La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

Un malware diffuse des publicités à caractère sensible au sein d’applications pour enfants
Des utilisateurs Mac visés par le malware MaMi
Un problème de configuration des processeurs Intel permet de disposer d’une porte dérobée
Un malware Android détecté au sein d’une vingtaine d’applications
KkyGoFree, un spyware ultra-puissant cible les utilisateurs Android
Des failles dans BitTorrent permettent aux pirates de prendre le contrôle total des ordinateurs des victimes
Zyklon : le malware qui exploite les vulnérabilités Microsoft Office
Une variante de Mirai prend pour cible les processeurs des IoT
KillDisk : une nouvelle variante du malware vise des institutions financières en Amérique latine
BlackWallet piraté, l’équivalent de 400 000 dollars dérobé
Le site de la marque OnePlus victime d’une attaque et d’une fuite de données bancaires
Des informations sur des menaces informatiques provenant de nos sources arabes et chinoises
Focus sur le groupe « The Turkish cyber army »
Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !Menaces Sectorielles

Numérique

Un malware se dissimule au sein d’une soixantaine d’applications pour enfants
Les chercheurs de Check Point ont annoncé, le 12 janvier dernier, avoir découvert un nouveau code malveillant sur le Google Play Store, dissimulé dans près de soixante applications Android, presque toutes destinées à un public jeune. Baptisé AdultSwine, le malware déclencherait des « pop-ups » à caractère pornographique. Les chercheurs précisent que le malware ferait aussi croire aux utilisateurs que leurs smartphones seraient infectés et les orienterait ainsi vers des fausses applications de sécurité et des services payants. Les applications qui embarquent AdultSwine auraient été téléchargées entre trois et sept millions de fois. Les applications piégées ont depuis été retirées du Google Play Store.
En savoir plus

Un nouveau malware vise les utilisateurs Mac et intercepte le trafic des victimes
Le chercheur en sécurité informatique Patrick Wardle, a indiqué, via le forum Malwarebytes, avoir détecté un nouveau malware visant les utilisateurs Mac. Baptisé MaMi, le malware installerait un certificat root et modifierait les adresses DNS utilisées par le Mac, ce qui permettrait à un pirate de réaliser une attaque « man in the middle » (homme du milieu) et ainsi de récupérer les identifiants et les mots de passe de l’utilisateur, insérer de la publicité, installer des scripts de minage de cryptomonnaie, ou encore prendre des captures d’écran et exécuter des commandes. Patrick Wardle conseille de réinstaller les MacOs ou bien d’attendre les mises à jour des antivirus afin d’être en mesure de détecter le malware MaMi.
En savoir plus

Les processeurs Intel impactés par un problème de configuration
La société F-Secure a publié le 12 janvier dernier un rapport détaillant une nouvelle vulnérabilité présente au sein des processeur Intel. Il s’agirait d’un défaut de configuration dans le système Intel Active Management Technology AMT (un composant intégré aux processeurs Intel de classe « entreprise » destiné à l’administration à distance). L’interface AMT d’un système est accessible au démarrage de la machine, par défaut, elle est seulement protégée par le mot de passe « admin ». Un attaquant disposant d’un accès physique à une machine serait donc en mesure d’accéder à cette interface et d’activer les fonctionnalités d’administration à distance pour disposer d’une porte dérobée sur le système.
En savoir plus

KkyGoFree, un spyware puissant qui vise les utilisateurs des appareils Android
Les chercheurs de Kaspersky Lab ont publié le 16 janvier dernier une analyse technique détaillant le fonctionnement d’un spyware ciblant les smartphones Android. Baptisé SkyGoFree, le spyware offre aux pirates 48 fonctionnalités activables à distance en envoyant des commandes via http, XMPP, SMS, etc. Le spyware peut prendre des photos, enregistrer des vidéos, récupérer le journal des appels, les SMS, des données du calendrier, ainsi que des informations stockées dans la mémoire du smartphone. SkyGoFree peut également enclencher automatiquement l’enregistrement d’une conversation dès que la victime pénètre dans une zone géographique prédéfinie, et forcer le smartphone infecté à se connecter à un réseau WiFi choisi par les pirates. L’infection des victimes semblent souvent se faire depuis de faux sites web d’opérateurs mobiles. Selon les chercheurs de Kaspersky Lab, SkyGoFree aurait été créé par une société informatique italienne spécialisée dans la vente de produits de surveillance et les seules cibles recensées pour l’instant sont toutes localisées en Italie.
En savoir plus

Des failles dans un client BitTorrent permettraient aux pirates un prise de contrôle total d’ordinateurs
Une équipe d’ingénieurs du Google aurait découvert une faille critique dans l’application Transmission BitTorrent (Windows, Linux et Mac) qui pourrait donner aux pirates un contrôle complet des ordinateurs des utilisateurs. La faille, annoncée le 15 janvier dernier, permettrait aux pirates d’exécuter une attaque « DNS Rebinding » qui force les ordinateurs à accepter les demandes via le port 9091 provenant de sites malveillants, ainsi que l’exécution de code à distance. Transmission BitTorrent a depuis publié un correctif.
En savoir plus

Des vulnérabilités de Microsoft Office utilisée pour propager le malware Zyklon
Les chercheurs de « FireEye » auraient découverts que des vulnérabilités de Microsoft Office, récemment dévoilées, auraient été utilisées pour propager le malware Zyklon. Ce dernier aurait déjà été observé une première fois début 2016, et offrirait de nombreuses capacités différentes. En effet, Zyklon permettrait, entre autres, d’enregistrer, de récupérer des mots de passe, de télécharger et d’exécuter des plugins supplémentaires, et de mener des attaques de déni de service distribuées sur les machines infectées grâce à une porte dérobée. Le minage de cryptomonnaie serait également dans sa configuration. Dernièrement, c’est en exploitant des vulnérabilités de Microsoft Office (telles qu’un fichier DOC ayant un objet OLE, qui, lors de son exécution, télécharge un fichier DOC supplémentaire et non autorisé) que les pirates auraient réussi à propager le malware Zyklon sur les machines impactées par cette vulnérabilité. Les chercheurs précisent qu’ils sont capables de reconnaître et de bloquer cette menace, désormais identifiée.
En savoir plus

IoT

Les objets IoT pris pour cible d’une variante de Mirai, via leur processeur ARC
Des chercheurs de « MalwareMustDie » auraient récemment découvert une variante du malware Mirai, appelée Mirai Okiru, et qui aurait la particularité de cibler directement les processeurs ARC en les infectant de manière à atteindre les objets IoT, premiers « utilisateurs » de ces processeurs. Potentiellement, ce nouveau botnet pourrait engendrer, selon les chercheurs, des conséquences dévastatrices dans la mesure où les objets IoT font partie intégrante du quotidien de plusieurs centaines de millions d’utilisateurs. Dans ces conditions, les millions d’IoT vulnérables pourraient servir de point de départ d’une cyberattaque de grande envergure. La variante Mirai Okiru aurait, en outre, la particularité d’être codée en deux parties distinctes, contrairement au botnet d’origine Mirai Satori. Cela permettrait au botnet d’être totalement indétectable par les différents logiciels antivirus. Les chercheurs affirment toutefois avoir mis en place un règle afin de stopper la propagation de ce malware au sein des processeurs ACR.
En savoir plus

Finance

Une nouvelle variante de KillDisk cible les machines Windows d’organisations financières d’Amérique Latine
Les chercheurs de « TrendMicro » auraient récemment découvert l’existence d’une variante du malware d’effacement de disque dur KillDisk, qui ciblerait les organisations financières d’Amérique Latine. Il appartiendrait à la catégorie des « Troj-Killdisk.iub ». La particularité de cette variante est qu’elle posséderait un processus d’autodestruction des chemins d’accès empruntés, de sorte qu’il s’avérerait difficile de le détecter. De plus, les chercheurs précisent que ce malware effacerait également tous les fichiers stockés sur les disques durs des machines infectées, à l’exception des fichiers système et des dossiers. Les chercheurs affirment enfin que les investigations seraient toujours en cours pour tenter de découvrir l’origine de ce malware, toutefois, ils précisent que des mesures auraient déjà été prises afin de bloquer toutes tentatives d’intrusions ou d’attaques liées à cette menace.
En savoir plus

Des pirates détournent le serveur DNS de BlackWallet et volent l’équivalent de 400,000 dollars
Le site BlackWallet.co, une application Web permettant aux utilisateurs de gérer la cryptomonnaie Stellar Lumens « XLM » aurait été piratée le 14 janvier dernier. Le serveur DNS octroyant aux membres l’entrée sur le site aurait été détourné par les attaquants afin de rediriger les victimes vers leur propre serveur. D’après Bleeping Computer, 669 920 Lumens auraient ainsi été dérobés, soit 400 192 dollars. Afin d’effacer les traces du vol, les pirates auraient transféré les fonds vers la plateforme d’échange de cryptomonnaies Bittrex afin de convertir les fonds dans une autre cryptomonnaie.
En savoir plus

 

Télécommunications

Les clients du site de la marque OnePlus ciblés par une fraude bancaire
La marque chinoise de mobile aurait récemment reconnu avoir fait l’objet d’une cyber attaque par l’intermédiaire de son site Internet. En effet, ce dernier contiendrait des vulnérabilités susceptibles d’être exploitées de façon malveillante. La fraude consisterait à usurper les données bancaires des clients afin d’effectuer des achats de produits. De plus, un rapport d’enquête de l’entreprise de sécurité Fidus mettrait en cause l’outil de paiement intégré Magento comme étant responsable de l’interception des données bancaires. De son côté, la société OnePlus, contesterait l’hypothèse d’une fuite massive via Magento mais reconnaitrait cependant l’existence d’une faille permettant d’extraire certaines données bancaires et de les détourner dans le but d’effectuer des achats malveillants. Face aux mécontentement et aux inquiétudes des clients, OnePlus aurait temporairement révoqué le paiement par carte bancaire sur son site Internet afin de se prémunir contre toutes nouvelles fraudes.
En savoir plus

Ecosystème Régional

Ecosystème moyen-oriental

« Dark Caracal »: une vaste opération de cyberespionnage cible le moyen-orient
La société de sécurité mobile Lookout et le groupe de défense des droits numériques Electronic Frontier Foundation (EFF) ont publié le 18 janvier dernier un rapport détaillant dix campagnes d’espionnage qui auraient été menées par la direction générale de la sécurité générale du Liban (GDGS) depuis au moins 2012, et visant les utilisateurs de smartphones Android dans au moins 21 pays. Les attaquants, surnommés « Dark Caracal » par les auteurs du rapport, auraient utilisé des attaques de phishing pour inciter les victimes à télécharger des fausses versions d’applications de messagerie chiffrées, notamment WhatsApp. Les chercheurs auraient trouvé des preuves techniques reliant les serveurs utilisés par les pirates au bureaux de la GDGS à Beyrouth en localisant les réseaux Wi-Fi et l’adresse de protocole Internet dans ou à proximité du bâtiment. Une fois le malware installé sur le smartphone de la victime, les pirates pourraient prendre des photos, activer le microphone, enregistrer les conversations, accéder aux contacts, aux dossiers média et aux conversations chiffrées. Lookout aurait profité de l’incapacité de « Dark Caracal » à sécuriser leurs propres serveurs de commande et de contrôle (C&C) et aurait découvert ainsi des centaines de giga-octets de données dérobées sur les smartphones des victimes. Les données collectées comportaient des SMS, des contacts, des conversations chiffrées, ainsi que des documents audio et vidéo. « Dark Caracal » aurait visé les responsables gouvernementaux, les militaires, les services publics, les institutions financières, les entreprises manufacturières et les entrepreneurs de la défense implantés au Moyen-Orient.

Ecosystème chinois

Plusieurs petits groupes malveillants interpellés en Chine
Des gouvernements locaux ont rapporté cette semaine avoir procédé à l’arrestation de pirates. La police de la ville de Chengdu a annoncé avoir été à l’initiative d’une enquête ayant conduit à l’arrestation d’un groupe de quatre jeunes hommes, tous nés dans les années 90, qui avaient arrêté les études après le collège et étaient autodidactes en informatique. Habitant quatre villes différentes, ils s’étaient rencontrés en ligne, échangeant des techniques dans un groupe QQ commun. Ils ont finalement décidé de collaborer pour exploiter la vulnérabilité d’un site et récupérer les données personnelles et bancaires de ses utilisateurs. Au moment de leur interpellation, les autorités ont trouvé une cinquantaine de téléphones, une trentaine de cartes bancaires et une vingtaine de comptes en ligne leur appartenant. Ils avaient réalisé environ 250 000 yuans de profit (presque 32 000 euros). Dans la province du Hebei, la police a procédé à l’arrestation de trois hommes (M. Zhao, M. He et M. Wu), qui se sont introduits dans les systèmes d’une administration publique locale pendant l’été 2017. Le groupe aurait ensuite utilisé cet accès pour falsifier et revendre des documents d’identité. Enfin, les forces de l’ordre de la province du Hebei ont quant à elles mis à jour les méthodes illégales utilisées par une société nommée « Yangzhou Ganyou Internet » pour optimiser le référencement de ses clients sur le moteur de recherche Baidu. Les enquêteurs sont partis de liens vers des sites vendant de fausses cigarettes qui arrivaient particulièrement haut dans les résultats. Depuis juin, 26 personnes impliquées ont été arrêtées et 80 serveurs saisis.

 

Individus & GroupesLes comptes Twitter des anciens commentateurs de Fox News piratés par la « Cyber armée turque »
Le 16 janvier 2018, les comptes Twitter appartenant aux anciens commentateurs politiques de la chaîne de télévision Fox News Channel, Greta Van Susteren et Eric Bolling, auraient été piratés par un groupe identifié comme la « Cyber armée turque ». Les pirates, qui se revendiqueraient comme de fervents partisans du Président turc Recep Tayyip Erdogan, auraient publié une dizaine de tweets en soutien de l’armée et du gouvernement turcs, accompagnés d’une série de menaces et de citations d’Erdogan. De même, le groupe aurait révoqué les vérifications Twitter sur les deux comptes, avant de publier des condamnations de la persécution des musulmans dans le monde entier, (notamment par les Etats-Unis). Le choix des victimes du piratage semble être lié au fait que les deux commentateurs figurent parmi les 45 comptes suivis par le Président des Etats-Unis, Donald Trump. Les pirates auraient également utilisé les comptes compromis pour envoyer plusieurs messages directement à Donald Trump. Greta Van Susteren aurait repris le contrôle de son compte, mais celui d’Eric Boiling serait toujours compromis.

En savoir plus

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !