La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • 620 millions de comptes piratés mis en vente sur le Dark Web
  • Tentative de vol de 13 millions d’euros appartenant à la Bank of Valletta
  • Une nouvelle variante du malware Shlayer cible les utilisateurs des ordinateurs de la marque Apple 
  • VFEmail : un piratage cause l’effacement de deux décennies de données
  • Le malware Trickbot cible les services d’accès à distance
  • Trojan Emotet : un nouveau vecteur de diffusion détecté
  • La trottinette Xiaomi M365 contrôlable à distance
  • Écosystème sinophone : suite à une fuite, une entreprise chinoise suspectée de profilage de la minorité musulmane ouïghoure
  • Focus sur le groupe Scarlet Widow Gang

 

Menaces Sectorielles

Dark Web

Les données de centaines de millions d’utilisateurs de 16 applications sont en vente libre
Les données de 620 millions de comptes en provenance de 16 applications sont en vente sur une plateforme du Dark Web. La somme réclamée par le vendeur avoisinerait 18 000 euros. Selon la presse américaine, les identifiants auraient été collectés par un seul pirate ou un groupe de pirates, principalement durant l’année 2018. Des tests auraient été menés, permettant de confirmer l’authenticité des données. Les données dérobées contiendraient des adresses électroniques, des mots de passe et des adresses postales mais pas d’informations bancaires. Les acheteurs semblent devoir déchiffrer les mots de passe pour les utiliser, mais certains auraient été chiffrés avec l’algorithme obsolète MD5 ; il serait donc très facile de contourner leur chiffrement.
Les sites en question sont les suivants : Dubsmash (162 millions), MyFitnessPal (151 millions), MyHeritage (92 millions), ShareThis (41 millions), HauteLook (28 millions), Animoto (25 millions), EyeEm (22 millions), 8fit (20 millions), Whitepages (18 millions), Fotolog (16 millions), 500px (15 millions), Armor Games (11 millions), BookMate (8 millions), CoffeeMeetsBagel (6 millions), Artsy (1 millions), et DataCamp (700 000).
En savoir plus

Bancaire

Des pirates auraient tenté de dérober 13 millions d’euros appartenant à la « Bank of Valletta »
Le premier ministre maltais, Joseph Muscat, a déclaré que la société Bank of Valletta aurait fait l’objet d’une cyberattaque le 13 février dernier. En effet, des pirates auraient tenté de transférer des fonds – pour un total s’élevant à 13 millions d’euros – dans des banques situées aux Etats-Unis, au Royaume-Uni, en République tchèque et à Hong Kong. Afin de minimiser les risques, la banque aurait verrouillé ses systèmes, fermé ses agences et ses distributeurs automatiques, et interrompu les transactions par smartphone, ainsi que les emails internes. Le site Web aurait également été temporairement fermé.
En savoir plus

Numérique

Une nouvelle variante du malware Shlayer cible les utilisateurs des ordinateurs Apple
Les chercheurs en sécurité de Carbon Black ont annoncé avoir détecté une nouvelle variante du malware Shlayer, qui ciblerait les utilisateurs des versions allant de 10.10.5 à 10.14.3 de MacOS. Ce malware s’installerait lorsque l’utilisateur accepte de mettre à jour un programme se faisant passer pour Flash Player. La charge malveillante serait principalement livrée sous la forme de fichiers DMG, dont la plupart seraient signés avec un identifiant légitime de développeur Apple. La charge effectuerait l’installation à l’aide d’applications systèmes légitimes via l’interpréteur de commande bash. Après l’exécution de la charge utile du malware, ce dernier tenterait d’élever les privilèges avec la commande sudo en utilisant une technique appelant usr/libexec/security_authtrampoline. Une fois les privilèges root acquis, Shlayer tenterait de télécharger un logiciel supplémentaire et de désactiver les protections d’installation « Gatekeeper » pour garantir l’exécution du logiciel téléchargé sans l’intervention de l’utilisateur. Même si Shlayer semble distribuer actuellement des logiciels publicitaires, les futures variantes pourraient être plus dangereuses en modifiant les charges utiles à tout moment.
En savoir plus

