La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

Plusieurs applications populaires (Skype, Slack) vulnérables, le framework Electron en cause
Du code malveillant détecté dans plusieurs jeux disponibles sur le Google Play Store
Le botnet Necurs à l’origine d’une campagne de fraude
Une société de défense turque victime de phishing ciblé
Un nouveau botnet baptisé HNS fait son apparition
La France, victime d’une campagne menée avec le malware Dridex
La société Bell Canada victime d’un nouveau piratage informatique affectant 100 000 clients
Deux vulnérabilités découvertes au sein de l’application de rencontre Tinder
Des identifiants de connexion Facebook menacés par le malware GhostTeam
Le ransomware Samsam s’attaque à des hôpitaux et des sites officiels

Des informations sur des menaces informatiques provenant de nos sources chinoises
Focus sur le groupe de pirates nord-coréen « 123 » qui aurait multiplié les attaques en 2017

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !Menaces Sectorielles

Numérique

Détection d’une vulnérabilité au sein du framework Electron affectant plusieurs applications populaires
L’équipe de développeurs Electron aurait détecté une vulnérabilité critique pouvant impacter l’ensemble des applications créées en utilisant le framework du même nom, parmi lesquelles Skype ou Slack. La faille permettrait d’exécuter du code à distance, uniquement sur les applications qui s’exécutent sous Windows. Afin de remédier à la potentielle défaillance de plus de 400 applications, les membres d’Electron auraient publié deux mises à jour du framework ainsi qu’une solution permettant de contourner la vulnérabilité. Il reste difficile d’identifier formellement le nombre d’applications utilisant le protocole Electron mais certains éditeurs d’applications mises en cause telles que Skype pour Windows ou Slack auraient également développé des correctifs afin d’y remédier.

Un malware Android diffusé via le Google Play Store et téléchargé plus de 4,5 millions de fois
La société Doctor Web Anti-Virus aurait récemment détecté un logiciel malveillant infectant des jeux téléchargeables sur les appareils Android. Ces applications reposeraient sur un morceau de code contenu dans le framework SDK (Software Development Kit) Ya Ya Yun, désigné par l’appellation « Android.RemoteCode.127.origin ». En réalité, lorsque l’application est lancée avec ce morceau de code malveillant embarqué, un serveur distant octroierait ensuite l’accès au téléchargement de modules additionnels, capables d’effectuer diverses actions telles que la navigation sur des sites Web et la sélection de produits via un clic sur une bannière ou un lien. Une fois ce premier programme téléchargé par l’utilisateur, un fichier graphique contenant un cheval de Troie s’insérerait dans l’appareil afin d’en prendre les commandes à distance. A ce jour, les analystes de Docteur Web auraient établi une liste de 27 jeux potentiellement infectés par ce code malveillant.

Le botnet Necurs lance une campagne de fraude sur la cryptomonnaie Swisscoin
Les chercheurs de Cisco auraient récemment annoncé que la hausse significative d’activité de Necurs, un botnet connu pour la propagation du trojan Dridex ou de ransomwares du type HydraCrypt, serait liée à une campagne de spam utilisant un schéma de fraude « pump-and-dump ». Ce schéma consisterait à répandre des informations financières erronées pour manipuler les cours de cryptodevises. Les opérateurs du Necurs auraient ainsi acheté une large quantité de la cryptomonnaie « Swisscoin » à un prix relativement bas, pour ensuite envoyer plusieurs millions de spam encourageant les victimes à acheter cette cryptomonnaie. Ils l’auraient ensuite revendue en profitant de la plus-value générée par une augmentation du prix de celle-ci. « Swisscoin » aurait été brièvement suspendue en 2017, suite aux suspicions d’être inclue dans un système de Ponzi (un montage financier frauduleux qui rémunère les investissements des clients par des fonds procurés par les nouveaux entrants sur le marché). Or ses transactions ont repris le 15 janvier 2018, soit le jour correspondant au lancement de la campagne pump-and-dump de Necurs.

Défense

Une société de défense turque, victime d’une campagne de phishing ciblé
La société RisqIQ a indiqué avoir détecté une campagne d’attaques contre une entreprise de défense turque. Le groupe responsable de l’attaque, d’origine inconnue, aurait lancé une campagne de phishing ciblé à la mi-novembre 2017. L’email malveillant, usurpant l’identité du service public de perception des impôts, aurait distribué un fichier au format XLS avec une macro contenant un exécutable téléchargeant un Remote Access Trojan connu sous le nom de Remcos. Ce dernier serait capable d’enregistrer les frappes de touche, de prendre des captures d’écran, d’opérer des enregistrements audio et vidéo depuis la webcam ou le microphone de la machine de la victime ainsi que d’installer et désinstaller des programmes sur celle-ci.

IoT

Un nouveau botnet baptisé Hide ‘N Seek détecté
Les chercheurs de la société Bitdefender auraient identifié un nouveau botnet baptisé HNS (pour Hide ‘N Seek), constitué au 26 janvier 2018 de 32 312 objets connectés compromis. Le botnet aurait été initialement découvert le 10 janvier dernier, à la suite de quoi celui-ci aurait disparu pour réapparaître le 20 janvier dans une version plus évoluée. Les chercheurs précisent que le malware à l’origine de la compromission de ces milliers d’objets connectés seraient sujets à d’intenses développement de la part de ses créateurs. HNS communiquerait de manière décentralisée (via un réseau peer-to-peer), serait capable d’exploiter des vulnérabilités sur plusieurs appareils via des exploits connus (Reaper, pour le plus célèbre d’entre eux) et se diffuserait à la manière d’un ver informatique.

Finance

Le malware Dridex continue de sévir : la France parmi les victimes
La société de cybersécurité Forcepoint aurait détecté une campagne de distribution d’une variante du malware Dridex le 17 janvier dernier. Les attaquants auraient exploité des sites FTP compromis pour héberger les documents malveillants utilisés dans le cadre de cette campagne. Les emails malveillants, 9 500 au total, auraient été en premier lieu distribués vers des noms de domaine en .COM, et dans un second temps vers des noms de domaine français (la Grande-Bretagne et l’Australie arrivant respectivement en troisième et quatrième position). D’après Forcepoint, les attaquants disposeraient de plusieurs sites FTP compromis afin de brouiller les pistes.

 

Réseaux sociaux

Tinder : deux vulnérabilités découvertes dans l’application
Les chercheur de Checkmarx auraient découvert l’existence de deux vulnérabilités dans les versions Android et iOS de l’application de rencontre Tinder. Ces dernières permettraient aux pirates d’espionner l’activité des utilisateurs et de prendre le contrôle du contenu de leurs comptes. La première vulnérabilité profiterait du téléchargement en HTTP, donc non sécurisé, des images sur l’application, pour s’immiscer au sein des comptes personnels des utilisateurs et ainsi y « intercepter et modifier l’activité » si l’utilisateur reste en ligne suffisamment longtemps. Les chercheurs recommandent à Tinder de transférer tout le trafic de l’application via une connexion sécurisée en HTTPS, même s’ils reconnaissent que cela pourrait ralentir la vitesse de téléchargement des images. La seconde vulnérabilité, intitulée « Predictable HTTPS Response Size », permettraient aux attaquants d’analyser les opérations effectuées par les utilisateurs (comme par exemple de positionner une photo à gauche ou à droite en fonction du choix de l’utilisateur). Cette attaque serait possible en se fiant à la taille (en octet) de la réponse sécurisée qui est envoyée sur le serveur de l’API. Dans une plus large mesure, les chercheurs pointent du doigts les impacts potentiels de telles vulnérabilités : piratage de données privées, possibilité de campagne de phishing ou encore de social engineering.

Les identifiants de connexion Facebook volés par le malware GhostTeam
Les chercheurs de TrendMicro auraient récemment découvert l’existence d’un groupe de 53 applications téléchargeables depuis le Google Play Store sur les appareils Android, qui auraient contenu un malware utilisé pour voler des identifiants de connexion pour se connecter au réseau social Facebook. Ces applications surnommées GhostTeam – généralement du type « utilities », tels qu’un scanner de code QR ou des outils de téléchargement de vidéos depuis des réseaux sociaux – auraient été mises en ligne en avril 2017 par une seule source anonyme, vraisemblablement vietnamienne. Au cours du téléchargement d’une application du type GhostTeam, l’utilisateur serait encouragé à activer la fonction « administrateur d’appareil ». Par la suite, il recevrait une notification de vérification de son compte Facebook durant laquelle un code malveillant serait injecté dans son « client WebView » (un logiciel permettant la visualisation de sites Web au sein des applications Android) collectant ainsi ses identifiants de connexion Facebook. Le malware semble cibler particulièrement les victimes localisées en Inde, Indonésie, Brésil, Vietnam et Philippines.

Multisectorielle

Des hôpitaux et des sites officiels américains ciblés par le ransomware SamSam
Le ransomware SamSam aurait ciblé de nombreuses infrastructures publiques américaines, ainsi que des hôpitaux et des entreprises ICS (Industrial Control System), entraînant un blocage de l’ensemble des fichiers et ressources des réseaux impactés. La méthode des pirates du ransomware SamSam serait de scanner Internet afin de détecter les ordinateurs ayant une connexion RDP ouverte, puis d’y pénétrer par brute force, forçant ainsi les points d’accès ouverts à se propager sur les autres ordinateurs du même réseau. Le message de rançon et les extensions de SamSam varieraient en fonction des attaques et des cibles. Cette fois-ci, ce serait la version utilisant le message de rançon intitulé « oooo-SORRY-FOR-FILES.html » qui aurait été utilisée. Cette version aurait également infecté au moins huit entités depuis le 26 décembre 2017. Parmi les hôpitaux ciblés, l’hôpital Hancock Health aurait reconnu avoir payé une rançon d’un montant de 55 000 dollars. Les attaquants posséderaient déjà 26 Bitcoins, soit près de 300 000 dollars. Les chercheurs recommandent de sécuriser les ordinateurs avec un mot de passe fort et unique afin d’empêcher les malware tels que Samsam de pénétrer dans le réseau et le système dans un second temps.

Télécommunications

Bell Canada, victime d’une deuxième fuite de données en moins d’un an
L’un des principaux opérateurs de télécommunication canadien Bell Canada, a confirmé avoir été victime d’un piratage informatique ayant affecté près de 100 000 de ses clients. Ces derniers auraient reçu à ce sujet des notifications d’incidents de la part de la société canadienne. Le ou les pirates auraient accédé aux noms, adresses email, numéros de comptes et mots de passe des clients. Bell Canada a indiqué qu’il n’y avait actuellement aucune preuve d’un accès illégitime aux informations bancaires des clients concernés. Cet incident survient huit mois seulement après l’annonce d’un piratage informatique qui avait frappé 1,9 million de clients de Bell Canada.

Ecosystème Régional

 

Ecosystème chinois

Des similitudes entre une campagne de phishing en cours et APT Manlinghua
Le 360 Threat Intelligence Center a analysé cette semaine une campagne de phishing en cours, qui semble viser spécifiquement certains départements particulièrement clés et sensibles. Le rapport ne le précise pas directement, mais plusieurs éléments observés suggèrent qu’il s’agit d’entreprises chinoises du secteur pharmaceutique. Dans l’email reçu par les collaborateurs, les attaquants se font passer pour une assistance technique qui demande à la victime de vérifier son adresse email en cliquant sur un lien prétendument sécurisé, afin de récupérer les identifiants de connexion à sa messagerie. Une fois qu’ils ont accès à cette boite mail, ils l’utilisent pour diffuser facilement des charges malveillantes par email au sein de la société. Celles-ci se trouvent au sein d’un fichier exécutable nommé « mobisynce.exe », déguisé en un document Word intitulé « Technical Points for review » ou une image jpeg « me at clinic ». C’est cette dernière pièce jointe qui a particulièrement attiré l’attention des chercheurs. En effet, cette image et une partie du code associé a déjà été utilisé par le groupe APT « Manlinghua » (qui peut se traduire littéralement par « fleur grimpante et vivace »). Ce groupe aurait démarré ses activités en novembre 2013 en Chine, et aurait mené une campagne de phishing virulente contre des administrations et entreprises publiques chinoises (dans l’industrie et les télécommunications) en octobre 2016. Pour Helios Team (unité rattachée à l’éditeur d’antivirus Qihoo 360), qui avait publié un rapport sur Manlinghua en novembre 2016, ce groupe de pirates est étranger et pourrait être l’auteur de l’attaque « BITTER » contre le Pakistan détectée par Forcepoint en octobre 2016.

Individus & Groupes

Groupe « 123 »
Les analystes du groupe Cisco’s Talos auraient relevé pas moins de six campagnes massives d’attaques via des malwares, perpétrées par un même groupe de pirates nord-coréen et principalement dirigées vers des cibles sud-coréennes. Parmi ces attaques, trois d’entre elles auraient été permises par l’installation d’un Cheval de Troie intitulé « Rokrat ». En effet, le Hangul Word Processor, une alternative coréenne de Microsoft Word, aurait été détournée de façon malveillante afin de permettre l’intrusion.
Le succès des activités du groupe « 123 » serait dû en partie à la réactivité des pirates concernant l’exploitation des failles. Ainsi, certaines attaques auraient été lancées moins d’un mois après la découverte officielle d’une vulnérabilité. Par ailleurs, le panel de possibilités s’offrant au groupe de pirates pourrait être encore renforcé en 2018, d’après les spécialistes sécurité de Talos.

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !