La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Vigilance pour les investisseurs Bitcoin, la plateforme Youbit piratée 
  • Les données personnelles de millions d’américains accessibles en ligne
  • PRILEX : Le nouveau malware ATM attaque les banques brésiliennes
  • Les données de 1,13 millions de clients de Nissan Canada dérobées
  • AnubisSpy, un spyware qui vise les utilisateurs Android au Moyen-Orient
  • Des centaines de milliers de sites WordPress sont victimes d’une campagne d’attaques « brute borce » 
  • Loapi, un malware dangereux qui peut détruire les smartphones
  • Des informations sur des menaces informatiques provenant de nos sources chinoises
  • Focus sur le groupe « Lazarus »

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Menaces Sectorielles

Multisectorielle

La plateforme d’échange de cryptomonnaie sud-coréenne Youbit piratée
Youbit, plateforme coréenne d’échange de monnaies cryptographiques, aurait clos tous les investissements en cours, suspendu les dépôts et annoncé être en faillite , après une série d’attaques informatiques. Les gestionnaires de la plateforme ont affirmé qu’ils auraient perdu près de 17% de leurs actifs lors de l’attaque qui s’est tenue le 19 décembre dernier. En outre, cette attaque survient près de huit mois après que 4 000 bitcoins (évalués à plus de 5 millions d’euros) et près de 40% des actifs auraient été dérobés par la Corée du Nord. Ce piratage a eu des répercussions au niveau mondial, faisant notamment chuter le taux de change du bitcoin alors qu’il avoisinait les 20 000 dollars. De plus, cette fermeture porterait un coup conséquent à la légitimité et la sécurité des investissements dans le domaine des cryptomonnaies. En effet, les échanges sud-coréens en bitcoins représentent 20% des échanges mondiaux et globaux de la devise.
En savoir plusLes données de 123 millions d’américains disponibles publiquement
Des chercheurs en sécurité auraient découverts des informations personnelles en accès public sur la partie stockage cloud S3 d’Amazon (Amazon Simple Storage Service). Ce cloud contiendrait, selon le UpGuard Cyber Risk Team, des données de la société Alteryx, une entreprise d’analyse de données basée en Californie, exposant ainsi des informations personnelles de 123 millions d’américains. En plus des adresses postales et des coordonnées téléphoniques, des informations sur l’historique financier figureraient parmi ces données. La fuite aurait été découverte en octobre 2017 sur le cloud 3S d’Amazon, ce dernier comportant un sous-fichier intitulé « alertryxdownload » et qui contiendrait des informations sensibles de clients. Les experts affirment que la configuration du cloud S3 aurait été reparamétrée afin que les données ne soient plus accessibles publiquement.
En savoir plus

Finance

Les distributeurs automatiques de billets visés par deux malwares
Trend Micro a procédé à l’analyse de deux malwares visant les distributeurs automatiques de billets, baptisés respectivement Prilex et Cutlet Maker. Une fois l’automate infecté, Prilex serait capable de remplacer les informations affichées à l’écran et ainsi de collecter les informations bancaires de l’utilisateur avant de les transmettre à un serveur de commande et contrôle (C&C). Prilex serait donc le premier malware ATM connecté à Internet. Il aurait été utilisé contre certaines banques brésiliennes. Quant au malware Cutlet Maker, celui-ci aurait été proposé en vente sur un site du réseau Tor (Dark Web) intitulé « ATMjackpot » dès le mois d’octobre. Il suffirait aux attaquants de se connecter physiquement à l’automate ciblé via un port USB, y brancher un hub USB depuis lequel ils peuvent connecter un clavier et une souris sans fil ainsi qu’un périphérique de stockage contenant le malware. Les attaquants pourraient alors exécuter leur malware et entrer les commandes nécessaires pour retirer l’argent du distributeur après obtention d’un code auprès des développeurs à l’origine du malware. Les automates de la marques Wincor Nixdorf seraient visés par Cutlet Maker.
En savoir plus

Automobile

Plus d’un million de clients de Nissan Canada potentiellement touché par piratage
Nissan Canada a annoncé jeudi 21 décembre, dans un communiqué, avoir été victime d’un accès non autorisé aux informations personnelles et financières de clients de la division du financement de Nissan Canada. Le groupe a déclaré avoir eu connaissance du piratage le 11 décembre dernier. Le nombre total des clients touchés n’a pas été révélé pour l’instant. Les informations dérobées pourraient contenir le nom, l’adresse, la marque, le modèle, le numéro d’identification du véhicule, la cote de crédit ainsi que le montant du prêt et la mensualité. Nissan affirme que les informations de clients ayant financé leur l’achat à l’extérieur du Canada n’ont pas été compromises. 1,13 million de client seraient concernés.
En savoir plus

Numérique 

La campagne de cyberespionnage Sphinx cible désormais les smartphones
Les chercheurs de Trend Micro ont détecté un spyware visant les utilisateurs dans les pays du Moyen-Orient. Baptisé AnubisSpy Android Malware, il serait capable de collecter des messages SMS, Photos, vidéos, contacts, comptes email, Calendrier des événements, historiques de navigateur et données sur les applications des réseaux sociaux (Skype, WhatsApp, Facebook et Twitter). Il pourrait également prendre des captures d’écran, des enregistrements audio, exécuter des commandes et supprimer des fichiers sur les smartphones. Le spyware serait également capable de s’autodétruire, afin de supprimer toute trace.  Une fois les données collectées, elles seraient chiffrées et envoyées aux serveurs de commande et contrôle (C&C). Les chercheurs pensent que le spyware AnubisSpy est lié à la campagne de cyber-espionnage « Sphinx », le lien entre l’emploi d’AnubisSpy et la campagne en question a pu être établi selon des similitudes trouvées dans les techniques, les tactiques, les procédures et le ciblage.
En savoir plus

Loapi, le malware qui peut détruire vos smartphones
Kasperky Labs a publié, lundi 18 décembre, une analyse technique détaillant le fonctionnement du malware Loapi. Baptisé « Jack of all trades » par Kaspersky Labs, le malware installerait, sur les smartphones Android, un logiciel de minage de moneros (cryptomonnaie). Le processus de minage surchauffe les composants électroniques du smartphone et peut ainsi déformer la batterie. Loapi se cache au sein de fausses applications à caractères sensibles ou de sécurité informatique, capable de se protéger des anti-virus installés, il peut afficher des publicités malveillantes, intégrer à un botnet pour lancer des attaques en DDoS, envoyer des SMS, ou souscrire à des offres payantes. Le malware se propagerait via des campagnes de spams et de SMS qui redirigent les utilisateurs vers des sites de téléchargements malveillants. Loapi ne se diffuse pas par le Play Store.
En savoir plus

Des sites WordPress sont victimes d’une attaque massive de « brute force » 
Au cours de la semaine dernière, près de 190 000 sites WordPress, auraient été la cible d’une campagne massive dite de « brute force », au cours de laquelle des pirates se seraient connectés avec des identifiants d’administrateurs afin d’installer Monero Miner sur les sites compromis. Les pirates se seraient également basés sur ces sites pour perpétrer d’autres attaques de brute force, en chaine. Par ailleurs, les pirates auraient récolté plus de 100 000 Moneros (une cryptomonnaie). Selon la société de sécurité de WordPress, Wordfence, ce serait le récent  partage d’une méga base de données, d’1,4 milliards d’identifiants de connexion sur plusieurs plateformes collaboratives, qui aurait permis ces attaques massives (base de données partagée sur la plateforme communautaire Reddit le 5 décembre 2017). Les pirates auraient tenté de nombreuses combinaisons disponibles en se basant sur les domaines fréquemment visités par les identifiants figurant dans la base de données.
En savoir plus

Politique

Les données de plus de 19 millions de californiens volées de la plateforme MongoDB
Le 18 décembre 2017, des chercheurs de Kromtech Security Center ont annoncé le vol de données appartenant à la population électorale de l’Etat de Californie – soit plus de 19 millions de personnes – d’une base stockée sur MongoDB, un système open source de gestion de bases de données. La base de données ciblée, intitulée « cool_db », qui a été publiquement accessible, contenait deux répertoires avec des informations sur les citoyens californiens destinées à leur enregistrement aux élections, comme les noms des personnes associés à leurs adresses postales, adresses email ou numéros de téléphone. Selon les chercheurs, les pirates auraient  effacé toutes ces données en laissant une note de rançon à la place. Cette attaque s’inscrit dans la campagne de rançon contre les serveurs MongoDB, qui a débuté en décembre 2016 et pendant laquelle plus de 2 000 bases de données ont été effacées. Dans le cadre de cette campagne, les pirates ont utilisé un script automatisé afin de scanner le Web pour détecter des bases de données non-protégées sur MongoDB , effacer leur contenu et poster une note de rançon de 0.2 Bitcoin, soit environ 200 euros selon le taux de change actuel. Les chercheurs de Kromtech Security Center ont également annoncé ne pas avoir été en mesure d’identifier les attaquants, en affirmant que les pirates ont vraisemblablement copié les données sur leurs serveurs avant de les effacer du « cool_db », pour ensuite les revendre sur le Dark Web.

Ecosystème Régional

Ecosystème chinois

Le malware mobile TigerEyeing exploite DroidPlugin
Les chercheurs de Tencent ont récemment découvert un nouveau malware intitulé « TigerEyeing », qui se propage via des jeux mobiles et applications avec du contenu à caractère pornographique. TigerEyeing utilise ensuite DroidPlugin, une extension open source développée par l’entreprise chinoise Qihoo 360, qui permet de faire tourner des applications comme des plugins sans que celles-ci soient installées en local, et qui est connu pour avoir déjà été le vecteur de plusieurs malwares. Ainsi TigerEyeing télécharge et active plusieurs applications malveillantes afin de générer des revenus publicitaires pour les auteurs. D’après l’analyse de Tencent, les auteurs de ce trojan pourraient être liés à un développeur d’applications basé à Shenzhen (dont le nom est volontairement tronqué dans l’article dédié au sujet).
Source

Individus & Groupes

« Lazarus « 
Selon le service national du renseignement Sud-Coréen (NIS), deux plateformes de bitcoins auraient été piratées et les attaquants auraient collecté un montant total de plus de 5,5 millions d’euros en avril et en septembre derniers. Au mois de juin, la plus grande plateforme du pays avait déjà été victime d’une fuite d’informations touchant ses 36 000 clients. Le NIS a confirmé, après analyse des malwares utilisés dans ces piratages, qu’il s’agissait de malwares employés par le groupe Lazarus, soupçonné d’être soutenu par le gouvernement nord-coréen. Le groupe aurait transmis aux plateformes de cryptomonnaie des emails contenant des CV infectés par ces malwares. D’après Proofpoint, le groupe se serait doté d’un arsenal pour dérober les bitcoins et les données de cartes bancaires de particuliers via trois nouveaux malwares : PowerRatankba, Gh0st RAT et RatankbaPOS. Le premier est un outil d’espionnage qui permet d’analyser la machine et de savoir quelles applications y sont installées. Si le résultat est satisfaisant, les pirates téléchargent le second. Il s’agit d’un outil d’accès à distance qui permet de prendre le contrôle de la machine et, le cas échéant, de vider les portefeuilles bitcoins. Les pirates de Lazarus diffusaient ces malwares via des mises à jour d’applications Skype ou Telegram vérolées, des documents PDF et des tutoriels piégés sur les cryptomonnaies, ainsi que du code Javascript malveillant.
En savoir plus 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !