2025
Découvrez la révolution des virements instantanés gratuits en France, la détection en temps réel du phishing sur Outlook et les meilleures protections anti-ransomware pour sécuriser vos données. Plongez dans notre article pour tout savoir sur ces avancées essentielles !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le virement instantané gratuit devient enfin réalité partout en France
À partir du 9 janvier, les virements bancaires instantanés deviennent gratuits dans l'Union européenne, une décision saluée par la Commission européenne. Cette nouvelle règle s'applique à tous les établissements bancaires de la zone euro, qui doivent également être en mesure de recevoir des virements instantanés. Actuellement, certaines banques offraient déjà ce service sans frais, tandis que d'autres étaient en retard. Les virements instantanés permettent des transferts d'argent immédiats, 24 heures sur 24, sans délai d'attente, ce qui marque la fin des virements traditionnels. D'ici le 9 janvier 2027, cette obligation s'étendra aux banques de l'UE utilisant d'autres monnaies. De plus, à partir du 9 octobre 2025, tous les établissements devront proposer des virements instantanés gratuits, rendant ce service incontournable. Les utilisateurs doivent vérifier que leur application bancaire est à jour pour bénéficier de cette évolution. Ce changement vise à simplifier et accélérer les transactions financières, offrant ainsi une solution plus pratique et efficace pour les consommateurs.
Sources :
Propriété intellectuelle criminelle : détection du phishing en temps réel sur Microsoft Outlook
Criminal IP, une solution de Cyber Threat Intelligence (CTI) développée par AI SPERA, a lancé un nouvel add-in, le Malicious Link Detector, sur le Microsoft Marketplace. Cet outil innovant permet la détection en temps réel des emails de phishing et le blocage des URL malveillantes dans Microsoft Outlook, renforçant ainsi la sécurité des emails face à la montée des cybermenaces. Avec l'évolution de l'IA générative, les attaques de phishing deviennent de plus en plus sophistiquées, rendant leur identification difficile. Le Malicious Link Detector analyse les liens des emails en temps réel, bloquant les URL malveillantes et protégeant ainsi les utilisateurs. Un exemple marquant est la détection d'un email de phishing ciblant les utilisateurs de Trust Wallet, où l'outil a rapidement identifié et bloqué les liens trompeurs. L'utilisation de cet add-in est simple : il suffit de créer un compte, de l'installer depuis le Microsoft Marketplace et de commencer à scanner les liens automatiquement. Avec une présence dans plus de 150 pays et des partenariats stratégiques avec des leaders comme Cisco et VirusTotal, Criminal IP continue d'élargir son influence dans le domaine de la cybersécurité.
Sources :
Les protections anti-ransomware : comment protéger vos données
Les ransomwares représentent une menace croissante pour les entreprises et les particuliers, chiffrant les données et exigeant une rançon pour leur déblocage. Pour se protéger, plusieurs stratégies sont recommandées. Tout d'abord, il est crucial d'effectuer des sauvegardes régulières et sécurisées des données, permettant une restauration sans paiement en cas d'attaque. La formation des utilisateurs est également essentielle, car de nombreuses infections proviennent d'actions imprudentes, comme l'ouverture d'e-mails de phishing. De plus, maintenir les logiciels à jour avec les derniers correctifs de sécurité est vital pour éviter l'exploitation de vulnérabilités. L'utilisation d'antivirus et de solutions de détection des menaces avancées peut bloquer les ransomwares avant qu'ils ne causent des dommages. Limiter les privilèges des utilisateurs et déployer une segmentation du réseau aide à contenir les infections potentielles. Enfin, la mise en place de systèmes de surveillance et d'un plan de réponse aux incidents permet de réagir rapidement aux menaces. En adoptant une approche proactive et multicouche, il est possible de réduire significativement les risques liés aux ransomwares et de protéger efficacement ses données. La vigilance et la préparation sont essentielles dans cette lutte contre la cybercriminalité.
Sources :
Microsoft corrige un bug provoquant le blocage d'Outlook lors de la copie de texte
Microsoft a résolu un problème connu qui provoquait des blocages dans le client de messagerie classique Outlook lors de la copie de texte avec le raccourci clavier CTRL+C. Ce bug touchait principalement les utilisateurs de Microsoft 365 sur la version 2409 (Build 18025.20096) ou supérieure, en particulier dans les langues utilisant un éditeur de méthode d'entrée (IME). Microsoft a reconnu ce problème en novembre et a depuis publié un correctif pour les utilisateurs du canal Beta, avec la version 2501 (Build 18410.15040). Les utilisateurs du canal Current Channel Preview devront attendre la mise à jour prévue plus tard ce mois-ci, tandis que d'autres canaux recevront le correctif selon un calendrier précis. En attendant, Microsoft propose des solutions temporaires, comme le retour à une version antérieure de l'IME ou d'Outlook. Les utilisateurs peuvent suivre des instructions spécifiques pour effectuer ces retours. Ce correctif fait partie des efforts continus de Microsoft pour résoudre divers problèmes affectant Outlook et d'autres applications de Microsoft 365, comme les plantages lors de l'ouverture ou des problèmes de connexion avec Gmail.
Sources :
Une nouvelle variante de Banshee Stealer contourne l’antivirus grâce au chiffrement inspiré de XProtect d’Apple
Des chercheurs en cybersécurité ont découvert une nouvelle version plus discrète d'un malware d'information ciblant macOS, nommé Banshee Stealer. Initialement considéré comme inactif après une fuite de son code source fin 2024, cette itération introduit un chiffrement avancé des chaînes, inspiré par le système XProtect d'Apple, permettant de contourner les antivirus et menaçant plus de 100 millions d'utilisateurs de macOS dans le monde. Détectée fin septembre 2024, cette variante est distribuée via des sites de phishing et de faux dépôts GitHub, se faisant passer pour des logiciels populaires tels que Google Chrome et Telegram. Documenté pour la première fois en août 2024, Banshee Stealer est proposé sous un modèle de malware-as-a-service pour 3 000 dollars par mois, capable de collecter des données de navigateurs et de portefeuilles de cryptomonnaies. Bien que ses opérations aient été perturbées par la fuite de son code, plusieurs campagnes continuent de le distribuer. Notablement, la nouvelle version a supprimé un contrôle de langue russe, élargissant ainsi son éventail de cibles. Les campagnes de malware modernes exploitent des vulnérabilités humaines, rendant macOS vulnérable aux menaces évolutives, notamment via des messages non sollicités sur Discord.
Sources :
Revue de produit : Comment Reco découvre l'intelligence artificielle fantôme dans le SaaS
L'article aborde les risques liés à l'utilisation non autorisée d'outils d'intelligence artificielle (IA) par des employés, tels que ChatGPT ou des outils de transcription de réunions. Contrairement aux applications traditionnelles, ces assistants IA peuvent passer inaperçus car ils partagent des adresses IP ou des domaines avec des applications approuvées. Leur configuration souvent faible, avec des permissions excessives et l'absence d'authentification multi-facteurs, augmente le risque d'exploitation. Une étude révèle que 15 % des employés partagent des données sensibles via ces outils. Pour contrer ces menaces, Reco propose une intégration avec l'Active Directory de l'organisation pour identifier les applications et outils IA utilisés, en surveillant les comportements suspects. Reco crée des journaux d'activité et évalue les risques associés aux applications, permettant aux équipes de sécurité de prioriser les menaces. En centralisant la gestion des identités à travers les applications SaaS, Reco identifie les configurations à risque et fournit des alertes en temps réel pour des activités inhabituelles. Cela permet une réponse rapide aux menaces potentielles, intégrant les alertes dans les systèmes de gestion des informations et des événements de sécurité (SIEM) pour une remédiation efficace.
Sources :
Webinaire : Découvrez comment stopper les attaques cryptées avant qu'elles ne vous coûtent des millions
Les ransomwares continuent d'évoluer, devenant plus sophistiqués et exploitant le chiffrement pour dissimuler des malwares et voler des données. En 2023, les attaques chiffrées ont augmenté de 10,3 %, avec des rançons atteignant des sommets historiques, comme un paiement de 75 millions de dollars en 2024. Pour aider les entreprises à se préparer à ces menaces croissantes, Emily Laufer, Directrice du Marketing Produit chez Zscaler, animera un webinaire intitulé "Préparer les ransomwares et les attaques chiffrées en 2025". Ce séminaire promet des informations pratiques et des stratégies innovantes pour contrer ces attaques. Les participants découvriront les dernières tendances en matière de ransomwares grâce aux analyses de ThreatLabz, ainsi que des prévisions pour 2025 sur l'évolution des tactiques des groupes de ransomwares. Le webinaire abordera également l'exploitation des attaques DNS chiffrées par les cybercriminels et proposera des techniques de défense éprouvées pour détecter et neutraliser les menaces avant qu'elles n'atteignent l'organisation. Face à la rapidité d'évolution des ransomwares, il est crucial d'agir rapidement pour protéger les données sensibles et éviter des pertes financières considérables. Les places étant limitées, il est conseillé de s'inscrire dès maintenant.
Sources :
MirrorFace utilise ANEL et NOOPDOOR dans des cyberattaques pluriannuelles contre le Japon
L'Agence nationale de la police du Japon (NPA) et le Centre national de préparation et de stratégie pour la cybersécurité (NCSC) ont accusé un acteur de menace lié à la Chine, nommé MirrorFace, d'avoir mené une campagne d'attaques persistantes depuis 2019, ciblant des organisations, entreprises et individus au Japon. L'objectif principal de ces attaques est le vol d'informations liées à la sécurité nationale et aux technologies avancées. MirrorFace, également connu sous le nom d'Earth Kasha, est considéré comme un sous-groupe d'APT10, avec un historique d'attaques systématiques contre des entités japonaises, utilisant des outils tels qu'ANEL, LODEINFO et NOOPDO. Les attaques se divisent en trois campagnes majeures : la Campagne A (2019-2023) ciblant des think tanks et médias via des emails de phishing ; la Campagne B (2023) visant les secteurs des semi-conducteurs et de l'aérospatial en exploitant des vulnérabilités ; et la Campagne C (2024) visant à nouveau des institutions académiques. Les attaquants utilisent des tunnels distants Visual Studio Code pour contourner les défenses réseau, exécutant des charges utiles malveillantes de manière furtive, sans laisser de traces.
Sources :
Protéger ses crypto-actifs en 2025, pourquoi et comment ?
En 2023, le FBI a enregistré plus de 69 000 plaintes liées à des fraudes financières impliquant des crypto-monnaies, représentant 10 % des plaintes totales mais près de la moitié des pertes, soit 5,6 milliards de dollars. Cette augmentation de 43 % par rapport à l'année précédente est attribuée à divers types de cybercriminalité, notamment les logiciels malveillants, le phishing et les escroqueries sentimentales. Les fraudes à l'investissement constituent 71 % des pertes, suivies des arnaques liées aux centres d'appel. La nature décentralisée et rapide des transactions en crypto-monnaies attire les cybercriminels, rendant la récupération des fonds difficile pour les victimes. En 2024, alors que le Bitcoin atteint des sommets historiques, les menaces augmentent, avec une hausse de 56 % des cryptostealers. Les attaques ciblent principalement Windows, Android et macOS, avec des logiciels malveillants comme AMOS et des variantes de Lumma Stealer. Pour protéger leurs actifs, les utilisateurs sont conseillés d'utiliser des portefeuilles déconnectés, d'activer la double authentification, de mettre à jour leurs appareils et de rester vigilants face aux escroqueries. La criminalité liée aux crypto-monnaies continue d'évoluer, soulignant l'importance de la cybersécurité.
Sources :
- https://www.undernews.fr/reseau-securite/proteger-ses-crypto-actifs-en-2025-pourquoi-et-comment.html
Les 5 principaux risques de sécurité mobile pour les entreprises en 2025
Les appareils et applications mobiles ont transformé le fonctionnement des entreprises, mais ils présentent des risques de sécurité spécifiques. Zimperium identifie les cinq principales menaces auxquelles les entreprises doivent faire attention. Premièrement, le mishing, une forme de phishing ciblant les utilisateurs mobiles via QR codes, SMS, appels frauduleux et réseaux sociaux, exploitant les comportements mobiles pour voler des données sensibles. Deuxièmement, les malwares mobiles, dont 72 % des échantillons de l'année dernière étaient des menaces « zero-day », rendant leur détection difficile. Troisièmement, les vulnérabilités des plateformes Android et iOS, qui continuent d'évoluer avec une augmentation des CVE et des exploits actifs, compliquant la sécurisation des appareils. Quatrièmement, le « sideloading », qui permet l'installation d'applications en dehors des app stores officiels, représente un risque accru, surtout avec des réglementations comme le Digital Markets Act de l'UE. Enfin, les logiciels tiers, qu'il s'agisse de code utilisé pour le développement d'applications ou d'applications métiers, manquent souvent de contrôles de sécurité adéquats, exposant ainsi les entreprises à des violations potentielles. Ces menaces nécessitent une vigilance accrue pour protéger les données et les systèmes d'information.
Sources :
Une faille critique RCE dans GFI KerioControl permet l'exécution de code à distance via l'injection CRLF
Des acteurs malveillants exploitent une vulnérabilité récemment révélée affectant les pare-feu GFI KerioControl, permettant une exécution de code à distance (RCE). Cette faille, identifiée sous le code CVE-2024-52875, concerne une attaque par injection de retour chariot et saut de ligne (CRLF), facilitant le fractionnement de la réponse HTTP et pouvant mener à une faille de type cross-site scripting (XSS). Les versions de KerioControl concernées vont de 9.2.5 à 9.4.5. Découverte par le chercheur en sécurité Egidio Romano en novembre 2024, la vulnérabilité se manifeste dans plusieurs chemins URI où les entrées utilisateur ne sont pas correctement filtrées, permettant ainsi des attaques de fractionnement de réponse HTTP. Un correctif a été publié par GFI le 19 décembre 2024. Des tentatives d'exploitation ont été signalées depuis le 28 décembre 2024, avec des attaques provenant de plusieurs adresses IP en Asie. Plus de 23 800 instances de KerioControl exposées sur Internet existent, principalement dans des pays comme l'Iran, l'Italie et les États-Unis. Les utilisateurs sont fortement conseillés de sécuriser leurs systèmes pour éviter d'éventuelles menaces.
Sources :
Campagnes de spam malveillant : L’énigme de Shanghai Yakai
En avril 2024, Infoblox Inc. a révélé l'existence de « Muddling Meerkat », un acteur capable de manipuler le Grand Firewall chinois. Entre août et décembre 2024, des chercheurs ont étudié des campagnes de spam malveillant (malspam) qui utilisent l'usurpation de domaine pour contourner les mécanismes de sécurité. Les cybercriminels falsifient les adresses d'expéditeur en utilisant des domaines abandonnés, rendant leur spam plus crédible. Les campagnes ciblent principalement la Chine et le Japon, exploitant des QR codes pour le phishing et se faisant passer pour des marques connues. Une méthode d'extorsion a également été identifiée, où les attaquants usurpent l'adresse de l'utilisateur pour exiger un paiement en Bitcoin. Un mystère persiste autour de mails envoyés par « Shanghai Yakai », contenant des pièces jointes Excel sans appel à l'action, laissant planer des doutes sur leur véritable objectif. Infoblox souligne l'importance de la collaboration en cybersécurité pour mieux comprendre les tactiques des cybercriminels et renforcer les défenses. Les résultats de cette étude mettent en lumière la nécessité d'une sensibilisation accrue aux risques liés aux malspams et à l'amélioration des systèmes de sécurité.
Sources :
La Commission européenne condamnée à une amende pour avoir transféré des données d'utilisateurs à Meta en violation des lois sur la confidentialité
Le Tribunal général de l'Union européenne a condamné la Commission européenne à une amende pour avoir enfreint les réglementations de protection des données de l'UE. C'est la première fois que la Commission est tenue responsable d'une violation de ces lois strictes. Le tribunal a jugé qu'une "violation suffisamment grave" avait eu lieu lors du transfert des données personnelles d'un citoyen allemand, y compris son adresse IP et des métadonnées de navigateur, vers les serveurs de Meta aux États-Unis, lors d'une visite sur le site futureu.europa.eu en mars 2022. L'individu avait utilisé le service de connexion de la Commission, qui permettait de se connecter via un compte Facebook. Le tribunal a souligné que la Commission n'avait pas démontré qu'il existait des garanties adéquates pour protéger les données personnelles des citoyens de l'UE lors de ce transfert. En conséquence, la Commission a été condamnée à verser 400 euros à la victime pour le préjudice non matériel subi. En juillet 2023, l'UE a mis en place un nouveau mécanisme de transfert de données personnelles avec les États-Unis, le cadre de protection des données UE-États-Unis, suite à l'invalidation du Privacy Shield.
Sources :
La faille Ivanti CVE-2025-0282 est activement exploitée et affecte Connect Secure et Policy Secure
Ivanti a alerté sur une vulnérabilité critique, CVE-2025-0282, affectant Ivanti Connect Secure, Policy Secure et ZTA Gateways, exploitée activement depuis mi-décembre 2024. Cette faille, avec un score CVSS de 9.0, permet une exécution de code à distance non authentifiée sur des versions antérieures à 22.7R2.5 pour Connect Secure, 22.7R1.2 pour Policy Secure et 22.7R2.3 pour ZTA. Ivanti a rapidement développé un correctif après avoir détecté des activités malveillantes via son outil Integrity Checker Tool. Une autre vulnérabilité, CVE-2025-0283, a également été corrigée, permettant à un attaquant local d'escalader ses privilèges. Mandiant a observé l'utilisation de malwares, notamment le framework SPAWN, attribué à un acteur menaçant lié à la Chine, UNC5337. Les attaques ont conduit à l'installation de malwares inédits, DRYHOOK et PHASEJAM, qui modifient les composants d'Ivanti Connect Secure. CISA a ajouté CVE-2025-0282 à son catalogue de vulnérabilités exploitées, exigeant des agences fédérales qu'elles appliquent les correctifs d'ici le 15 janvier 2025 et incitant les organisations à vérifier leurs systèmes pour détecter des signes de compromission.
Sources :
Des failles critiques non corrigées affectent le plugin WordPress Fancy Product Designer
Le plugin WordPress Fancy Product Designer de Radykal, utilisé pour la personnalisation de produits sur des sites WooCommerce, présente deux vulnérabilités critiques non corrigées. Découvertes par Rafie Muhammad de Patchstack le 17 mars 2024, ces failles sont : CVE-2024-51919, une vulnérabilité d'upload de fichiers non authentifiée (CVSS 9.0), permettant aux attaquants de télécharger des fichiers malveillants via des URL distantes, entraînant une exécution de code à distance ; et CVE-2024-51818, une injection SQL non authentifiée (CVSS 9.3), due à une mauvaise validation des entrées utilisateur, pouvant compromettre la base de données. Malgré la notification de Patchstack à Radykal, aucune réponse n'a été reçue, et les problèmes persistent même après la publication de 20 nouvelles versions du plugin. Patchstack a récemment ajouté ces vulnérabilités à sa base de données et a publié un avertissement pour sensibiliser les utilisateurs aux risques encourus. Il est recommandé aux administrateurs de restreindre les uploads de fichiers et de protéger contre les injections SQL en validant les entrées. Radykal n'a pas encore commenté sur une éventuelle mise à jour de sécurité.
Sources :
Ivanti met en garde contre une nouvelle faille de Connect Secure utilisée dans les attaques zero-day
Ivanti a averti que des hackers exploitent une vulnérabilité de Connect Secure, identifiée comme CVE-2025-0282, dans des attaques zero-day pour installer des logiciels malveillants sur des appareils. Cette vulnérabilité, un débordement de tampon critique (9.0), permet à un attaquant non authentifié d'exécuter du code à distance sur des dispositifs utilisant Ivanti Connect Secure, Ivanti Policy Secure et Ivanti Neurons pour ZTA, avant certaines versions. Bien que la faille affecte les trois produits, Ivanti a constaté qu'elle n'était exploitée que sur Connect Secure. L'entreprise a rapidement publié des correctifs pour Connect Secure, disponibles dans la version 22.7R2.5, tandis que les correctifs pour Policy Secure et Neurons ne seront prêts que le 21 janvier 2025. Ivanti recommande aux administrateurs de Connect Secure d'effectuer des analyses internes et externes avec l'outil Ivanti Integrity Checker (ICT) et de réinitialiser les appareils compromis avant de les mettre à jour. Une seconde vulnérabilité, CVE-2025-0283, a également été corrigée, mais n'est pas actuellement exploitée. Ivanti collabore avec Mandiant et le Microsoft Threat Intelligence Center pour enquêter sur ces attaques.
Sources :
Un fournisseur d'accès Internet russe confirme que des pirates informatiques ukrainiens ont « détruit » son réseau
Le 8 janvier 2025, des hacktivistes ukrainiens du groupe Ukrainian Cyber Alliance ont annoncé avoir infiltré le réseau du fournisseur d'accès à Internet russe Nodex, basé à Saint-Pétersbourg, et avoir complètement détruit ses systèmes après avoir volé des documents sensibles. Dans un message sur Telegram, ils ont déclaré que Nodex avait été "complètement pillé et effacé", laissant l'équipement sans sauvegardes. Nodex a confirmé l'attaque, qualifiée de planifiée et probablement originaire d'Ukraine, en informant ses clients sur VKontakte que son réseau était "détruit" et qu'il travaillait à sa restauration. L'organisation de surveillance Internet NetBlocks a également signalé un effondrement des services de connectivité sur le réseau de Nodex. Bien que le site de Nodex soit resté hors ligne, l'entreprise a commencé à restaurer ses systèmes, annonçant que le "noyau du réseau" avait été rétabli et que la connectivité Internet était de nouveau disponible pour de nombreux clients. Le Ukrainian Cyber Alliance, actif depuis 2016, a revendiqué de nombreuses cyberattaques contre des organisations russes, renforçant ainsi son rôle dans la défense de l'Ukraine contre l'agression russe dans le cyberespace.
Sources :
SonicWall exhorte les administrateurs à corriger immédiatement le bug SSLVPN exploitable
SonicWall a averti ses clients de mettre à jour immédiatement le firmware SonicOS de leurs pare-feu pour corriger une vulnérabilité d'authentification par contournement dans SSL VPN et la gestion SSH, susceptible d'être exploitée. Dans un courriel partagé sur Reddit, la société a indiqué que des correctifs étaient disponibles depuis le 7 janvier 2025, et a souligné l'importance de cette mise à jour en raison d'un score de vulnérabilité élevé (CVE-2024-53704, score CVSS v3.0 : 8.2). Les utilisateurs concernés doivent passer aux versions recommandées pour leurs modèles de pare-feu, notamment SonicOS 6.5.5.1-6n ou plus récent pour les générations 6 et 6.5, et SonicOS 7.0.1-5165 ou plus récent pour la génération 7. En plus de cette vulnérabilité critique, SonicWall a identifié trois autres problèmes de gravité moyenne à élevée, dont un générateur de nombres pseudo-aléatoires faible (CVE-2024-40762) et une vulnérabilité SSRF (CVE-2024-53705). Des recommandations pour limiter l'accès aux interfaces vulnérables ont également été fournies, notamment restreindre l'accès SSH et VPN depuis Internet.
Sources :
Des pirates exploitent la faille du pare-feu KerioControl pour voler les jetons CSRF des administrateurs
Des hackers exploitent une vulnérabilité critique, CVE-2024-52875, dans le pare-feu GFI KerioControl, permettant des attaques d'exécution de code à distance (RCE) en un clic. Cette faille, découverte par le chercheur en sécurité Egidio Romano, concerne les versions 9.2.5 à 9.4.5 de KerioControl, un produit de sécurité réseau destiné aux petites et moyennes entreprises. La vulnérabilité résulte d'une mauvaise sanitisation des caractères de saut de ligne dans le paramètre 'dest', permettant la manipulation des en-têtes HTTP via des charges utiles injectées. Cela entraîne l'exécution de JavaScript malveillant sur le navigateur de la victime, permettant l'extraction de cookies ou de tokens CSRF. Un attaquant peut alors utiliser le token CSRF d'un administrateur authentifié pour télécharger un fichier .IMG malveillant contenant un script shell, exploitant la fonctionnalité de mise à jour de Kerio pour ouvrir une connexion inverse. Des tentatives d'exploitation ont été détectées par Greynoise, et GFI Software a publié un correctif le 19 décembre 2024. Les utilisateurs sont fortement encouragés à appliquer cette mise à jour et à restreindre l'accès à l'interface de gestion web pour se protéger contre ces attaques.
Sources :
Domaines négligés utilisés dans le Malspam pour échapper aux protections de sécurité SPF et DMARC
Des chercheurs en cybersécurité ont découvert que des acteurs malveillants continuent de réussir à usurper des adresses email dans le cadre de campagnes de malspam. Cette technique vise à rendre les emails plus légitimes pour contourner les mécanismes de sécurité. Bien que des protections comme DKIM, DMARC et SPF existent, les spammeurs exploitent de plus en plus de vieux domaines négligés, permettant à leurs messages de passer inaperçus. Une campagne active depuis décembre 2022 distribue des emails avec des pièces jointes contenant des QR codes menant à des sites de phishing, incitant les victimes à utiliser des applications comme AliPay ou WeChat. D'autres campagnes imitent des marques populaires pour voler des identifiants via des pages de connexion falsifiées. Une méthode d'extorsion demande un paiement en Bitcoin pour supprimer des vidéos compromettantes. De plus, une nouvelle campagne ciblant les secteurs juridique et gouvernemental vise à dérober des identifiants Microsoft 365 en abusant de plateformes de confiance. Des campagnes de phishing par SMS se font également passer pour des autorités aux Émirats, tandis qu'une autre escroquerie utilise des appels téléphoniques pour voler des informations bancaires, ciblant principalement des femmes dont les données personnelles ont été compromises.
Sources :
Plus de 4 000 portes dérobées détournées par l'enregistrement de domaines expirés
Des chercheurs de WatchTowr Labs, en collaboration avec la Shadowserver Foundation, ont réussi à reprendre le contrôle de plus de 4 000 backdoors actives en enregistrant des domaines expirés utilisés pour les commander. Ces backdoors, souvent déployées sur des serveurs de cibles sensibles comme des gouvernements et des universités, permettaient un accès non autorisé à distance. En acquérant plus de 40 domaines, les chercheurs ont mis en place un système de journalisation qui a révélé des communications provenant de milliers de systèmes compromis tentant de se reconnecter. Parmi les backdoors identifiées, on trouve des outils classiques comme r57shell et c99shell, ainsi qu'un shell lié au groupe APT Lazarus. Les systèmes infectés incluent des infrastructures gouvernementales en Chine, un système judiciaire nigérian et des institutions éducatives en Thaïlande, en Chine et en Corée du Sud. Pour éviter que ces domaines ne tombent entre de mauvaises mains, WatchTowr a transféré leur gestion à la Shadowserver Foundation, qui s'occupe désormais de sinkholer tout le trafic provenant des systèmes compromis. Cette recherche met en lumière le risque que représentent les domaines expirés pour de nouveaux cybercriminels.
Sources :
La société de facturation médicale Medusind révèle une violation de données affectant 360 000 personnes
Medusind, une entreprise de facturation médicale basée à Miami, a informé 360 934 personnes d'une violation de données survenue en décembre 2023, révélant des informations personnelles et de santé. La société, qui gère des services de cycle de revenus pour plus de 6 000 prestataires de soins de santé, a détecté une activité suspecte sur son réseau et a immédiatement pris des mesures, notamment en mettant hors ligne les systèmes affectés et en engageant une entreprise de cybersécurité pour enquêter. Les données compromises incluent des informations sur l'assurance santé, des détails de paiement, des antécédents médicaux, ainsi que des identifiants gouvernementaux tels que les numéros de sécurité sociale. En réponse à cette violation, Medusind propose deux ans de services de surveillance d'identité gratuits via Kroll, conseillant également aux personnes touchées de surveiller leurs relevés de compte et leurs rapports de crédit pour détecter toute activité suspecte. Cette notification survient dans un contexte où le département américain de la Santé et des Services sociaux a proposé des mises à jour des règles de sécurité des données de santé, suite à une augmentation des violations de données dans le secteur de la santé.
Sources :
Des hackers ont dérobé la mine d’or des données : un fichier massif de géolocalisation
Gravy Analytics, une entreprise américaine spécialisée dans la collecte et la vente de données de géolocalisation, a subi un piratage massif, mettant en danger des informations sensibles sur des millions d'utilisateurs de smartphones. Un fichier contenant des données clients, des informations techniques et des historiques de localisation a été mis en vente sur un forum de hackers russes en janvier. Les pirates menacent de divulguer ces informations si une rançon n'est pas payée. Gravy Analytics, ainsi que sa filiale Venntel, fournit des données à des entreprises comme Apple et Uber, ainsi qu'à des agences gouvernementales américaines, y compris le FBI. L'intrusion, qui aurait débuté en 2018, soulève des inquiétudes quant à la sécurité des données sensibles. Baptiste Robert, hacker éthique, souligne que ces informations peuvent être utilisées pour identifier des individus en analysant leur historique de localisation. Des millions de citoyens européens pourraient être concernés par cette fuite, y compris des données militaires pouvant compromettre des agents de renseignement. En décembre, les autorités américaines avaient déjà sanctionné Gravy Analytics pour des pratiques de vente de données sans consentement, mais il semble que ces mesures soient désormais insuffisantes.
