La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Le piratage d’un développeur de logiciels laisse planer de nouvelles menaces de cyberattaques en Ukraine
  • Campagnes de phishing : la BRED et une banque suisse visées
  • Sécurité Android : découverte du malware Lokibot ; 500 applications infectées avec un spyware
  • Le site de réservation d’hôtels Groupize touché par une fuite de données
  • Des informations sur des menaces informatiques provenant de nos sources chinoises
  • Focus sur le groupe « Turla »

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

 

Menaces Sectorielles

Multisectorielle

L’Ukraine à nouveau en état d’alerte après le piratage d’une société de développement logiciels

ISSP Labs, une société ukrainienne spécialisée en cybersécurité a émis deux rapports le 22 août dernier concernant le piratage de Crystal Finance Millenium, entreprise de développement de logiciels de comptabilité pour les entreprises. Les pirates seraient parvenus à pénétrer les serveurs de cette société qu’ils auraient utilisés pour diffuser le ransomware Purge. Le piratage daterait du 18 août 2017. Des indicateurs de compromission ont été publiés.

En savoir plus ici et

Finance

Une campagne de phishing en « .fish » cible la BRED

La société anglaise Netcraft, spécialisée dans les technologies anti-fraude et anti-phishing, a découvert que la BRED (Banque régionale d’escompte et de dépôts) était la cible d’une campagne de phishing. En effet, les utilisateurs étaient attirés sur la page parser.fish (nom de domaine désormais bloqué), imitant un site de la BRED, pour ensuite être redirigés vers un site hébergé au Vietnam, leur demandant de saisir leurs identifiants bancaires. Netcraft a fait remarquer que peu de sites en .fish ou .fishing ont jusqu’alors été utilisés pour du phishing. D’après son analyse, il est possible que parser.fish ait été compromis et qu’il n’ait pas originellement été enregistré à des fins malveillantes.

En savoir plus

 

Une banque suisse ciblée par du phishing et une fausse application

Le groupe bancaire suisse Raiffeisen Bank est actuellement victime d’une campagne de phishing utilisant le malware Mazar BOT, qui a pour but de dérober les informations bancaires de ses clients. Un email frauduleux conduit l’internaute sur une page similaire à la version officielle du site de la banque. Une fois que la victime a saisi ses identifiants, elle est invitée à télécharger une fausse application Raiffeisenbank Security, qui la pousse à renseigner encore plus d’informations. Ce montage a été découvert par Lukas Stefanko, un chercheur de chez Kaspersky Lab.

En savoir plus

 

Un nouveau Lokibot capable de dérober des données bancaires à grande échelle

L’entreprise de cyber sécurité espagnole S21sec a découvert une nouvelle famille de malwares affectant les appareils Android et collectant, entre autre, des informations bancaires. Le malware porte le nom Lokibot, mais il est différent du célèbre trojan Loki Bot. D’après S21sec, Lokibot injecte un code malveillant sur le système et compromet ainsi les communications entre les utilisateurs mobiles et leurs banques. Selon les analyses menées à ce stade, les pays les plus touchés par Lokibot seraient l’Allemagne, la Hongrie, la Turquie, l’Iran et la Colombie, mais celui-ci pourrait se propager plus largement, et aurait la capacité de modifier les pages Web d’une cinquantaine de banques dans huit pays d’Europe. Lokibot serait par ailleurs disponible en kit sur le Dark Web, au prix de 2 000 dollars.

En savoir plus

 

Numérique

Un SDK transformé en spyware affecte les systèmes Android

Un kit de développement de logiciels (SDK) publicitaires a aspiré les informations utilisateur d’environ 500 applications légitimes référencées sur le Google Play Store d’Android (majoritairement des jeux mobiles pour adolescents et des applications d’informations météorologiques). Ce sont notamment les journaux d’appels qui ont été collectés. Ces données ont été transférées aux serveurs de la société chinoise Igexin, développeur du SDK en question. Le spyware a été détecté par les chercheurs du spécialiste de la sécurité informatique Lookout.

En savoir plus

 

Hôtellerie

Fuite depuis le Cloud Amazon : le site de réservation d’hôtels Groupize en cause

Des chercheurs en sécurité de Kromtech ont détecté une fuite de données qui aurait touché le service de réservation d’hôtels en ligne Groupize, depuis le cloud Amazon. Groupize a indiqué qu’aucune donnée sensible n’aurait fuité mais les experts de Kromtech ont affirmé que près de 3 000 documents relatifs à des contrats entre les clients, les hôtels et Groupize auraient été rendus accessibles sans identifiant. Ces contrats contiendraient les détails de paiement ainsi que les données des cartes bancaires utiliséss par les clients (numéro, date d’expiration et cryptogramme visuel). La fuite aurait été corrigée le 15 août dernier.

En savoir plus

 

 

Ecosystème Régional

Ecosystème chinois

Un malware chinois contourne le https 

Un nouveau malware chinoise baptisé « Https Robber » (HTTPS Jiefei) est capable de passer outre le protocole de navigation sécurisée. Comme Secret Soul (voir Threat Landscape du 22/08/2017), il se cache derrière un lecteur vidéo utilisé pour du contenu à caractère pornographique. Une fois téléchargé, Https Robber installe le logiciel chinois de serveur Web Kangle, y liste des domaines frauduleux, et injecte un faux certificat sur le système pour les autoriser. Il parvient ainsi à insérer des fenêtres publicitaires quand la victime visite les pages de moteurs de recherche (notamment Baidu) ou de sites d’e-commerce (Taobao).

Source

 

Un malware cible les internautes chinois qui trichent sur l’espace de stockage ou la vitesse de téléchargement

360 Security alerte sur la présence de malwares dans des logiciels non-officiels utilisés pour tricher sur le site chinois de stockage de fichiers Baidu Pan et le gestionnaire de téléchargement Xunlei. Ceux-ci permettent d’avoir gratuitement les privilèges réserver aux comptes payants (moins de limite sur l’espace de stockage et la vitesse de téléchargement). Une fois sur le système de la victime, le malware installe un outil d’assistance à distance (Teamviewer) pour dérober des identifiants bancaires ou identifiants de connexion à des jeux en ligne.

Source

Individus et Groupes

« Turla »

Les chercheurs de Proofpoint ont découvert un nouveau dropper associé à Turla, un groupe de pirates soupçonné d’être affilié au gouvernement russe. Ce dropper permettrait selon eux de télécharger la backdoor KopiLuwak. L’injecteur en question aurait été distribué via un document conviant les destinataires à un rendez-vous autour du G20 intitulé « Digital Economy » qui aura bel et bien lieu en octobre prochain. La campagne, qui viserait des journalistes et des politiciens, serait actuellement dans sa phase opérationnelle. Proofpoint a collecté quelques indicateurs de compromission. 

En savoir plus

 

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !