La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • Plusieurs sociétés italiennes ciblées par le trojan bancaire Ursnif, diffusé via le botnet Necurs
  • Vigilance à l’approche des congés d’été, une fuite massive touche un service de réservation hôtelière en ligne
  • Avis aux joueurs Fortnite : de fausses applications du jeu seraient actuellement diffusées via Youtube
  • Intrusion chez un prestataire du service de  billetterie en ligne Ticketmaster : des données clients exposées
  • Une campagne de phishing présage d’un retour du malware Wannacry, plus d’un an après l’attaque massive
  • Plusieurs institutions localisées en Asie du Sud-Est ciblées par un groupe de pirates nommés RANCOR
  • Notre cellule sinophone fait le point sur une campagne d’arnaques aux fausses offres d’emploi en Chine
  • Notre cellule russophone vous renseigne sur des soupçons d’attaques en Ukraine
  • Retour sur le mode opératoire du groupe d’attaquants « Tick » et les dernières attaques du groupe « Lazarus APT »

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Finance

Une nouvelle version du Trojan bancaire Ursnif cible des compagnies italiennes 
Des experts en sécurité de CSE Cybsec ZLab ont récemment découvert une nouvelle version du trojan bancaire Ursnif, qui avait été très actif en 2016 dans les secteurs financier et bancaire. Dans la campagne précédente, le malware avait initialement ciblé le Japon, l’Amérique du Nord l’Europe et l’Australie, puis était devenu mondial grâce à sa technicité. Cette fois-ci, ce sont les compagnies financières italiennes qui seraient visées. La nouvelle version du malware se propagerait par le biais d’un document Microsoft Word envoyé en pièce jointe d’un email de phishing, qui s’afficherait comme une réponse à une conversation menée précédemment par la victime. Une fois installé sur une machine, le virus se diffuserait vers d’autres utilisateurs via les carnets d’adresses des comptes de messagerie compromis. Les recherches des experts ont également mis en valeur le fait que l’adresse email de l’expéditeur de ces emails serait directement connectée au botnet Necurs, connu pour diffuser des campagnes de phishing ayant pour but la propagation des malwares tels que Dridex, Locky, Trickbot, etc.
En savoir plus

Hôtellerie

Fuite de données massive chez un prestataire de service de réservation d’hôteliers
Une fuite de données massive aurait frappé un prestataire majeur de l’industrie hôtelière nommé FastBooking. Ce dernier, basé à Paris, fournit un service de réservation en ligne à plus de 4 000 hôtels répartis dans près de 100 pays. D’après Bleeping Computer, des attaquants auraient exploité une vulnérabilité affectant une application Web de la société pour installer un malware sur le serveur sous-jacent. Ce dernier aurait permis aux pirates d’accéder à distance à ce serveur dès le 14 juin, puis d’y extraire les données présentes : noms, prénoms des clients des hôtels, nationalité, adresse postale, adresse email, informations sur les réservations effectuées par ces derniers (nom de l’hôtel, détail du check-in et check-out), dans certains cas les détails de paiement tels que le numéro de la carte bancaire ainsi que la date d’expiration. Le nombre exact d’hôtels impactés par la fuite n’a pas encore été communiqué mais FastBooking a d’ores et déjà indiqué avoir alerté au moins 380 hôtels japonais.
En savoir plus

Jeux vidéos 

De fausses applications Fortnite diffusées via des vidéos YouTube 
En quelques mois, le jeu développé par Epic Games, « Fortnite », s’est imposé comme le jeu vidéo le plus populaire au monde, réunissant près de 125 millions de joueurs actifs pour le mode « Bataille royale ». L’application n’étant pas encore téléchargeable avec le système d’exploitation Android, des individus malveillants se seraient saisis de l’opportunité pour créer un business lucratif et profiter du grand nombre de joueurs non sensibilisés. En effet, les millions de requêtes d’utilisateurs cherchant à se procurer le jeu (« Download Fortnite for Android » ou « How to install Fortnite on Android ») mèneraient à des vidéos YouTube promettant le téléchargement d’une version « fuitée » du jeu. En réalité, malgré leur indexation dans les premiers résultats, il s’agirait d’applications vérolées. L’illusion serait complète puisque les pirates auraient recréé le graphisme du jeu, la chanson de chargement et le portail de connexion. Une fois les données entrées, l’application demanderait un numéro mobile de vérification avant de renvoyer l’utilisateur sur une autre plateforme de téléchargement d’application de détection de bot. Enfin, une fois cliqué sur un lien permettant de « débloquer les instructions », l’utilisateur serait tout simplement renvoyé sur le site Google Play, même en renouvelant l’opération. Pour les chercheurs de McAfee, les pirates toucheraient des sommes relatives au nombre de téléchargements, et profiteraient également de la détermination de certains joueurs à obtenir le jeu pour diffuser des malwares via les fausses pages. D’autre part, les chercheurs de Check Point auraient également mis à jour des schémas de phishing via des comptes Fortnite.
En savoir plus

Numérique

Le service de billetterie en ligne Ticketmaster victime d’une fuite de données 
Le 27 juin dernier, le service de billetterie en ligne Ticketmaster aurait annoncé avoir été victime d’une intrusion affectant environ 5% de la base de données client. La faille ne serait pas relative aux systèmes d’information de Ticketmaster mais d’un de ses partenaires – Inbenta – lui fournissant des services de live chat avec de l’intelligence artificielle, lesquels étaient ensuite déployés par Ticketmaster dans certaines zones du monde. La diffusion du malware, détectée à partir du 23 juin, aurait donc été permise par le chat avec les utilisateurs. En effet, le logiciel malveillant aurait enregistré les informations de connexions et exfiltré des données client. Plus précisément, il s’agirait de détails de paiement, d’informations de connexion à Ticketmaster et de données personnelles telles que les noms, adresses, emails et numéros de téléphone. D’autre part, seuls certains utilisateurs seraient touchés, en fonction de la période pendant laquelle le logiciel malveillant aurait réussi à collecter des données. Ainsi, les utilisateurs du site nord-américain ou anglais seraient peu touchés. Ticketmaster aurait annoncé avoir désactivé le widget Inbenta de tous ses sites, et enquêterait sur les causes de l’intrusion. Une enquête serait également en cours pour déterminer si les autres partenaires d’Inbenta sont impactés. Pour rappel, les incidents liés au fournisseurs de services de chat seraient de plus en plus courant, tel que l’exemple de PaneraBread évoqué en avril dernier dans la Threat Landscape.
En savoir plus

Multisectorielle

Nouvelle campagne de phishing sur le ransomware Wannacry
Le Centre de Lutte contre la Fraude et la Cybercriminalité du Royaume-Uni affirme qu’une nouvelle campagne de phishing serait en cours, prétendant pouvoir infecter des appareils informatiques par le biais d’un malware Wannacry. Les experts du centre informent avoir reçu plus de 300 alertes concernant les courriers électroniques frauduleux au cours de ces derniers jours. Les emails en question provenant de « WannaCry-Hack-team » avec « Attention WannaCry » en guise d’objet, indiqueraient que le fameux malware Wannacry serait de retour pour lancer une nouvelle vague d’attaques de rançongiciels. D’après le texte du message, le nouveau ransomware serait en mesure d’infecter tous les types de systèmes d’exploitation (Windows, iOS, MacOs, Linux ou Android), alors que la dernière version de Wannacry avait impacté uniquement les appareils Windows. D’après la société de cybersécurité Sophos, la menace serait complètement factice, le but des pirates étant de provoquer un sentiment de panique chez le destinataire pour le pousser à payer une rançon de 0,1 bitcoin (650 dollars).
En savoir plusUn groupe de pirates vise des institutions en Asie du Sud-Est
Des chercheurs de Palo Alto auraient identifié une nouvelle vague d’attaques ciblant des institutions au Cambodge et en Thaïlande. Le groupe derrière cette vague d’attaque, baptisé RANCOR, a été reconnu pour la création de trojan personnalisés contre des organisations en Asie. Le groupe utilise principalement deux familles de malwares, connus sous les noms de DDKONG et PLAINTEE. L’analyse du code du malware DDKONG montre que les premières versions remontent à février 2017 et pourraient être utilisées par plusieurs groupes de pirates. Par contre, le malware PLAINTEE semble être exclusivement utilisé par le groupe RANCOR. Selon les chercheurs de Palo Alto, les attaques ont commencé probablement par des courriels de spear phishing (une technique de phishing épaulée par des techniques d’ingénierie sociale afin de cibler les victimes) et utilisent des documents contenant des détails tirés d’articles de presse publics sur des événements politiques. Ces documents auraient été hébergés sur des sites Web légitimes, y compris un site Web appartenant au gouvernement du Cambodge. Une des attaques a utilisé un document Excel avec une macro intégrée pour lancer la charge utile. Le code malveillant principal était incorporé dans une propriété de métadonnées EXIF du document. Dans une autre attaque, un fichier d’application HTML a été utilisé.
En savoir plus

Ecosystème Régional

Écosystème chinois

De vastes campagnes d’arnaques aux fausses offres d’emploi
La consultation de la base de données des procédures juridiques chinoises aurait révélé un très grand nombre de cas de fraudes et phishing usurpant l’identité des sites d’informations et d’annonces chinois « 58.com » et « ganji.com ». Les auteurs de ces campagnes diffusent de fausses offres d’emplois pour dérober des informations personnelles. Le site officiel « China Judgements Online » référencerait ainsi 248 suspects interpellés et plus de 5 500 victimes ; la somme totale des gains pour les criminels s’élèverait à près de 100 millions de yuans (presque 13 millions d’euros). Face à la mise en lumière médiatique de ce phénomène, les deux sites ont publié un communiqué conjoint sur le réseau social Weibo, assurant qu’elles prenaient le problème au sérieux.
En savoir plus

Écosystème russe

L’Ukraine soupçonne la Russie de préparer une nouvelle attaque
Le directeur de la cyberpolice ukrainienne Sergeï Demedyuk affirme que les pirates informatiques russes prépareraient une attaque massive visant les systèmes informatiques d’entreprises ukrainiennes avec des logiciels malveillants créant des « portes dérobées » sur des serveurs. Plusieurs échantillons de logiciels malveillants auraient déjà été détectés et analysés par les experts. Il souligne également que dès le début de l’année, plusieurs emails de phishing usurpant l’identité des entités publiques auraient été envoyés aux entreprises ukrainiennes du secteur bancaire et énergétique. Le malware transmis via ces emails serait divisé en plusieurs composants de telle façon que des antivirus ne le remarqueraient pas. Une fois que tous les éléments se trouveraient sur un appareil, ils se réuniraient en un seul logiciel. Sergeï Demedyuk estime que le code malveillant pourrait être activé soit le 28 juin, le jour de la Constitution, soit le 24 août, le jour de l’indépendance de l’Ukraine. Rappelons qu’en juin 2017, l’Ukraine avait subi une vaste attaque, paralysant l’activité des grandes entreprises, des banques, de l’aéroport international de Kiev « Borispol » etc.
En savoir plus

Individus & Groupes

Tick Group

Focus sur le mode opératoire original du groupe d’attaquants « Tick »
Les chercheurs de Palo Alto ont publié récemment les résultats d’une analyse d’un groupe d’attaquants nommé « Tick », ciblant des organisations localisées au Japon et en Corée du Sud. Bien que les chercheurs n’aient pas identifié le vecteur initial de l’infection, leurs observations donnent un aperçu du mode opératoire du groupe : Tick déploierait un malware baptisé SymonLoader (développé probablement en 2012) via un fichier malveillant utilisé comme dropper et embarqué dans un fichier de mise à jour d’un logiciel légitime. SymonLoader, qui ne s’attaquerait qu’à des machines fonctionnant sous Windows XP ou Windows Server 2003 serait capable de détecter la connexion d’un périphérique USB à la machine compromise. D’après Palo Alto, le groupe ciblerait spécifiquement un périphérique USB conçu par une entreprise de défense sud-coréenne. Si la présence de ce périphérique USB est détectée par le malware, celui-ci téléchargerait alors une charge malveillante (inconnue) supplémentaire sur la machine. Ce mode opératoire laisserait supposer que le groupe Tick s’intéresse aux systèmes air-gap, ces systèmes informatiques souvent critiques, isolés de tout réseau informatique public pour des mesures de sécurité.
En savoir plus

Lazarus APT

Le piratage de la plateforme de cryptomonnaie Bithumb attribué au groupe « Lazarus APT »
Des chercheurs en cyber sécurité de la société AlienVault auraient attribué l’attaque visant Bithumb, la plus grande plateforme d’échange de crypto-monnaie en Corée du Sud, au groupe de cyber criminels de Corée du Nord « Lazarus APT ». Les pirates auraient pu dérober l’équivalent de 32 millions de dollars en cryptomonnaie. Les chercheurs ont précisé que le groupe aurait utilisé des documents HWP (Hangul Word Processor: un système de traitement de texte coréen) pour cibler les utilisateurs de la plateforme. Les fichiers HWP contiendraient un code malveillant qui récupère le malware.  Les chercheurs ont remarqué des domaines de phishing de cryptomonnaie enregistrés sur le même numéro de téléphone qu’un domaine (itaddnet[.]com) et fournissant certains des logiciels malveillants. Cela suggère que les pirates chercheraient également à obtenir des informations d’identification, en plus de fournir des logiciels malveillants. Le groupe « Lazarus APT » serait également responsable de l’injection d’une vulnérabilité zero-day sur le site d’un think-tank sud-coréen en mai 2018 [Voir notre précédent Threat Landscape].
En savoir plus

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !