Veille cyber du 19/06/2024
Découvrez comment des agents infiltrés ont démasqué un hacker allié à l’État islamique, la vente d'une vulnérabilité zero-day Windows à 120 000 dollars, et le procès d'un Américain pour un achat de 100 dollars sur Genesis Market. Plongez dans l'univers sombre de la cybersécurité!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un hacker prêtant allégeance à l’État islamique dévoilé par des agents infiltrés
En février 2023, Jibril Pratt, un pirate informatique, a tenté de rejoindre l'État islamique en proposant de créer une unité cybernétique pour leur cause. Il a été démasqué par des agents infiltrés du FBI avec qui il a échangé sur WhatsApp, pensant qu'ils étaient des terroristes. Pratt a prêté allégeance à l'EI, proposé des attaques avec des drones et des voitures piégées, et a effectué des paiements en cryptomonnaie pour financer les terroristes, sans savoir que les fonds étaient surveillés par le FBI. En plus de ses activités terroristes, Pratt est accusé de cybercriminalité liée au blackmarket Genesis. Il a été inculpé en août 2023 et a tenté de fuir les États-Unis en vain.
Sources :
Une vulnérabilité zero-day pour Windows en vente pour 120 000 dollars
Un pirate informatique vend une vulnérabilité zero-day pour une élévation locale de privilèges sur Windows pour 120 000 dollars. L'exploit concerne diverses versions du système d'exploitation, avec un taux de succès de 99,4 %. L'exploit est écrit en C++ et inclut le code source et la documentation. La transaction doit se faire via un garant. Cette vente se déroule sur un forum réputé pour sa fiabilité. De plus en plus de découvreurs de failles choisissent de vendre directement leurs zero-day plutôt que de passer par des courtiers comme Zerodium. En novembre 2023, une autre vente similaire avait été révélée, cette fois à 70 000 dollars.
Sources :
Un Américain jugé pour un achat de 100 dollars sur Genesis Market
Un résident de Buffalo, aux États-Unis, risque jusqu'à 10 ans de prison pour avoir acheté des données illicites sur Genesis Market pour 105 dollars. Les achats étaient effectués en cryptomonnaies et ont été utilisés pour acquérir des accès non autorisés. Ces données ont été utilisées pour des fraudes liées à l'obtention de prestations sociales, pour un montant de 25 200 dollars. Le verdict final sera rendu le 13 septembre 2024.
Sources :
Les États-Unis décident de troller les hackers cachés en Russie
Les États-Unis ont adopté une stratégie de trolling psychologique contre les hackers russes, incapables d'intervenir directement en Russie. Cette approche vise à semer la discorde et la méfiance parmi les hackers, ralentissant leur efficacité. Les opérations psychologiques, telles que l'opération Cronos, envoient des messages personnalisés pour perturber les hackers, affectant leur réputation et leurs relations. Ces tactiques ont un impact significatif sur les groupes criminels, même s'ils ne peuvent atteindre le noyau dur de la cybercriminalité russe. Des exemples passés montrent l'utilisation réussie d'opérations psychologiques en cybersécurité, telles que l'Opération Glowing Symphony contre l'État islamique en 2016. Ces actions visent à perturber les activités des cybercriminels en sapant leur confiance et en exposant leurs méthodes.
Sources :
Intensification des escroqueries Euro 2024 : faux Billets, streams pirates et fausses cryptomonnaies
Les escroqueries liées à l'Euro 2024 se multiplient, avec des faux billets, des streams pirates et des fausses cryptomonnaies. La Gendarmerie Nationale a identifié 338 sites vendant des billets pour les JO Paris 2024 sans autorisation, tandis que des pages frauduleuses aux couleurs de l'Euro 2024 ont été découvertes. Des arnaques ciblées visent à infiltrer les entreprises pour diverses malveillances. Les cybercriminels vendent également des cryptomonnaies fictives, comme les "coins Harry Kane", attirant les investisseurs avant de provoquer l'effondrement de leur valeur. En parallèle, les fraudes aux faux sites de streaming et aux produits dérivés se multiplient, exposant les utilisateurs à des contrefaçons de mauvaise qualité ou à des logiciels malveillants.
Sources :
Comment utiliser le Wi-Fi public en toute sécurité : 5 choses à savoir avant de vous connecter
ZDNET recommande des produits après des heures de tests, de recherches et de comparaisons. Ils utilisent des données provenant de diverses sources pour offrir des conseils d'achat avisés. Les rédacteurs vérifient chaque article pour assurer la qualité du contenu. Il est crucial de protéger vos données sur les réseaux publics en utilisant un VPN pour masquer votre adresse IP et chiffrer vos données. Évitez de transmettre des informations sensibles sur ces réseaux pour éviter le vol d'identité. Il est recommandé d'éviter les VPN gratuits et de se demander si une connexion sans fil est vraiment nécessaire.
Sources :
Le Salaire d’un développeur de TrickBot révélé : Un aperçu de la vie d’Oleg Kucherov
Oleg Kucherov, membre de TrickBot, a rejoint le groupe en tant que programmeur en 2021. Son salaire modeste de 2 500 dollars par mois lui a permis de mener une vie confortable, construire une maison et lancer une entreprise de produits carnés. Il a voyagé en Italie et aux Émirats arabes unis, partageant ses aventures sur les réseaux sociaux. Kucherov soutient les actions du gouvernement et de l'armée russes en Ukraine. Les autorités allemandes ont émis un mandat d'arrêt contre lui. TrickBot compte environ une centaine de membres et utilise divers malwares.
Sources :
UNC3886 utilise Fortinet, VMware 0-Days et Stealth Tactics pour l'espionnage à long terme
L'acteur de cyberespionnage chinois UNC3886, lié à l'exploitation de failles de sécurité zero-day dans les appareils Fortinet, Ivanti et VMware, utilise divers mécanismes de persistance pour maintenir un accès non restreint aux environnements compromis. Les attaques ciblent principalement l'Amérique du Nord, l'Asie du Sud-Est et l'Océanie, touchant des secteurs tels que les gouvernements, les télécommunications, la technologie, l'aérospatiale et la défense, ainsi que l'énergie et les services publics. UNC3886 a développé des techniques pour éviter les logiciels de sécurité, espionner les réseaux gouvernementaux et commerciaux pendant de longues périodes sans être détecté. Il déploie des rootkits comme Reptile et Medusa sur des machines virtuelles invitées, ainsi que des backdoors nommés MOPSLED et RIFLESPINE pour le contrôle à distance. Les organisations sont invitées à suivre les recommandations de sécurité des avis de Fortinet et VMware pour se protéger contre ces menaces.
Sources :
1 million de dollars pour un QuickBook 0Day
Un pirate informatique est prêt à payer 1 million de dollars pour une faille QuickBooks, un logiciel de comptabilité. Cette recherche de vulnérabilité illustre les menaces croissantes des cyberattaques, telles que celles du groupe Cl0p spécialisé dans le chantage numérique. Ce groupe, tout comme d'autres rançonneurs, pratique la "double extorsion" en volant des données sensibles en plus de chiffrer les données des victimes. Les attaquants ont réussi à compromettre les systèmes de Wolters Kluwer en utilisant des logiciels malveillants. Malgré la baisse d'intérêt pour ce type de business, la recherche de failles comme celle pour QuickBooks reste une préoccupation majeure en matière de cybersécurité.
Sources :
Des "chercheurs" exploitent le bug d'échange de Kraken et volent 3 millions de dollars en crypto
Des chercheurs ont exploité une faille sur la plateforme Kraken pour voler 3 millions de dollars en crypto-monnaie. Après avoir découvert et corrigé la faille, Kraken a constaté que trois utilisateurs en avaient profité pour dérober les fonds. Malgré les tentatives de récupération, les chercheurs ont refusé de restituer les fonds volés et de divulguer des informations sur la vulnérabilité. Kraken considère désormais l'affaire comme un cas criminel et a informé les autorités compétentes.
Sources :
Nouvelle étude de cas : les balises GTM non gérées deviennent un cauchemar en matière de sécurité
Cet article met en lumière les risques liés à une mauvaise gestion des balises sur les sites web, en se concentrant sur l'utilisation de Google Tag Manager. Une entreprise mondiale a subi une violation de données en externalisant la gestion de ses balises, ce qui a entraîné une mauvaise configuration et une fuite d'informations sensibles. Les réglementations telles que le GDPR et le CCPA imposent aux entreprises de protéger les données de leurs clients et d'obtenir leur consentement explicite. En moyenne, une application connectée à Google Tag Manager fuit des données personnelles dans 20% des cas, principalement en raison de mauvaises configurations. Ironiquement, Google Tag Manager est souvent responsable de ces erreurs. Il est crucial de gérer correctement les risques liés à l'utilisation de cet outil pour concilier les objectifs de marketing et de sécurité.
Sources :
Un nouvel acteur malveillant, « Void Arachne », cible les utilisateurs chinois avec des installateurs VPN malveillants
Une nouvelle menace nommée Void Arachne cible les utilisateurs chinois en utilisant des fichiers MSI malveillants pour les VPN afin de déployer un framework de commande et contrôle appelé Winos 4.0. Cette campagne promeut également des fichiers MSI compromis contenant des logiciels de génération de deepfakes et des technologies vocales et faciales. Les attaques utilisent des tactiques de poison SEO et des plateformes de médias sociaux pour distribuer des malwares. Les attaques visent des logiciels populaires comme Google Chrome, LetsVPN, QuickVPN et un pack de langues Telegram en chinois simplifié. Les installateurs modifient les règles du pare-feu pour autoriser le trafic associé au malware. Winos 4.0 permet la gestion de fichiers, des attaques DDoS, le contrôle de la webcam, la capture d'écran, l'enregistrement audio, le keylogging et l'accès distant. La complexité du backdoor réside dans un système basé sur des plugins. Les chercheurs soulignent l'intérêt croissant des acteurs malveillants pour les VPN en Chine en raison du contrôle strict d'Internet.
Sources :
Avertissement : l'arnaque de Markopolo ciblant les utilisateurs de cryptomonnaies via un faux logiciel de réunion
Un acteur de menace connu sous le pseudonyme de markopolo a été identifié comme étant derrière une vaste escroquerie multiplateforme ciblant les utilisateurs de devises numériques sur les réseaux sociaux avec des logiciels malveillants voleurs d'informations et des vols de cryptomonnaies. L'attaque utilise un logiciel de réunion virtuelle nommé Vortax et 23 autres applications pour délivrer des malwares tels que Rhadamanthys, StealC et Atomic macOS Stealer. Cette campagne, principalement dirigée contre les utilisateurs de cryptomonnaies, révèle une montée significative des menaces de sécurité sur macOS et met en lumière un vaste réseau d'applications malveillantes. Les cybercriminels tentent de légitimer Vortax sur les réseaux sociaux et internet en maintenant un blog Medium rempli d'articles suspects générés par IA et un compte vérifié sur X (anciennement Twitter) avec un badge doré. Les victimes doivent fournir un RoomID pour télécharger l'application piégée, ce qui mène au déploiement du malware voleur d'informations. Les chercheurs soulignent l'importance de ne pas sous-estimer la menace persistante des malwares voleurs d'informations, en particulier après la campagne récente visant Snowflake. Par ailleurs, des escrocs SMS exploitent les services de stockage cloud pour rediriger les utilisateurs vers des pages de phishing qui volent des données personnelles et financières.
Sources :
Il suffit d’une minute pour craquer un mot de passe
Une étude de Kaspersky a révélé que seuls 23 % des mots de passe analysés étaient suffisamment complexes pour résister aux tentatives de piratage, prenant plus d'un an pour être déchiffrés. Parmi les mots de passe les plus courants se trouvent des noms propres, des mots populaires et des mots de passe standard. Seuls 19 % des mots de passe étaient considérés comme forts, mais 39 % pouvaient être devinés en moins d'une heure avec des algorithmes. Les attaquants n'ont pas besoin de compétences avancées pour pirater des mots de passe, un ordinateur portable standard peut trouver un mot de passe de 8 caractères en 7 minutes. Les chercheurs ont utilisé des algorithmes de force brute et Zxcvbn pour deviner les mots de passe.
Sources :
- https://www.undernews.fr/hacking-hacktivisme/il-suffit-dune-minute-pour-craquer-un-mot-de-passe.html
Fuite pour la marque Zadig et Voltaire
Un pirate informatique vend une base de données présumée volée à la marque Zadig & Voltaire, comprenant les informations de 638 726 clients. Zadig & Voltaire n'a pas encore confirmé l'authenticité des données mais enquête sur l'incident. La fuite, connue depuis plusieurs semaines, a été repérée par le Service Veille ZATAZ. Une base de données contenant 25 informations différentes sur les clients est diffusée sur un forum pirate, initialement vendue à 100 dollars puis à quelques centimes d'euros. ZATAZ a alerté ses abonnés dès la découverte de cette diffusion malveillante.
Sources :
Ces 3 arnaques en ligne peuvent transformer vos vacances d’été en cauchemar [Sponso]
Les cybercriminels sont actifs avec des sites de réservation frauduleux et des fausses annonces alimentées par l'IA. Les escroqueries sont de plus en plus sophistiquées, mais il existe des moyens de s'en prémunir : vérifier les détails suspects dans les annonces, faire des recherches inversées sur les photos, contacter le propriétaire, ne pas payer la totalité à la réservation, éviter les annonces sur les réseaux sociaux. En été, les hackers ciblent les recherches de vacances bon marché. Il est recommandé de contacter le service client en cas de doute et de changer régulièrement ses codes d'accès en ligne. Même les géants du web comme Booking et Kayak sont sujets à des attaques. Bitdefender Premium Security Plus est une solution de cybersécurité recommandée pour se protéger en ligne.
Sources :
Les failles du serveur de messagerie Mailcow exposent les serveurs à l'exécution de code à distance
Deux vulnérabilités de sécurité ont été révélées dans la suite de serveurs de messagerie open-source Mailcow, permettant l'exécution de code arbitraire. Les deux failles, affectant les versions antérieures à la version 2024-04, ont été divulguées de manière responsable par SonarSource le 22 mars 2024. La première vulnérabilité (CVE-2024-30270) est une faille de traversée de chemin permettant l'exécution de commandes arbitraires. La seconde (CVE-2024-31204) est une faille XSS exploitant le mécanisme de gestion des exceptions. En combinant les deux failles, un attaquant peut prendre le contrôle de comptes sur un serveur Mailcow, accéder à des données sensibles et exécuter des commandes. Une attaque théorique implique l'envoi d'un email HTML contenant une charge XSS. Selon le chercheur en vulnérabilités de SonarSource, Paul Gerste, un attaquant peut ainsi exécuter du code arbitraire sur le serveur du panneau d'administration d'une instance vulnérable de Mailcow.
Sources :
Microsoft affirme qu'un bug entraîne l'affichage des boîtes de dialogue Ouvrir avec dans les applications Windows 10
Microsoft a confirmé qu'une erreur provoque l'affichage d'une boîte de dialogue "Comment voulez-vous ouvrir ce fichier ?" lorsqu'on tente de cliquer avec le bouton droit sur l'icône d'une application Windows 10 pour effectuer une tâche enregistrée. Cette anomalie est survenue depuis la mise à jour de prévisualisation KB5036979 d'avril 2024. Bien que cette boîte de dialogue puisse apparaître, elle n'empêche pas le fonctionnement normal des applications. Ce bug affecte toutes les applications Windows avec une tâche enregistrée, telles que Calculatrice, Microsoft Outlook (Nouveau), Microsoft Teams, Snip & Sketch et Sticky Notes. Par ailleurs, Windows 11 rencontre également un problème empêchant le lancement de l'application Microsoft Photos après une mise à jour récente. Microsoft travaille sur un correctif pour résoudre ces problèmes dans une future mise à jour.
