La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Vigilance pour les investisseurs Bitcoin, la plateforme EtherDelta piratée 
  • Catelites Bot, un malware qui vise les applications bancaires
  • Des fausses applications de portefeuille bitcoin envoient des BTC aux pirates  
  • 300 000 utilisateurs d’Ancestry touchés par une fuite de données
  • Le botnet Satori momentanément stoppé
  • Digmine, le malware de minage de cryptomonnaie qui vise les utilisateurs de Facebook Messenger
  • Une nouvelle variante du ransomware Cryptomix détectée
  • Des informations sur des menaces informatiques provenant de nos sources chinoises et arabes
  • Focus sur le groupe « Fancy Bear APT « 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Menaces Sectorielles

Finance

La plateforme d’échange de cryptomonnaie EtherDelta victime d’un piratage
La plateforme spécialisée dans l’échange de cryptomonnaie « EtherDelta » a annoncé le 21 décembre dernier, via son compte Twitter, avoir été victime d’un piratage. Ce piratage aurait été réalisé via un accès illégitime aux serveurs DNS de EtherDelta. L’attaquant en aurait profité pour lancer une campagne de phishing par le biais d’un faux site. Cette attaque, serait la source d’une campagne de phishing imitant la plateforme, selon un second tweet de EtherDelta, qui précise que « l’application de l’imposteur n’a pas de bouton CHAT sur la barre de navigation ni de flux Twitter officiel en bas à droite. Il est également doté d’un faux carnet de commandes » et que les portefeuilles des clients étaient sécurisés tant que l’utilisateur « n’a pas importé sa clé privée sur le faux site ».
En savoir plusCatelites Bot, un malware qui cible les applications bancaires
Les chercheurs d’Avast et de SfyLabs ont alerté, samedi le 23 décembre, les utilisateurs de smartphones sur la présence d’un nouveau malware. Baptisé Catelites Bot, il est capable de s’adapter à sa cible  en changeant de forme. Le malware a été découvert sur des boutiques d’applications mobiles alternatives. Une fois téléchargé,trois applications : Gmail, Chrome et Google Play apparaissent sur le smartphone. Une fausse superposition demande alors à l’utilisateur des informations personnelles telles que le numéro de carte bancaire. Le malware peut également, au moment du lancement  d’une application bancaire, afficher une fausse application sur l’écran du smartphone, et collecter ainsi, les informations bancaires. Catelites Bot peut afficher plus de 2 200 fausses applications de banques et d’institutions financières.
En savoir plus

Des fausses applications de portefeuilles bitcoin, détectés sur Google Play Store  
Les chercheurs de Lookout ont repéré, le 20 décembre dernier, trois applications Android déguisées en applications de portefeuilles bitcoin sur Google Play Store. Cette famille de malwares, baptisée PickBitPocket,contourne les mesures de sécurité établies par Google et envoient des paiements bitcoin aux adresses des pirates. Les trois applications ont été téléchargées 20 000 fois avant d’être retirées du Google Play Store. Les fausses applications en question sont « Bitcoin mining », téléchargée 5 000 fois, « Blockchain Bitcoin Wallet – Fingerprint », téléchargée 10 000 fois et « Fast Bitcoin Wallet », téléchargée 5000 fois.
En savoir plus

Multisectoriel

Une importante fuite de données touche le plus grand site généalogique au monde
Le plus grand site généalogique au monde, « ancestry.com », a annoncé, samedi 23 décembre via son blog, avoir subi une importante fuite de données. L’entreprise a confirmé qu’un serveur de son service RootsWeb avait exposé un fichier contenant des noms d’utilisateurs, des adresses email et des mots de passe de 300 000 utilisateurs de ancestry.com. RootsWeb est le service gratuit de ancestry.com utilisé pour les outils de partage d’informations généalogiques. Selon Troy Hunt, le chercheur à l’origine de cette découverte, les données dérobées auraient été divulguées et affichées en ligne en texte clair et, le piratage des données aurait eu lieu en 2015. Selon Ancestry, 245 000 des identifiants concernés auraient été créés pour accéder à RootsWeb, et environ 55 000 des identifiants aurait été utilisés pour se connecter à RootsWeb et ancestry.com. Le RSSI d’Ancestry a déclaré que l’infrastructure RootsWeb est distincte du système qui gère le site principal du site Web « ancestry.com » et qu’elle ne contiendrait aucune information critique supplémentaire, telle que les données de cartes bancaires.
En savoir plus

Numérique

Plus d’un million de clients de Nissan Canada potentiellement touché par piratage
Nissan Canada a annoncé jeudi 21 décembre, dans un communiqué, avoir été victime d’un accès non autorisé aux informations personnelles et financières de clients de la division du financement de Nissan Canada. Le groupe a déclaré avoir eu connaissance du piratage le 11 décembre dernier. Le nombre total des clients touchés n’a pas été révélé pour l’instant. Les informations dérobées pourraient contenir le nom, l’adresse, la marque, le modèle, le numéro d’identification du véhicule, la cote de crédit ainsi que le montant du prêt et la mensualité. Nissan affirme que les informations de clients ayant financé leur l’achat à l’extérieur du Canada n’ont pas été compromises. 1,13 million de client seraient concernés.
En savoir plus

Numérique 

Le botnet Satori momentanément stoppé
Dans l’édition du 12 décembre 2017 de notre Threat Landscape, nous vous mentionnions l’existence du botnet Satori, une variante du botnet Mirai. Ce botnet tente d’exploiter une faille 0day affectant les routeurs Huawei. L’entreprise chinoise a, entre-temps, reconnu l’existence d’une vulnérabilité dans ses routeurs distants, et affirme l’avoir corrigée. Cette faille 0day a néanmoins été essentielle dans le développement de ce botnet. La méthode utilisée par Satori lui a permis de se constituer un botnet de taille conséquente : au début du mois de décembre, date des premières publications sur ce botnet, Satori comptait 280 000 machines affectées. Récemment, ce chiffre s’est élevé à 500 000, mais l’effort conjugué de plusieurs fournisseurs d’accès et sociétés de sécurité a permis d’identifier et de mettre hors d’état de nuire le serveur de contrôle utilisé par Satori, ce qui rend le botnet inutilisable pour le moment. Mais en l’absence d’arrestation, il est tout à fait possible pour l’opérateur de ce botnet de mettre en place un nouveau serveur de contrôle et de relancer les scans et infections de machines pour reconstituer un nouveau botnet. De son côté, la société Check Point s’est penchée sur l’identité de l’auteur du botnet Satori, et il s’avère que ce dernier n’est pas un pirate expérimenté, mais plutôt un amateur, à l’image de l’auteur du botnet Mirai.
En savoir plus

Une nouvelle variante du ransomware Cryptomix détectée au sein d’emails de spam
Le 28 décembre 2017, des chercheurs du groupe Malware Hunter Team ont détecté une nouvelle variante de CryptoMix, un ransomware découvert au printemps 2016 et connu pour infecter les ordinateurs par le biais d’emails de spam. Le malware chiffrerait des fichiers ciblés à l’aide d’un algorithme de chiffrement « RSA-2048 », en ajoutant également l’extension « .tastylock » aux fichiers. Les victimes recevraient ensuite une note de rançon, qui les invite à contacter les pirates via une adresse email spécifique. Le coût de la rançon celle-ci s’élèverait à 5 Bitcoin, soit plus de 70 000 dollars selon le taux de change actuel. Selon les chercheurs, plusieurs dizaines de versions de CryptoMix sont actuellement disponibles en ligne: toutes ces versions utilisent le même modus operandi, et se distinguent par une extension de fichier et par une adresse de contact fournie spécifiques.
En savoir plus

Digmine : le nouveau malware de minage de cryptomonnaie cible les utilisateurs du Facebook Messenger
Des chercheurs de TrendMicro auraient récemment détecté un logiciel malveillant surnommé « Digmine », focalisé sur le minage de la cryptomonnaie Monero. Le malware aurait tout d’abord ciblé des utilisateurs sud-coréens, avant de se propager rapidement vers l’Azerbaïdjan, les Philippines, la Thaïlande, l’Ukraine, le Venezuela et le Vietnam. Codé dans le langage de script AutoIt, Digmine serait diffusé via des messages envoyés depuis Facebook Messenger (plus spécifiquement sa version pour le navigateur Chrome Desktop, un bureau à distance de Google Chrome), en tant que lien apparent vers un site de vidéos en live streaming. En réalité, le malware démarrerait un fichier exécutable et se connecterait au serveur C&C (commande et contrôle) pour télécharger une extension malveillante au navigateur Chrome et ainsi lancer un module de minage de Monero. Digmine agirait dans les systèmes attaqués de manière discrète, afin de rester invisible le plus longtemps possible et de forcer Facebook Messenger à envoyer le message avec lien malveillant au plus grand nombre des contacts Facebook de l’utilisateur attaqué.
En savoir plus

 

Ecosystème Régional

Ecosystème moyen-oriental

Des pirates diffusent un message à l’armée tunisienne pour effectuer un coup d’Etat
La radio nationale tunisienne a annoncé, jeudi 28 décembre, le piratage de sa page Facebook. Selon une source interne, il s’agirait de la publication d’un message visant la sécurité et la souveraineté de la Tunisie et une invitation de l’armée à intervenir dans la vie politique de la Tunisie. Les activistes tunisiens ainsi que les médias locaux accusent les Emirats Arabes Unis d’être à l’origine du piratage de la page officielle de la radio nationale sur Facebook. Les autorités tunisiennes ne sont pas encore exprimées.
Source

Ecosystème chinois

Des numéros de cartes bancaires récupérés lors d’un paiement sans contact
Le site d’actualité informatique Freebuf a publié, jeudi 28 décembre, une démonstration de récupération de données de cartes bancaires. Le test réalisé s’applique lors de l’utilisation de cartes ayant la fonction de paiement sans contact QuickPass de China UnionPay (groupe concurrent de Visa et Mastercard). L’auteur, qui utilise le pseudonyme « HackPanda », démontre qu’il est possible de récupérer certaines informations au moment où le POS (point de vente) transmet la validation à la carte bancaire. Il y parvient en déchiffrant les données récupérées à l’aide d’un logiciel compatible avec le POS utilisé. L’auteur a réalisé son expérience sur des cartes bancaires de quatre banques nationales (China Merchants Bank, Bank of China, China Construction Bank, China Minsheng), deux banques plus locales (China Bohai Bank, Cangzhou Bank) ainsi que sur le service Apple Pay via China Merchants Bank. Il est systématiquement parvenu à reconstituer le numéro de la carte et au moins partiellement sa date d’expiration. Cette technique ne semble néanmoins pas permettre de connaitre le nom et le numéro de carte d’identité du détenteur de la carte bancaire. Fin octobre, Freebuf avait publié une autre démonstration qui montrait qu’il était possible de récupérer le numéro de carte d’identité à partir d’une carte bancaire à puce (voir Threat Landscape du 31/10/2017).
Source

Individus & Groupes

Le groupe de pirates russes Fancy Bear APT renforce ses méthodes d’attaques
Les opérations conduites par le groupe de pirates russes Fancy Bear APT seraient de plus en plus sophistiquées et complexes à détecter. Selon le rapport publié par la société de sécurité ESET, le groupe APT aurait notamment remis à neuf l’une de ses plus populaires porte dérobée, intitulée Xagent, la rendant plus furtive et plus difficile à stopper. Cette dernière aurait notamment été associée à plusieurs campagnes d’espionnage, attribuées au groupe Fancy Bear APT et qui cibleraient plus particulièrement les systèmes d’exploitation Windows, Linux, iOS et Android. Le groupe ESET a, par ailleurs, observé une augmentation significative du niveau de chiffrement de l’algorithme DGA, ce qui rend sa détection plus difficile. Les attaques en chaîne, caractéristiques de ce groupe de pirates (et notamment les campagnes de pishing) n’auraient, quant à elles, pas subies d’énormes ajustements, les attaquants s’appuyant largement sur elles pour lancer leur nouvelle génération de malware. Enfin, le groupe russe aurait cessé d’utiliser le kit d’exploitation Sedkit, et utiliserait dorénavant la plateforme DealersChoice, logiciel d’exploitation notamment utilisé par le groupe lors de leur attaque contre le Monténégro.
En savoir plus 

 

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !