La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Campagne de ransomware : Gibon distribué dans plusieurs pays
  • Le malware bancaire CoreBot est de retour
  • Deux malwares pour voler les identifiants bancaires
  • Secteur énérgitique: des nouvelles révélations sur les attaques APT
  • Sécurité Android : un million d’utilisateurs victimes d’une fausse application WhatsApp
  • 2.7 millions de données personnelles fuitent au Canada
  • Des informations sur des menaces informatiques provenant de nos sources chinoises
  • Focus sur les groupes « KeyBoy  » et « Sowbug« 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

 

Menaces Sectorielles

Multisectorielle
Le ransomware Gibon à l’origine d’une campagne d’attaques

Un nouveau ransomware  baptisé Gibon a été détecté par un chercheur de ProofPoint. Le ransomware serait actuellement distribué via une campagne de spam, propageant un email qui contient une macro malveillante. Cette dernière téléchargerait et installerait le malware sur la machine de la victime si celle-ci clique sur le document piégé. La campagne d’attaque reste à ce jour peu documentée. En revanche, des recherches ont montré que le ransomware était proposé en vente sur une plateforme russe malveillante depuis mai 2017, pour un montant de 500 dollars.
En savoir plus

Finance

Le retour du malware bancaire CoreBot 

Le 1er novembre, les chercheurs de Deep Instinct ont détecté une nouvelle variante du malware bancaire CoreBot. Découvert en 2015, ce malware est modulaire et facile à réutiliser.Il utilise des scripts VBA et des commandes PowerShell (embarqués dans un document Office) pour se rendre impossible à détecter pour des antivirus traditionnels. CoreBot a été distribué en utilisant des emails indésirables avec des documents Office en pièces jointes. La dernière vague d’attaque, détectée par les chercheurs de Deep Instinct, remonte au 1 novembre.
En savoir plus

Qakbot et Emotet, les malwares qui volent les identifiants bancaires

Le 6 novembre, les chercheurs de Microsoft ont publié une alerte concernant deux malwares baptisés respectivement Qakbot et Emotet. Les deux malwares dérobent des informations bancaires ou d’autres données sensibles. Par la suite ces informations peuvent être utilisées pour récupérer de l’argent frauduleusement. Ils se propagent par le biais d’une pièce jointe ou via un site web infecté. Ils contaminent ensuite les lecteurs partagés en réseau et les lecteurs amovibles connectés aux machines, ou tentent d’accéder aux dossiers protégés en essayant des mots de passe par défaut ou dérobés (en récupérant les frappes clavier des victimes). Microsoft recommande l’utilisation des protections présentes dans Windows 10.
En savoir plus

Energie

De nouvelles révélations sur les attaques APT contre le secteur énergétique

RisqIQ vient de publier une analyse complémentaire de l’alerte qui avait été émise le 20 octobre dernier par les agences fédérales américaines au sujet des campagnes d’attaques contre le secteur de l’énergie. La société américaine affirme avoir identifié des sites Web compromis par le groupe Energetic Bear (aka Dragonfly) pour mener ses attaques par point d’eau (Watering Hole attack). Un des sites appartiendrait à la société turque Turcas Petrol et aurait été compromis avec un malware capable de voler des identifiants de connexion. Le groupe aurait également compromis un site d’information sur des centrales énergétiques afin de compromettre davantage de sociétés.
En savoir plus

Numérique

Un million d’utilisateurs Android ont téléchargé une fausse version de WhatsApp

Des utilisateurs de la plateforme communautaire Reddit ont détecté une fausse application WhatsApp, baptisé « Update WhatsApp Messenger ». L’application frauduleuse était nommée avec un code WhatsApp+Inc%C%AO. L’algorithme de sécurité de Google Store ne pouvait rapprocher le nom ainsi déguisé à une contrefaçon de Whatsapp. En revanche la fin du code, « +Inc%C%AO », correspond sur la plateforme à un espace invisible : l’utilisateur ne lit donc que « Whatsapp ». De même, le malware ne remplaçait pas le Whatsapp original, qui continuait de fonctionner. Il venait juste discrètement s’ajouter parmi les applications déjà existantes (sous la forme d’une icône transparente et sans titre). La fausse application WhatsApp a réussi à se faire télécharger plus d’un million de fois sur le Play Store avant d’être supprimée.
En savoir plus

VerticalScope : piraté pour la deuxième fois

Le gestionnaire du forum Web canadien Verticalscope, qui gère des centaines de forums web populaires traitant de domaines variés tels que le sport, l’automobile, la santé, et les loisirs a de nouveau été piraté. 2,7 millions de comptes utilisateurs ont cette fois été touchés. Le dernier incident a eu lieu en 2015 après que la société ait signalé que 45 millions d’identifiants de connexion avaient été compromis. Hold Security, qui a découvert l’attaque, estime que l’accès a été obtenu via une porte dérobée Web Shell, ce qui peut donner à un utilisateur non autorisé un accès et un contrôle à distance à un site. Verticalscope a indiqué au media KrebsOnSecurity qu’elle avait repéré des incursions illégales sur six de ses sites et qu’elle avait, dans chaque cas, supprimé le gestionnaire de fichiers et annulé tous les mots de passe.
En savoir plus

Ecosystème Régional

Ecosystème chinois

Une agence de voyage hongkongaise piratée : toutes les données clients potentiellement exposées

L’agence de voyages hongkongaise WWPKG Holdings, spécialisée dans les séjours au Japon, a déposé lundi 6 novembre 2017 une plainte à la police locale suite à un piratage. D’après les informations disponibles, les attaquants se seraient connectés à la base de données clients, qui contient des informations personnelles telles que noms, téléphone et adresses mail/postale pour les trois dernières années, ainsi que les numéros de cartes bancaires et numéros de documents d’identité pour l’année passée. Environ 200 000 clients seraient référencés dans la base. Par ailleurs, les postes de travail de collaborateurs (majoritairement senior) ont été compromis à l’aide de Bitlocker, à la fois au niveau du siège et des filiales de la société. WWPKG Holdings auraient refusé de payer la rançon demandée, soit une somme « à sept chiffres » en dollars hongkongais (1 million de dollar hongkongais équivaut à environ 110 000 euros).
Source

Un établissement scolaire hongkongais visé par le ransomware Arena

Un établissement scolaire de niveau secondaire du district de Sha Tin à Hong Kong a contacté les autorités mercredi 8 novembre après-midi après s’être aperçu que ses systèmes étaient inaccessibles. Des attaquants auraient pris le contrôle des machines grâce au protocole RDP, puis utilisé la variante du ransomware Crysis/Dharma apparue cet été (l’extension de tous les fichiers du système devient « .arena ») pour les verrouiller. Une équipe spéciale a été dépêchée sur place pour aider à résoudre l’incident. Aucun lien n’a à ce stade été établi avec le piratage de WWKPG Holdings.
Source

Individus et Groupes

« KeyBoy « 

D’après les chercheurs PwC, le groupe de pirates KeyBoy, qui opèrerait depuis la Chine, refait surface après un an de silence. Alors qu’il avait auparavant ciblé Taiwan, le Tibet et les Philippines, il s’en prendrait désormais à des entités américaines et européennes à des fins d’espionnage industriel. Le cas analysé par le cabinet de conseil montre que KeyBoy envoie un document Word qui utilise le protocole DDE (Dynamic Data Exchange) pour inciter l’utilisateur à mettre à jour le document en incluant des fichiers référencés comme liés à celui-ci. Cela déclenche l’installation d’une fausse bibliothèque logicielle Dynamic Link Library à l’aide de PowerShell, et supprime la bibliothèque originale sans que la victime s’en aperçoive. Une fois le malware installé, il offre de nombreuses fonctionnalités telles que prendre des captures d’écran, capturer les frappes clavier, rechercher des fichiers sur le système, éteindre la machine, etc. PwC a mis à disposition des indicateurs de compromission.
En savoir plus

« Sowbug »

La société de cybersécurité Symantec a indiqué mardi 7 novembre avoir détecté un groupe de pirates baptisé Sowbug. Le groupe a réussi à s’infiltrer, grâce à des attaques très ciblées, dans des institutions gouvernementales en Amérique du Sud et en Asie du Sud-Est afin de voler des documents confidentiels. Les attaques ont été repérées en Argentine, au Brésil, en Equateur, au Pérou, au Brunei et en Malaisie. Sowbug est capable d’infiltrer plusieurs cibles simultanément et en dehors des heures de travail des organisations, ce qui rend sa détection difficile. L’une des tactiques qu’il utilise pour éviter d’attirer l’attention est d’usurper l’identité des logiciels couramment utilisés tels que Windows ou Adobe Reader. Symantec n’a pas encore détecté le mode d’infection.
En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !