La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • L’extension MEGA pour Chrome piratée afin de collecter des identifiants de connexion
  • Les données personnelles et financières de 380 000 clients de British Airways piratées
  • Des milliers de routeurs MikroTik piratés, le trafic des victimes détournés
  • L’enseigne internationale « C&A » victime d’un piratage au Brésil
  • Le malware MagentoCore détectés sur des milliers de boutiques Magento
  • « Family Orbit« , l’application de contrôle parental piratée
  • Notre cellule sinophone s’intéresse à la nouvelle vague d’attaques du botnet MyKings
  • Focus sur les dernières tactiques du  groupe iranien « OilRig »
  • Focus sur le groupe « Silence » 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Numérique

MEGA victime d’un piratage : une extension Chrome vérolée s’infiltre sur le Chrome Web Store
Le 4 septembre dernier, la plateforme d’hébergement de fichiers MEGA a annoncé avoir été victime d’un piratage. Le jour même, un attaquant dont l’identité n’a pas été précisée, serait parvenu à remplacer l’extension légitime et officielle de MEGA par une extension malveillante au sein du Chrome Web Store et ce, pendant près de quatre heures. Tous les utilisateurs ayant autorisé la mise à jour automatique de leur extension Chrome ou ayant procédé à son téléchargement pendant cet interval seraient potentiellement concernés. Certains internautes ont toutefois remarqué que, lors de la procédure de mise à jour, l’extension vérolée exigeait des permissions élevées sur la machine. Le but de l’attaquant ? Obtenir les droits nécessaires sur le navigateur afin de collecter des identifiants de connexion de plusieurs sites Web populaires tels qu’Amazon, Github, Google, Outlook ainsi que des plateformes de cryptomonnaies (MyMonero, MyEtherWallet…). Quatre heures après le début de l’incident, MEGA aurait réagi en remplaçant la version malveillante de son application par une version légitime.
En savoir plus ici et

Transport

British Airways victime d’un vaste piratage, 380 000 cartes bancaires compromises
La compagnie aérienne britannique British Airways a annoncé, le 8 septembre dernier, avoir été mené une enquête sur une fuite de données qui pourrait concerner 380 000 cartes bancaires de ses clients, suite à une faille informatique. La compagnie a annoncé via son compte Twitter que les données personnelles et financières des clients ayant fait des réservations entre le 21 août et le 5 septembre derniers ont été compromises. La compagnie aérienne aurait assuré que le fonctionnement de son site Web ainsi que de son application serait désormais revenu à la normale.
En savoir plus

IOT

Des milliers de routeurs MikroTik compromis, le trafic des victimes détournés 
Les experts de la société Qihoo 360 Netlab ont découvert que plus de 7 500 routeurs auraient été compromis en utilisant un proxy Socks4 malveillant. Les chercheurs ont également détecté une importante campagne de cryptolocking ciblant les routeurs MikroTik, en plus de l’injection de scripts Coinhive dans le trafic Web. Cette campagne a été détectée pour la première fois au Brésil, où plus de 200 000 appareils auraient été compromis. Les pirates exploiteraient la vulnérabilité CVE-2018-14847 depuis mi-juillet. Cette vulnérabilité est par exemple présente dans Winbox, un utilitaire d’administration du MikroTik RouterOS qui offre une interface graphique pour la configuration du routeur. La version du système d’exploitation permet aux attaquants distants de contourner l’authentification et de lire des fichiers arbitraires en changeant une demande de modification d’un octet liée à un identifiant de session. Toutes les requêtes de proxy dans les périphériques concernés seraient également redirigées vers une page d’erreur HTTP locale depuis laquelle les cybercriminels pourraient lancer un script minier « Coinhive », utilisé pour extraire Monero. Selon les chercheurs, sur plus de cinq millions d’appareils dotés d’un port TCP / 8291 ouvert en ligne, 1,2 million seraient des routeurs MikroTik, et dont 370 000 ne seraient toujours pas corrigés par rapport à CVE-2018-14847. La majorité des victimes serait originaire de Russie, suivi par le Brésil, l’Indonésie, l’Inde et l’Iran.
En savoir plus

Mode

Au Brésil, la marque de prêt-à-porter C&A victime d’une fuite de données
Fin août, l’enseigne internationale C&A aurait été ciblée par une attaque visant son système de cartes cadeau et d’avoirs. Les faits auraient été confirmés par des responsables de la branche brésilienne, après que ceux-ci aient été alertés de l’exposition de données du groupe sur le site de partage d’informations Pastebin. En effet, les attaquants auraient réussi à accéder aux bases de données détaillant les achats de cartes cadeaux par des clients, lesquelles comprendraient le numéro de carte d’identité du client, son adresse email, le montant chargé sur la carte, le numéro de commande ainsi que le détail de celle-ci.
Un membre du groupe de pirates « Fatal Error Crew » aurait revendiqué l’attaque en postant un échantillon de données clients sur Pastebin, agrémenté du message suivant : « Comme vous aimez jouer avec les données des autres, nous avons décidé de jouer avec vos systèmes ». Pour des raisons éthiques, selon ce même message, aucune information personnelle ne serait publiée sur Internet, bien que les données d’au moins 36 000 clients soient exposées. @joshua, le pirate auteur de la publication sur Pastebin, annoncerait que près de 2 millions de clients seraient potentiellement impactés.
En savoir plus

E-Commerce

MagentoCore, la campagne de « online skimming » la plus répandue jamais détectée
Selon le chercheur en cybersécurité Willem de Groot, ces six derniers mois, 7 339 boutiques en ligne hébergées par la plateforme de e-commerce Magento auraient déjà été infectées par un « skimmer script ». Plus précisément, ce code malveillant viserait à « syphonner » les données bancaires des internautes en effectuant des achats sur les sites visés. Grâce à des attaques de type brute force, le groupe malveillant à l’origine de cette campagne aurait réussi à accéder à l’interface de contrôle des magasins Magento, afin d’insérer du script malveillant au code source HTML. Ce code pourrait alors charger les pages de paiement du site attaqué afin d’en dérober les informations bancaires (via un enregistreur des frappes effectuées par le client, soit le principe du « skimmer » ) puis de les envoyer vers un serveur contrôlé par les attaquants, intitulé « magentocore[.]net » et enregistré à Moscou.
Actuellement, 4,2% des boutiques Magento seraient infectées par cette partie de code JavaScript, mais ce nombre est en constante évolution puisque, selon les estimations de W. de Groot, 50 à 60 nouveaux sites seraient compromis chaque jour. Selon des chercheurs, MangentoCore ferait partie d’une campagne plus large appelée « MageCart » et active depuis 2015.
En savoir plus 

Services

L’application de contrôle parental Family Orbit piratée
Le site d’actualité Motherboard aurait récemment appris que l’application de contrôle parental, proposée par la société Family Orbit, aurait fait l’objet d’un piratage, qui aurait permis le vol de près de 300 gigabits de données. D’après les pirates, qui auraient directement revendiqué leur action auprès de Motherboard, les données, qui consisteraient pour la plupart en des images d’enfants interceptées par le contrôle parental de l’application, se trouveraient stockées sur un serveur mal sécurisé. En effet, les pirates auraient trouvé la clé de chiffrement sur les serveurs en ligne de l’application. De plus, d’après les captures d’écrans fournies par les pirates, il semblerait que ces derniers aient également eu accès au bureau d’un des développeurs de l’application. La compagnie aurait confirmé à Motherboard le piratage et le vol des données, affirmant que la clé API est stockée de manière cryptée et qu’ils avaient observé « une bande passante inhabituelle » sur leur cloud.
En savoir plus

Écosystème sinophone

Une nouvelle vague d’attaques du botnet MyKings
Des chercheurs de Tencent ont publié une note concernant une nouvelle vague d’attaques du botnet MyKings depuis le 9 septembre, qui s’appuie sur de nouvelles techniques particulièrement agressives. Actif depuis avril-mai 2017, ce botnet avait été découvert en janvier 2018 par des chercheurs chinois de Netlab 360. Il est aussi connu sous le nom de Snominru, du nom d’un mineur de monnaies virtuelles qu’il aurait diffusé, d’après des chercheurs de Proofpoint. Les experts s’accordent à dire que le botnet serait organisé en sous-groupes en fonction des différents outils utilisés et objectifs visés. Les serveurs corrompus et domaines utilisés seraient principalement localisés en Russie, Inde et région chinoise. Une fois sur le système, la version actuelle commencerait par télécharger le script « myking.ps1 » à l’aide de Powershell. Ce script chiffrerait les données à plusieurs reprises pour diminuer les chances d’être déchiffrable. Puis le script se mettrait à jour en appelant un serveur malveillant. Le malware se propagerait ensuite de façon latérale en utilisant la faille Eternal Blue et l’outil Mimikatz sur les services SMB. Enfin, du code malveillant serait injecté dans l’outil de contrôle de compte d’utilisateur Windows UAC, afin d’éviter la détection par un logiciel de sécurité.
En savoir plus, ici et

Individus & Groupes

Palo Alto analyse les dernières tactiques du groupe OilRig
Des chercheurs de l’unité 42 de Palo Alto ont annoncé avoir détecté une campagne d’attaques visant une entité gouvernementale implantée au Moyen-Orient et menée par le groupe iranien OilRig. Ce dernier aurait envoyé, à partir de comptes de messagerie compromis, des emails de phishing ciblés, rédigés en arabe et embarquant le trojan OopsIE (détecté pour la première fois en février dernier). Depuis cette dernière campagne, le groupe aurait ajouté des fonctionnalités à sa charge malveillante ; désormais celle-ci présenterait des caractéristiques lui permettant d’effectuer des tests capables de détecter la présence d’un environnement sécurisé (sandbox) ou d’une machine virtuelle. D’autre part, le trojan serait paramétré de telle sorte qu’il ne fonctionnerait que sur les fuseaux horaires des pays du Golfe (Iran, Arabie Saoudite notamment).
En savoir plusLes attaques commises par le groupe de pirates informatiques Silence détaillées
Un rapport de Group-IB a mis en lumière le mode de fonctionnement du groupe de pirates Silence, et détaille également les attaques dans lesquelles il pourrait être impliqué. Silence, apparu dès 2016, aurait pris de l’ampleur au moment du déclin du groupe Cobalt, lié à la Russie, et aurait initialement les mêmes cibles : les banques, et plus précisément toute la partie relative aux distributeurs automatiques de billets (DAB). La première attaque de ce groupe référencée leur aurait permis de dérober 100 000 dollars en une nuit. Plus récemment,  il aurait été prouvé que les attaques qui ont visées le traitement des cartes « supply chain » au cours de l’année 2018 seraient également imputables à ce groupe de pirates. Silence serait potentiellement également lié au gouvernement russe. Ils utiliseraient toutefois les services d’un hébergeur russophone. Leur « marque de fabrique » serait un email de phishing envoyé à tous les employés des banques ciblées au début de chaque attaque.
En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Inscrivez – vous à la Newsletter >>>ici<<<