La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Vigilance pour les investisseurs Bitcoin, visés par une campagne de spam avec le spyware Orcus Rat
  • Les utilisateurs localisés dans les Balkans sous la menace d’attaque ransomware
  • Un malware bancaire s’infiltre sur le Play Store de Google : des banques polonaises visées
  • Une nouvelle variante du malware Emotet détectée dans une campagne de spam
  • Un aéroport australien victime d’un pirate vietnamien
  • L’armée indienne se méfie de son rival chinois : plusieurs applications chinoises bannies au sein des troupes
  • Triton : un nouveau malware qui cible les systèmes de sécurité industrielle
  • Attaque DDoS : la plateforme d’échange de crytomonnaie Bitfinex visée
  • Le groupe Anonymous lance une opération de représailles après la décision de Donald Trump en Israël
  • Des informations sur des menaces informatiques provenant de nos sources chinoises
  • Focus sur les groupes « MoneyTaker » à l’origine d’un vol de plus de 10 millions de dollars et « Patchwork« , spécialisé dans le cyberespionnage

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Menaces Sectorielles

Multisectorielle

Les investisseurs Bitcoin visés par le spyware Orcus Rat
Les investisseurs Bitcoin auraient récemment été la cible d’un logiciel malveillant, nommé Orcus Rat. L’attaque débuterait par une campagne de spam, annonçant la création d’une nouvelle application de « trading bot » (application qui permettrait une négociation automatisée des investissements Bitcoin, en fonction des critères choisis par l’utilisateur), intitulée Gunbot, et développée par GuntherLab. Les emails malveillants contiendraient un fichier en zip incluant un script VB qui téléchargerait un fichier binaire se faisant passer pour une image au format jpeg. Le fichier binaire contiendrait trois ressources intégrées, dont le spyware Orcus Rat. Ce dernier pourrait entre autres, prendre le contrôle de la webcam, afin d’espionner les victimes à leur insu. Il pourrait également faire participer le poste infecté à des attaques dites de déni de service distribué (DDoS). Les experts ayant fait cette découverte ont remarqué que le malware aurait tenté de cloner des domaines légitimes, en changeant une seule lettre dans l’URL. Le nouveau domaine deviendrait un site de récupération d’identifiants pour les futures campagnes de spam. Le forum « bitcointalk.org » aurait été la victime de ce spyware, le nouveau site étant disponible sous le nom de domaine « bltcointalk.com ».
En savoir plusNouvelle campagne de « ransomware avec mode d’emploi » à l’encontre des utilisateurs aux Balkans
Le dimanche 10 décembre 2017, les chercheurs du Netskope Threat Research Labs ont annoncé la détection d’un nouveau ransomware, surnommé Spider qui semble cibler particulièrement les utilisateurs localisés en Bosnie-Herzégovine, Serbie et Croatie. Spider serait diffusé via des campagnes de spam avec des emails contenant des documents Word malveillants en pièce jointe. L’objet de ces emails est « Potrazivanje dugovanja », qui se traduit du bosnien par « Collecte de dettes ». Ces documents Word malveillants incluraient un code obfusqué dans ses macros, qui déclenche un script PowerShell et par la suite télécharge et installe le malware « Spider Ransom » sur l’ordinateur des victimes. Ce ransomware utiliserait un algorithme de chiffrement symétrique AES (Advanced Encryption Standard) et ajouterait l’extension « .spider » aux fichiers chiffrés. Une fois les fichiers des utilisateurs chiffrés, Spider Ransom accorderait aux victimes un délai de 96 heures pour payer la rançon en Bitcoin.
En savoir plus

Finance

Quatorze banques polonaises victimes d’un trojan bancaire présent sur le Play Store de Google
D’après ESET, un malware bancaire visant des banques polonaises serait parvenu à se glisser dans deux applications légitimes distribuées sur le Play Store de Google. Les deux applications infectées, respectivement nommées « Crypto Monitor » et « StorySaver », sont apparues sur le Play Store les 25 et 29 novembre dernier et totaliseraient entre 1 000 et 5 000 téléchargements. Une fois téléchargé, le malware serait capable d’afficher de fausses pages d’authentification bancaires par dessus les applications bancaires légitimes, en l’occurrence, celles de quatorze banques polonaises. Le malware a été détecté par ESET sous le nom « Android/Spy.banker.QL » et la liste des banques visées a été publiée.
En savoir plusDécouverte d’une nouvelle variante d’Emotet visant la situation financière des victimes
Depuis le début du mois de décembre 2017, les chercheurs de McAfee ont enregistré une augmentation significative de l’activité du malware Emotet, connu pour dérober les identifiants bancaires de ses victimes. Ce trojan serait diffusé via une campagne de spam avec des emails contenant un document Word malveillant en pièce jointe. Dès l’ouverture de ce document par l’utilisateur, ce dernier est invité à activer le contenu, ce qui déclencherait un script PowerShell obfusqué inclu dans ses macros. Ce script permettrait aux attaquants de distribuer d’autres charges malveillantes telles que Dridex ou le ransomware HydraCrypt. Les chercheurs de McAfee ont également annoncé la découverte d’une série de nouvelles variantes d’Emotet, surnommée « Emotet-FEJ!<Partial Hash>. Cette variante serait diffusée via des campagnes de phishing trompant les victimes à l’aide de pièces jointes ayant pour titre « Paypal », « Invoice » (facture) ou « Dokumente vom Notar » (documents du notaire).
En savoir plus

Aéronotique

Un pirate vietnamien vole des données d’un aéroport australien
Un pirate de 31 ans aurait compromis le système de sécurité de l’aéroport de Perth et volé des détails sensibles liés à la sécurité de l’aéroport. Il aurait pour cela utilisé les identifiants d’un prestataire tiers. Le conseiller en cybersécurité du gouvernement australien, Alistair MacGibbon, aurait notamment révélé que, parmi les données volées, se trouveraient entre autres les schémas techniques et les détails de sécurité du bâtiment de l’aéroport. Il apparaîtrait que l’homme était motivé par l’appât du gain. En effet, il se serait introduit dans le système de sécurité de l’aéroport afin de dérober des données bancaires des usagers de l’aéroport. Les faits se seraient produits en 2016, et l’homme aurait depuis été identifié et arrêté. Les enquêteurs se seraient alors aperçus que le pirate était déjà connu au Vietnam pour avoir piraté de grandes infrastructures publiques, et notamment des banques ainsi qu’un journal militaire en ligne. Après cet incident, l’aéroport de Perth aurait investi deux millions de dollars afin de renforcer sa cybersécurité.
En savoir plus

Défense 

Suppression d’applications chinoises au sein de l’armée indienne
Le Ministre de la Défense Indienne aurait avisé ses troupes stationnées à la frontière chinoise de supprimer les applications chinoises de leurs smartphones. En effet, dans un communiqué datant de fin novembre, les autorités indiennes auraient précisé que ces applications transmettaient des données d’utilisateurs vers des serveurs situés en Chine, données pouvant être exploitées par le gouvernement chinois pour localiser l’emplacement exact des troupes indiennes. Cet avertissement ciblerait spécifiquement 42 applications chinoises d’Android et iOS, à l’instar de Weibo, Wechat, CM Browser etc… Il est à noter que l’Inde aurait déjà interdit l’utilisation de certains équipements chinois, tels que Huawei ou ZTE. Malgré les tensions entre les deux pays, les interdictions concernant des produits en provenance du pays voisin resteraient tout de même rares en Chine et en Inde. Toutefois, cela ferait plusieurs années que les autorités indiennes seraient inquiètes à ce sujet, et ce notamment à cause des progrès en cyberespionnage réalisés par le Pakistan.
En savoir plus

Energie 

Des systèmes de sécurité industrielle visés par le malware Triton
L’information a été publiée le 14 décembre par Mandiant qui a fait la découverte du malware Triton à l’issue d’une réponse à un incident survenu chez un opérateur d’infrastructure critique (non évoqué). Le malware baptisé Triton aurait été conçu pour cibler les systèmes instrumentés de sûreté Triconex, lesquels permettent de mettre en place des solutions d’arrêt d’urgence sur des mécanismes industriels spécifiques (lors d’un départ de feu, une fuite de gaz etc). Les attaquants auraient eu accès à distance à un poste de travail gérant un système de sûreté et seraient parvenus à interrompre un processus industriel en initiant un état de sécurité de secours via le malware. Cependant, d’après Mandiant, cette interruption serait le résultat d’un échec de la part des attaquants qui auraient en réalité cherché à causer des dégât matériels. Les responsables de l’attaque n’ont pas été identifiés, néanmoins il pourrait s’agir d’un groupe étatique se préparant pour une future attaque.
En savoir plus

Numérique 

Une attaque DDoS vise Bitfinex, les clients se plaignent
La plateforme d’échange de crypto-monnaies Bitfinex a annoncé mardi 12 décembre avoir été victime d’une attaque par déni de service distribué (DDoS). L’attaque a provoqué une indisponibilité temporaire du service, due à une panne de l’interface de programmation d’application. Cependant, des rumeurs circulent sur le fait que les attaques DDoS auraient été lancées par la société elle-même ou par ses concurrents pour manipuler les prix des crypto-monnaies. Ainsi « Igal Zeifman », un chercheur en sécurité informatique chez Imperva a déclaré que l’attaque DDoS visant Bitfinex aurait pu être lancée pour manipuler les prix du Bitcoin.
En savoir plus

Politique 

Anonymous lance l’opération « OpUSA- OpIsrael »
Le groupe de pirates Anonymous a annoncé le jeudi 7 décembre le lancement de l’opération OpUSA – OpIsrael. L’opération vise à contester la politique du gouvernement américain au Moyen-Orient et plus précisément la décision du président américain de reconnaître Jérusalem comme la capitale d’Israël. Le groupe exploite les réseaux sociaux en utilisant les hashtags #OpUSA, #OpIsrael et #FreedomInWorld afin de rassembler un maximum de sympathisants. Une liste des cibles potentielles (des membres du gouvernement des États-Unis et d’Israël) a été publiée sur le site Web du groupe. Le groupe a publié vendredi 8 décembre une base de données qui contiendrait (selon Anonymous) les noms et les adresses email de plusieurs employés du gouvernement et des agents du service de renseignement israéliens.
En savoir plus ici et

Ecosystème Régional

Ecosystème chinois

Une nouvelle famille de malwares se déguisent en plugin pour jeux mobiles
Des chercheurs ont détecté une nouvelle famille de malwares mobiles baptisée « DowginCw ». Ce virus s’est introduit sur de nombreuses bibliothèques d’applications chinoises sous l’apparence d’un plugin pour jeux mobiles. Parmi les applications populaires concernées, on trouve principalement des jeux pour un jeune public autour de la mode, la beauté ou encore la cuisine. L’installation de ces malwares peut entrainer toutes sortes de conséquences néfastes, allant du simple trafic publicitaire à la compromission totale du système. Depuis octobre 2017, 2 603 plugins frauduleux de ce type auraient été retirés, et 930 000 échantillons de type DowginCw auraient été détectés. Les experts estiment que 870 000 équipements ont été infectés, et soulignent que les provinces du Henan, du Sichuan et du Shandong sont particulièrement touchées, car dans ces régions en particulier, DowginCw aurait réussi à infiltrer les bibliothèques d’applications régionales les plus utilisées.
Source

Individus & Groupes

« MoneyTaker « 

La société Group IB a publié une analyse détaillée du groupe de pirates « MoneyTaker », suspecté d’être à l’origine d’une vingtaine d’attaques contre le secteur bancaire depuis un an et demi. Sur ces vingt attaques, dix-sept d’entre elles auraient été dirigées contre des établissements financiers situés aux Etats-Unis et un au Royaume-Uni entre mai 2016 et juin 2017. Les trois autres attaques auraient été menées contre des banques russes à l’automne 2016 et 2017. Au total le groupe serait parvenu à dérober plus de dix millions de dollars. « MoneyTaker » aurait ciblé  pour ce faire, les systèmes de traitement de cartes bancaires des établissements financiers américains ainsi que le système de paiement interbancaire AWS CBR. D’après Group IB, le groupe aurait également profité de son intrusion sur le réseau interne de sociétés bancaires pour voler de la documentation stratégique sur le réseau SWIFT.
En savoir plus 

« Patchwork »
Aussi connu sous le nom de « Dropping Elephant », « Patchwork » est un groupe de cyberespionnage s’attaquant à des cibles diplomatiques, des agences gouvernementales ainsi que des entreprises de divers secteurs (grande distribution, télécommunications, aérospatial, finance) pour la plupart localisées en Chine, en Asie du Sud ainsi qu’en Grande-Bretagne, en Turquie et en Israël. Le mode opératoire du groupe reposerait sur des attaques de phishing ciblé avec des emails contenant des pièces jointes malveillantes (document RTF, PPT) exploitant des vulnérabilités ou des vecteurs d’infection connus (infection DDE par exemple) pour distribuer des backdoors ou des logiciels permettant de dérober des informations. D’après TrendMicro, ce groupe d’origine inconnue serait motivé par la recherche d’informations confidentielles.
En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !