Veille cyber du 25/06/2024
Découvrez les nouvelles variantes du malware Medusa ciblant Android, célébrez le 30ème anniversaire du Projet ZATAZ avec un concours exceptionnel, et méfiez-vous de l'arnaque « Je vais porter plainte si je ne reçois rien » sur leboncoin. Ne manquez pas notre article !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
De nouvelles variantes du malware Medusa ciblent les utilisateurs d'Android dans sept pays
Le malware Medusa cible les utilisateurs Android dans sept pays, avec des variantes plus compactes et sophistiquées. Les nouvelles campagnes ont été repérées depuis mai, visant à initier des transactions directement depuis les appareils compromis. Les chercheurs de Cleafy ont identifié 24 campagnes utilisant le malware, attribuées à cinq botnets distincts. Les nouvelles variantes de Medusa réduisent leur empreinte sur les appareils compromis, nécessitant moins d'autorisations mais conservant l'accès aux services d'accessibilité d'Android. Les auteurs ont ajouté cinq nouvelles commandes, dont la capture d'écran et la superposition d'écran, pour des actions trompeuses. Cette évolution suggère une expansion des cibles et une plus grande discrétion du trojan bancaire mobile Medusa, préparant le terrain pour un déploiement massif et une augmentation du nombre de victimes.
Sources :
30ème anniversaire du Projet ZATAZ : célébration et concours exceptionnel pour l’occasion
Le projet ZATAZ célèbre son 30ème anniversaire avec un concours exceptionnel offrant des prix prestigieux. Fondé en 1989 par Damien Bancal, ZATAZ est devenu une référence en cybersécurité. Pour participer au concours, il faut s'abonner à la newsletter, suivre ZATAZ sur les réseaux sociaux et trouver un mot mystère caché dans une émission diffusée sur Twitch. Les gagnants seront tirés au sort le 29 août. Cette célébration marque trois décennies de lutte contre la cybercriminalité et remercie la communauté pour son soutien. Ne manquez pas cette opportunité de célébrer et de gagner des prix exceptionnels !
Sources :
« Je vais porter plainte si je ne reçois rien » : attention à cette arnaque sur leboncoin
Les escrocs ciblent les vendeurs sur les plateformes de revente en ligne en utilisant des techniques sophistiquées, telles que le phishing et les faux sites. L'expert en cybersécurité Julien Métayer a identifié une équipe de fraudeurs cherchant des produits informatiques. Ils contactent les vendeurs, font une offre sans acheter le produit, puis tentent de les convaincre d'envoyer le colis en utilisant des faux e-mails et des menaces de plainte. Métayer recommande de rester sur le canal d'échange de la plateforme pour éviter les arnaques. Il a reçu plusieurs demandes similaires récemment. Il met en garde contre les faux sites de la police nationale utilisés par les escrocs pour mettre la pression. La vigilance et le maintien des transactions sur la plateforme d'origine sont essentiels pour éviter les arnaques en ligne.
Sources :
Neiman Marcus confirme une violation de données après le piratage du compte Snowflake
Neiman Marcus a confirmé une violation de données après le piratage de son compte Snowflake. Les hackers ont tenté de vendre la base de données de l'entreprise volée lors des récentes attaques de vol de données de Snowflake. La violation a affecté 64 472 personnes avec des informations personnelles telles que nom, coordonnées, date de naissance et numéros de cartes-cadeaux Neiman Marcus ou Bergdorf Goodman. Les numéros de cartes-cadeaux ont été exposés mais sans les PIN, les cartes restent valides. L'acteur de menace "Sp1d3r" a mis en vente les données de Neiman Marcus pour 150 000 $, liant l'attaque à Snowflake. Une enquête conjointe a révélé que le groupe UNC5537 a ciblé au moins 165 organisations en utilisant des identifiants volés. Mandiant a lié les attaques Snowflake à un acteur de menace financièrement motivé. Les attaques récentes incluent Santander, Ticketmaster, QuoteWizard/LendingTree, Advance Auto Parts, Los Angeles Unified et Pure Storage.
Sources :
Le FBI met en garde contre les faux cabinets d'avocats ciblant les victimes d'escroqueries cryptographiques
La FBI met en garde contre de faux cabinets d'avocats ciblant les victimes d'arnaques liées aux cryptomonnaies. Les cybercriminels se font passer pour des avocats offrant des services de récupération de cryptomonnaies, puis volent des fonds et des informations personnelles. Ils prétendent collaborer avec des agences gouvernementales et des institutions financières pour gagner la confiance des victimes. Les escrocs demandent aux victimes de fournir des informations personnelles, de payer des frais initiaux pour récupérer des fonds perdus, ou de régler des taxes supplémentaires. Les victimes de ces arnaques ont versé plus de 9 millions de dollars entre février 2023 et février 2024. Les autorités peuvent parfois retracer et récupérer des cryptomonnaies volées, mais ne demandent jamais de frais aux victimes. Il est crucial de vérifier la légitimité des entreprises prétendant pouvoir récupérer des cryptomonnaies volées avant de partager des informations personnelles ou de faire des paiements. En cas de fraude, il est recommandé de signaler l'incident au portail IC3 en fournissant le maximum de détails sur les escrocs et les transactions financières.
Sources :
Une nouvelle technique d'attaque exploite les fichiers de la console de gestion Microsoft
Des acteurs de menace exploitent une nouvelle technique d'attaque en utilisant des fichiers de console de gestion (MSC) spécialement conçus pour exécuter du code via Microsoft Management Console (MMC) et contourner les défenses de sécurité. Elastic Security Labs a nommé cette approche GrimResource après avoir identifié un artefact ("sccm-updater.msc") téléchargé sur VirusTotal le 6 juin 2024. Les attaquants peuvent combiner cette technique avec DotNetToJScript pour exécuter du code arbitraire, menant à un accès non autorisé et à la prise de contrôle du système. Cette technique exploite une faille de cross-site scripting (XSS) dans la bibliothèque apds.dll pour exécuter du code JavaScript arbitraire dans le contexte de MMC. Elle contourne les avertissements ActiveX et peut être combinée avec DotNetToJScript pour exécuter du code arbitraire. Les chercheurs en sécurité soulignent que cette nouvelle technique contourne les défenses traditionnelles et permet l'exécution de code arbitraire dans Microsoft Management Console à l'aide de fichiers MSC.
Sources :
Nouvelle cybermenace « Boolka » déployant le cheval de Troie BMANAGER via des attaques SQLi
Un nouvel acteur menaçant nommé Boolka a été observé compromettant des sites web avec des scripts malveillants pour délivrer un cheval de Troie modulaire nommé BMANAGER. Ce groupe a mené des attaques opportunistes par injection SQL depuis au moins 2022, infectant des sites vulnérables avec des scripts JavaScript malveillants capables d'intercepter les données saisies. Boolka collecte et exfiltre les interactions des utilisateurs, redirigeant également les victimes vers une fausse page de chargement pour télécharger une extension de navigateur qui en réalité installe le cheval de Troie BMANAGER. Ce dernier déploie quatre modules supplémentaires pour voler des données sensibles. Les chercheurs notent une sophistication croissante des tactiques de Boolka, passant de simples attaques SQL à un système de livraison de malware et de trojans.
Sources :
Visage trop stable, voix modifiée, ces preuves d’une manipulation russe avec l’IA
Un groupe lié au renseignement russe utilise l'intelligence artificielle pour produire de fausses informations propagées par une entité nommée CopyCop. Ces fausses informations visent à discréditer Joe Biden, l'Ukraine et les politiques occidentales. Les contenus générés par IA sont amplifiés sur les réseaux sociaux par de faux comptes. The Record a identifié des indices de manipulation par l'IA, notamment dans une fausse vidéo ciblant la France. Les chercheurs ont repéré des anomalies visuelles et sonores révélatrices de l'utilisation d'outils d'IA. Ils prévoient une augmentation de telles opérations, notamment lors des élections américaines à venir.
Sources :
Fermeture de Coco.gg : Site de discussions nauséabond
Le site de discussion Coco a été fermé en raison de dérives en ligne, devenant un repère de prédateurs selon des associations. La fermeture a été annoncée par le parquet de Paris, suite à une coopération internationale. Cette action souligne l'importance de la régulation et de la modération des plateformes en ligne pour protéger les utilisateurs. Le fondateur risque jusqu'à 10 ans de prison et 500 000€ d'amende pour diverses infractions. Malgré cette fermeture, d'autres sites similaires pourraient émerger, car cela reste un business lucratif.
Sources :
Comment réduire les coûts avec une plate-forme de sécurité du navigateur
L'article met en avant l'importance croissante de la sécurité des navigateurs pour les organisations, soulignant les limites des solutions réseau et des terminaux face aux menaces web. La sécurité des navigateurs s'avère être une solution rentable et efficace, comme en témoignent six CISO dans le rapport "Témoignages de CISO : 6 histoires réelles de réduction des coûts avec une plateforme de sécurité des navigateurs". Les CISO ont réussi à réduire la charge de travail de leurs équipes de sécurité et à améliorer l'efficacité et la sécurité grâce à cette solution. Les témoignages mettent en lumière six cas d'utilisation, allant de la protection des données SaaS à la sensibilisation des utilisateurs en passant par la réponse aux incidents. En transitionnant vers des solutions comme LayerX, les organisations ont constaté une réduction significative du coût total de possession et une protection granulaire jusqu'au niveau de la saisie de texte dans le navigateur. En automatisant la détection et la prévention des faiblesses de sécurité, LayerX offre une visibilité complète sur les versions des navigateurs, les utilisateurs et les profils, facilitant la gestion de la sécurité des navigateurs sur les appareils gérés et non gérés.
Sources :
Nouvelle tactique de menace GRIMRESOURCE permettant une exécution complète de code
Les chercheurs d'Elastic Security Labs ont découvert une nouvelle technique d'exécution appelée GRIMRESOURCE, permettant aux attaquants d'exécuter du code malveillant dans la Console de gestion Microsoft (mmc.exe) en exploitant une vulnérabilité dans les bibliothèques MMC. Cette technique, combinée à DotNetToJScript, permet une exécution de code arbitraire, échappant aux défenses habituelles. Un échantillon exploitant GrimResource a été repéré sur VirusTotal le 6 juin. En utilisant un vieux défaut XSS dans la bibliothèque apds.dll, les attaquants peuvent exécuter du javascript arbitraire dans mmc.exe. Le VBScript dissimulé PASTALOADER extrait la charge utile des variables d'environnement pour l'injecter dans une nouvelle instance de dllhost.exe de manière furtive. Cette technique permet d'exécuter Cobalt Strike. La détection de cette exécution suspecte via Microsoft Common Console a été établie avant la découverte de GRIMRESOURCE.
Sources :
Les acteurs de l’OT sont de plus en plus ciblés par les cybermenaces
Le rapport 2024 State of Operational Technology and Cybersecurity de Fortinet met en avant les défis de sécurité rencontrés par les équipes IT et OT, malgré des améliorations récentes. Les cyberattaques sur les systèmes OT sont en hausse, avec 73% des répondants signalant des intrusions en 2024 contre 49% en 2023. Les entreprises ont subi plus d'intrusions au cours des 12 derniers mois, avec 31% signalant plus de 6 incidents. Les méthodes de détection peinent à suivre le rythme des menaces actuelles. Pour renforcer la sécurité, il est recommandé de segmenter l'environnement, d'intégrer l'OT dans les stratégies SecOps, et d'utiliser des outils de sécurité adaptés. Le rapport inclut des données provenant de divers pays et secteurs d'activité.
Sources :
Le botnet P2PInfect cible les serveurs REdis avec un nouveau module de ransomware
Le botnet P2PInfect cible les serveurs Redis avec un nouveau module de ransomware. Initialement inactif, ce malware peer-to-peer déploie désormais un ransomware et un cryptominer, selon Cado Security. Découvert en juillet 2023, P2PInfect a augmenté ses attaques entre août et septembre 2023, sans actions malveillantes. En décembre 2023, une variante ciblant les processeurs MIPS a été identifiée. Depuis le 16 mai 2024, le ransomware rsagen est déployé, chiffrant des fichiers spécifiques et générant des revenus via un mineur XMR. Un rootkit permet aux bots de se cacher, mais l'efficacité est limitée par le déploiement en mémoire de Redis. L'objectif de P2PInfect, loué ou géré par une équipe centrale, reste flou, mais il représente désormais une menace réelle pour les serveurs Redis.
Sources :
LockBit recrute !
Le groupe de pirates informatiques LockBit, après avoir subi des attaques DDoS massives, menace la Réserve fédérale des États-Unis et relance une campagne de recrutement. Malgré des annonces de son éradication, LockBit est de retour et est devenu la bande de rançonneurs la plus prolifique au monde. Ils auraient réussi à infiltrer la Réserve fédérale des États-Unis et volé 33 To de données. Cette cyberattaque retentissante soulève des questions sur sa véracité. LockBit recrute activement, et l'ampleur de ses actions suscite des inquiétudes quant à la sécurité informatique.
Sources :
Les créateurs du blackmarket Trust Market annoncent la fin de leur business
Le blackmarket Trust Market a annoncé la fin de ses activités en raison d'un détournement de fonds par un membre de l'équipe. Un "exit scam" a été dévoilé, avec des pertes estimées entre 800 000 et 1 million de dollars. Un "employé" a révélé des problèmes de corruption interne et de manque d'argent, attribuant la fermeture à des membres d'un cartel lié à un autre blackmarket. Malgré des tentatives de relance, la plateforme n'a pas pu être sauvée.
Sources :
Piratage : mourir ou être jugé !
En Russie, les pirates informatiques arrêtés ont le choix entre partir combattre en Ukraine ou être jugés pour leurs actions malveillantes en ligne. Les autorités proposent cette alternative dans le cadre d'une nouvelle directive du Ministère de l'Intérieur et du Comité d'enquête. Cette mesure fait suite à une loi adoptée en mars 2024 permettant l'abandon des poursuites pour ceux qui s'engagent dans des opérations militaires avec le Ministère de la Défense. Cependant, cette option ne s'applique pas aux crimes graves.
Sources :
Phishing : un groupe de cybercriminels stoppé en Ukraine
Un groupe de cybercriminels en Ukraine a été arrêté pour avoir mis en place plus de 100 sites de phishing, escroquant des étrangers, dont des Français, de plus de 2,5 millions d'UAH. Les autorités ont mené une opération internationale pour stopper leurs activités frauduleuses. Des perquisitions ont été effectuées, entraînant l'arrestation de trois personnes en Ukraine et de dix membres du groupe en Europe. Les enquêtes se poursuivent pour identifier d'éventuels complices. Les membres risquent jusqu'à douze ans de prison et la confiscation de leurs biens. L'Ukraine reste confrontée à des cas de cybercriminalité réguliers, avec des autorités locales actives dans la lutte contre ces activités illégales.
Sources :
L’infernal site Coco vient d’être fermé par la gendarmerie
Le site Coco, connu pour ses multiples extensions, a été fermé le 25 juin 2024 par les autorités françaises en coopération avec d'autres pays européens. La Gendarmerie nationale a confirmé sa participation à cette action. Plus de 23 000 procédures judiciaires liées à Coco ont été ouvertes entre janvier 2021 et mai 2024. Le site était impliqué dans des activités criminelles telles que la cybercriminalité, la pédocriminalité et le proxénétisme. Des cas de viols et de sollicitations sexuelles ont également été rapportés. Coco.gg avait changé d'extension pour échapper aux autorités françaises. Certains individus ont été reconnus coupables de crimes liés à des rencontres sur le site. Malgré sa fermeture, il est possible que Coco réapparaisse sous une autre adresse.
Sources :
Une policière assassinée après un contrat passé sur le darknet !
Un cybercriminel russe condamné à 14 ans de prison pour avoir dirigé un groupe de pirates informatiques ayant volé des données de compagnies aériennes et ferroviaires. Une enquêtrice sur l'affaire a été assassinée dans un meurtre commandité sur le darknet. Les exécutants du meurtre ont été arrêtés, dont un adolescent condamné à 14 ans de prison. Le fondateur du groupe a été arrêté en Géorgie pour une autre affaire de cyberfraude, mais n'a pas été inculpé pour le meurtre. Les agressions commanditées via le darkweb sont de plus en plus présentes, comme dans d'autres affaires internationales.
Sources :
Les RSSI sont de plus en plus à l’aise avec le risque, mais un meilleur alignement de la part de la direction est nécessaire
Netskope, leader du marché du SASE, a publié une étude mondiale révélant l'évolution des attitudes des RSSI face aux cyber-risques. Les RSSI français montrent une appétence au risque plus élevée que leurs homologues britanniques et allemands. Ils se voient de plus en plus comme des acteurs proactifs et progressistes, cherchant à influencer la stratégie globale de l'entreprise. Malgré des défis liés à des priorités contradictoires, ils cherchent à améliorer la résilience des entreprises et à éduquer leurs pairs. Les RSSI aspirent à jouer un rôle plus actif et à favoriser l'innovation tout en assurant la sécurité. Netskope souligne l'importance pour les RSSI d'accompagner leurs collègues dans l'adoption de stratégies comme le zero trust pour concilier sécurité et activités commerciales. L'étude, menée auprès de 1 031 RSSI dans cinq pays, met en lumière l'évolution des responsabilités et des mentalités des RSSI face aux défis croissants de la cybersécurité.
Sources :
Julian Assange de Wikileaks libéré de prison au Royaume-Uni et se rend en Australie
Julian Assange, fondateur de WikiLeaks, a été libéré au Royaume-Uni après plus de cinq ans de détention pour divulgation d'informations classifiées. Il a plaidé coupable et devrait être condamné à 62 mois de prison déjà purgés à Saipan. WikiLeaks a salué une campagne mondiale ayant abouti à un accord avec le Département de la Justice américain. Assange a quitté le pays pour l'Australie, refusant de se rendre aux États-Unis. WikiLeaks, fondé en 2006, a publié plus de 10 millions de documents sensibles, exposant des affaires de guerre, d'espionnage et de corruption. Assange a collaboré avec Chelsea Manning, condamnée pour avoir divulgué des documents classifiés.
Sources :
4 pirates informatiques vietnamiens liés à FIN9 inculpés dans une vague de cybercriminalité de 71 millions de dollars aux États-Unis
Quatre ressortissants vietnamiens liés au groupe de cybercriminalité FIN9 ont été inculpés aux États-Unis pour leur implication dans une série d'intrusions informatiques ayant causé plus de 71 millions de dollars de pertes aux entreprises. Les accusés sont accusés d'avoir mené des campagnes de phishing et des compromissions de chaîne d'approvisionnement pour orchestrer des cyberattaques et voler des millions de dollars. Ils ont été inculpés de divers chefs d'accusation, dont la fraude, l'extorsion, le blanchiment d'argent et le vol d'identité. Par ailleurs, deux membres américains du groupe de piratage ViLE ont plaidé coupable pour avoir compromis une base de données de l'application de la loi fédérale. Enfin, le Conseil européen a imposé de nouvelles sanctions contre six personnes pour des cyberattaques contre des infrastructures critiques et des systèmes gouvernementaux dans l'Union européenne et en Ukraine.
Sources :
Plusieurs plugins WordPress compromis : des pirates informatiques créent des comptes administrateurs malveillants
Plusieurs plugins WordPress ont été compromis pour injecter du code malveillant permettant de créer des comptes administrateurs frauduleux dans le but d'effectuer des actions arbitraires. Le malware injecté tente de créer un nouveau compte administrateur et envoie les détails à un serveur contrôlé par l'attaquant. De plus, du code JavaScript malveillant a été ajouté aux sites pour du spam SEO. Les comptes admin ont les noms d'utilisateur "Options" et "PluginAuth", avec les informations exfiltrées vers l'adresse IP 94.156.79[.]8. On ne sait pas encore comment les attaquants ont compromis les plugins, mais les premiers signes de l'attaque remontent au 21 juin 2024. Les plugins incriminés ne sont plus disponibles en téléchargement sur le répertoire des plugins WordPress en attendant une révision en cours. Les utilisateurs des plugins concernés sont invités à vérifier leurs sites pour des comptes administrateurs suspects et à les supprimer, en plus de retirer tout code malveillant.
Sources :
Le 1er ministre français exploité dans une escroquerie en ligne
Des escrocs exploitent l'image du Premier ministre français, Gabriel Attal, dans une arnaque en ligne. Ils prétendent qu'il a gagné beaucoup d'argent en investissant dans une entreprise sur le web. Cette arnaque utilise le nom d'une fausse société, Bit FlexGPT 3.1 AI, qui change de nom régulièrement. Il est fortement déconseillé de verser de l'argent, car il s'agit d'une escroquerie. Les pirates ont également mentionné une fausse application de contrôle parental dans le code source de l'arnaque. Il est important de rester vigilant face à de telles tentatives d'escroquerie en ligne.