VFEmail, le fournisseur de services de messagerie serait victime d’un piratage massif
Le fournisseur de service de messagerie VFEmail, spécialiste de l’email anonyme, aurait subi un vaste piratage qui aurait provoqué une panne de ses serveurs aux Etats-Unis, puis le formatage de ces derniers. L’intégralité des infrastructures de VFEmail serait endommagée. La société affirme avoir surpris le pirate en plein formatage du serveur de sauvegarde, et que les sauvegardes aux Pays-Bas semblent intactes. La société ajoute qu’il n’y aurait pas eu de demande de rançon. Sur son site officiel, VFEmail indique que la réception des emails est de nouveau opérationnelle. Il s’agit par contre de nouvelles boîtes de réception, sans dossier ni filtre.
En savoir plus

La dernière version du malware Trickbot s’attaquerait à PuTTY, VNC et RDP
Des experts de Trend Micro ont publié une analyse d’une nouvelle version du malware Trickbot détectée ce mois de janvier 2019. Identifié pour la première fois en octobre 2016, ce trojan initialement utilisé pour voler des informations bancaires a connu plusieurs mises à jour qui l’aurait rendu plus dangereux au fil du temps. Ainsi, la dernière version aurait été détectée à l’occasion d’une campagne de spam distribuant des emails qui s’apparenteraient à des notifications de facturation et qui contiendraient un fichier Excel embarquant une macro malveillante. Si celle-ci est exécutée, la dernière variante du malware Trickbot serait téléchargée sur la machine de la victime. D’après Trend Micro, trois nouvelles fonctions auraient été ajoutées à la charge malveillante qui serait désormais capable de voler les identifiants de connexion ainsi que certains paramètres (hostname, port, paramètres du proxy) des services d’accès à distance PuTTY, VNC et RDP de la victime.
En savoir plus

Evolution du trojan Emotet : les attaquants auraient trouvé un nouveau vecteur de diffusion
Dans une analyse publiée le 12 février, la société Menlo Security a constaté un changement dans la tactique du trojan Emotet, celui-ci ayant conduit à une recrudescence de son activité depuis mi-janvier. De manière assez classique, le malware pourrait être délivré de deux façons : soit via une URL hébergée sur une infrastructure contrôlée par l’attaquant, soit via une pièce jointe. Mais si par le passé, Emotet était dissimulé dans un document Word contenant des macros classiques, cette technique ne semble dorénavant plus à jour. En effet, dans cette nouvelle version, les services de Menlo Security ont détecté une nouvelle technique consistant à dissimuler un document XML en un document Word. Cette technique s’appuierait notamment sur des données codées en Base64 et aurait probablement pour objectif d’échapper à la détection antivirus.
En savoir plus

Des enfants géo localisables via leurs montres connectées
Une vulnérabilité au sein du GPS d’une montre connectée pour enfants exposerait en temps réel la localisation de près de 35 000 d’entre eux. Ce sont des chercheurs de la société de sécurité informatique Pen Test Partners qui auraient mis en avant la faille affectant la montre Gator de la marque TechSixtyFour. D’après eux, la base de données qui stocke l’ensemble des données personnelles relatives au propriétaire d’une de ces montres (à savoir : les coordonnées GPS, le nom, les coordonnées de ses parents, etc.) serait accessible publiquement. Une faille au sein du système de contrôle serait à l’origine de la vulnérabilité : le système en question ne parviendrait pas à déterminer si un utilisateur demandant l’accès à la base de données aurait ou non le bon niveau de privilèges lui permettant d’y accéder. Cette vulnérabilité aurait été corrigée, néanmoins les chercheurs n’excluent pas la possibilité que cette backend ait été exploitée sur d’autres montres connectées.
En savoir plus ici et

Transport

Le scooter Xiaomi M365 vulnérable à une prise de contrôle extérieure
Des chercheurs de la société Zimperium auraient réussi à pirater ce modèle de scooter électrique à une distance maximale de 100 mètres, le forçant à accélérer ou à freiner. Très populaire, ce scooter possèderait une communication Bluetooth non-sécurisée vers l’application correspondante. Bien que le scooter soit censé être protégé par mot-de-passe, les chercheurs de Zimperium auraient réussi à effectuer l’ensemble des commandes possibles (système anti-vol, passage en mode économique, mise à jour…) sans s’authentifier. En effet, si le mot-de-passe est validé dans l’application, le scooter ne garde pas en mémoire l’état de l’authentification, ce qui laisserait une personne malveillante libre d’exécuter des commandes. À l’heure actuelle, la société Xiaomi travaillerait à un correctif mais ne serait pas encore en mesure d’assurer la fiabilité de son produit.
En savoir plus

Ecosystème sinophone

Suite à une fuite, une entreprise chinoise suspectée de profilage de la minorité musulmane ouïghoure
Selon le chercheur néerlandais spécialisé dans la sécurité, Victor Gevers, l’entreprise chinoise SenseNets aurait laissé exposée en ligne une base de données de reconnaissance faciale des populations musulmanes de la province du Xinjang pendant plusieurs mois. Cette base de données contiendrait notamment des renseignements sur 2 565 724 utilisateurs ainsi qu’un nombre important de coordonnées GPS détaillées. Parmi ces informations, figureraient des éléments habituellement renseignés sur une carte d’identité comme le nom, le sexe, l’adresse personnelle mais également des coordonnées GPS des endroits que l’utilisateur a fréquenté. Selon Victor Gevers, des trackers, qui semblent indiquer l’emplacement des caméras publiques à partir desquelles les vidéos ont pu être capturées, seraient associés à ces coordonnées GPS. Certains de ses trackers contiendraient des termes comme « mosquée » ou encore « poste de police », ce qui semble indiquer que les données auraient été récoltées depuis des caméras présentes à ces endroits. L’ensemble des coordonnées proviendrait de la province chinoise du Xinjang où vit la minorité musulmane ouïghoure mais plusieurs éléments suggéreraient que les ouïghours auraient également été suivis durant leur déplacement.
En savoir plus ici et

Individus & Groupes

Scarlet Widow Gang

L’« escroquerie amoureuse » en ligne est une arnaque très populaire chez les pirates, malgré la durée nécessaire de travail avant d’obtenir ou non un succès. En effet, le pirate doit obtenir la confiance de sa victime avant de pouvoir lui soutirer de l’argent. Il s’agit donc tout d’abord de cibler un individu seul, puis de créer de toute pièce une histoire d’amour à distance. C’est ainsi qu’un groupe de pirates nigériens sélectionnerait ses victimes parmi les individus ayant le plus de chances d’être seuls : fermiers, personnes âgées, handicapées ou encore, personnes divorcées. Les sites spécialisés tels que Dating4Disabled.com ou Farmers Dating Site constituent alors de bons outils pour trouver une victime. Dans la plupart des cas, le modus operandi est le suivant : le pirate se créé un personnage en usurpant des photos disponibles sur le Web, en s’inventant un passé, un état civil et une personnalité, puis s’inscrit sur les réseaux sociaux et sites de rencontres. Le discours serait alors adapté par les membres du groupe, selon le sexe du personnage joué, la cible, et à l’aide de techniques de social engineering. La dernière étape, l’extorsion, ne serait déclenchée qu’après avoir noué des liens avec la victime, et, en fonction de sa réaction, le pirate continuerait ou non la « relation ». Selon le site RomanceScams.org, la perte moyenne par victime serait de 12 000 dollars.
En savoir plus

 

 

Cette newsletter est émise par lacellule de Threat Intelligence.
Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.   Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<