La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • Un ransomware fait trembler la planète Mac
  • Le malware Xavier est de retour 
  • Finance : un nouveau malware bancaire, et une fuite de données
  • « Cherry Blossom », l’outil de la CIA pour infiltrer les points d’accès Wi-Fi
  • Industroyer , le malware qui permet de prendre le contrôle d’un poste électrique
  • Des informations sur des menaces informatiques provenant de nos sources arabes 
  • Focus sur le groupe FIN7
Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Les menaces sectorielles

Multisectorielle

 

MacRansom : Un ransomware pour le Mac

La société de cybersécurité Fortineta a détecté l’existence d’un ransomware baptisé MacRansom, et disponible gratuitement sur le Dark Web. Ce ransomware est présenté comme une solution RaaS (Ransomware as a Service). En échange d’une commission de 30% du montant extorqué avec les auteurs du ransomware, le commanditaire peut infecter ses cibles et garder 70% du montant en cas de paiement de la rançon. Selon ses auteurs, MacRansom reste invisible pour l’utilisateur infecté et s’exécute soit à la date et à l’heure programmée, soit au moment où l’utilisateur utilisera une clé USB

Le malware Xavier : vol de données personnelles 

La société TrendMicro a publié un rapport sur Xavier, un malware connu depuis 2015, et toujours présent sur le Google Play Store. Ce malware toucherait plus de 800 applications mobiles et a pour but de collecter des données personnelles de type adresse email, modèle et numéro d’identification de l’appareil, version de l’OS, ainsi que des données sur la carte SIM et sur l’opérateur utilisé. Il joue également le rôle de cheval de Troie, permettant ainsi aux pirates d’exécuter d’autres programmes malveillants à distance.

Le malware serait inclus dans une API publicitaire utilisée par des applications pour gagner de l’argent. Ces applications infectées sont pour la plupart gratuites. Sur les 800 applications répertoriées par l’entreprise, seules 75 d’entre elles auraient été supprimées par Google de son Play Store. La majorité des téléchargements de ces applications se fait depuis l’Asie, notamment au Vietnam. Toutefois, TrendMicro a identifié des téléchargements d’applications infectées aux Etats-Unis et en Europe.

En savoir plus

Finance

Un nouveau malware bancaire sévit en Amérique Latine

Un nouveau malware bancaire a été détecté par Arbor Networks. Baptisé Matrix Banker, ce malware aurait visé des clients d’institutions financières en Amérique Latine, précisément au Mexique et au Pérou. Via une injection malveillante dans le navigateur web, les pirates seraient capables de rediriger l’utilisateur vers une page de phishing s’apparentant à l’institution bancaire de la victime. Si cette dernière ne s’aperçoit pas de la redirection, les pirates peuvent alors collecter ses informations bancaires. Encore peu d’éléments circulent sur ce malware, toujours en phase de développement. Quelques indicateurs de compromission ont été publiés.

En savoir plus

Plusieurs institutions financières affectées par une fuite de données sensibles

D’après The Register, un membre du personnel de l’entreprise indienne Tata Consultancy Services aurait déposé sur un répertoire Github public des documents internes relatifs à des projets menés pour plusieurs grandes banques. Des notes de développement internes de banques ainsi que des codes sources d’applications bancaires Web en développement et des enregistrements d’appels téléphoniques auraient ainsi fuité. Bien que le répertoire Github ait été supprimé depuis, la fuite aurait impacté six grandes banques canadiennes, deux organisations financières américaines, une banque japonaise internationale, ainsi qu’une entreprise dédiée au développement de logiciel pour le secteur de la finance.

En savoir plus

Numérique

CashCrate, victime d’une fuite de donnée

CashCrate, une une plateforme qui permet aux entreprises de payer des utilisateurs qui testent leurs produits et services, ou qui participent à des sondages quotidiens, a affirmé le 14 juin que ses utilisateurs auraient été victimes d’une fuite de données, suite à un défaut de sécurité dans un add-on du logiciel du forum. CashCrate a constaté que les noms, les adresses email, les mots de passe, les numéros de téléphone ainsi que les adresses des utilisateurs pourraient être à la disposition des pirates, et a demandé aux utilisateurs de modifier rapidement leurs mots de passe.

En savoir plus

Télécommunications

« Cherry Blossom », l’outil de la CIA pour infiltrer les points d’accès Wi-Fi

Le site de wikileaks a publié de nouvelles données dans le cadre de la campagne Vault 7. Les dernières informations divulguées par le site concernent le projet « Cherry Blossom » qui aurait été mis en place par la CIA pour surveiller l’activité des internautes sur Internet. D’après WikiLeaks, « Cherry Blossom » est un firmware contrôlable à distance que la CIA aurait implanté au sein de périphériques réseaux sans fil vulnérables, comme des routeurs ou des points d’accès. En remplaçant le firmware par défaut de l’appareil par le microprogramme « Cherry Blossom », la CIA aurait été capable d’intercepter les communications et de surveiller le trafic Internet des personnes ciblées (attaque de l’homme du milieu ou man-in-the-middle attack). 

Selon les documents mis en ligne, plusieurs modèles de routeurs ont été ciblés parmi lesquels Belkin, DLink, Linksys ou encore Cisco Aironet.

En savoir plus

Énergie

Le secteur de l’énergie visé par un malware : retour sur le cas Industroyer/CASHOVERRIDE

Baptisé Industroyer  par ESET et CRASHOVERRIDE  par Dragos, ce malware, récemment détecté, aurait été spécialement conçu pour s’attaquer aux infrastructures industrielles critiques. D’après ESET,  Industroyer  permettrait aux attaquants de prendre le contrôle d’un poste électrique et de provoquer des pannes. Dragos, qui établit une connexion entre ce malware et l’attaque du 17 décembre 2016 contre l’opérateur ukrainien d’énergie électrique Ukrenergo, précise également que le malware pourrait avoir un lien direct avec le groupe de pirates « Electrum ». Dans son analyse, ESET prévient que le malware Industroyer pourrait s’attaquer à d’autres systèmes industriels que les infrastructures électriques. Des indicateurs de compromission ont été publiés.

En savoir plus ici et là.

Ecosystème Régional

Ecosystème moyen-oriental

Des données de Qatar National Bank et EAU InvestBank en vente sur le Dark Web

Des données de la banque nationale du Qatar (QNB) et de la banque d’investissement émiratie EAU InvestBank sont mises en vente sur le Dark Web. Les deux banques auraient été victimes d’un piratage en 2016.

Le pirate connu sous le pseudonyme de « Buba », responsable du piratage de l’EAU InvestBank en mai 2016, a exigé une rançon de 3 millions de dollars, et, face au refus de la banque, les données des clients ont été mises en vente pour seulement 0,0071 bitcoins ( 16,1 euros ) sur le Dark Web.

Dans le cas de la QNB, le piratage a été revendiqué par le groupe « Bozkurt Hackers ». Les pirates détenaient 1,4 Go de données, dont des dossiers financiers des clients, des numéros de carte bancaire et des codes PIN, ainsi que des informations bancaires relatives à la famille royale du Qatar et aux journalistes d’ Al Jazeera.

Source

Individus et groupes

FIN7/Carbanak

La société Morphisec a récemment publié une analyse détaillée sur une vague d’attaques menée par le groupe FIN7 ou Carbanak contre le secteur de la restauration. D’après Morphisec, le groupe aurait visé plusieurs chaînes de restaurants américaines (Chick-fil-a et Olive Garden notamment) via une campagne de phishing ciblée distribuant un document Word malveillant qui permettrait d’exécuter l’attaque sans télécharger la charge mais en ouvrant une invite de commande Meterpreter. Plusieurs indicateurs de compromission ont été publiés.

En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !