La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

Finance : une variante du malware bancaire Zeus frappe l’Ukraine et les Etats-Unis
Des utilisateurs russes et chinois visés par un malware sur mobile
Le site de l’entreprise BlackBerry exploité pour miner de la cryptomonnaie
La confidentialité des conversations WhatsApp compromise
Les utilisateurs d’Android sous la menace du malware LightsOut et du premier malware codé en Kotlin
Découverte d’une vulnérabilité présente depuis deux ans au sein de l’application portefeuille d’Electrum
Jeux Olympiques d’hiver : les campagnes de phishing à destination des instances organisatrices se multiplient
Des informations sur des menaces informatiques provenant de nos sources chinoises
Focus sur le groupe « Turla APT » qui a développé une nouvelle technique d’attaque pour tromper ses victimes
Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !Menaces Sectorielles

Finance

L’Ukraine frappée par une variante du malware bancaire Zeus
La société Talos a détecté une nouvelle variante du malware bancaire Zeus qui aurait été utilisée lors d’une attaque lancée en août 2017, pendant la période de commémoration du jour de l’Indépendance en Ukraine (autour du 24 août). La charge aurait été distribuée via une campagne de spam : les emails malveillants contenaient une archive ZIP avec un fichier Javascript servant de downloader. Talos aurait observé que le domaine appartenant à la société de développement de logiciels de comptabilité Crystal Finance Millenium aurait été compromis pour distribuer la charge malveillante, le ransomware PSCrypt. Les victimes de l’attaque seraient majoritairement localisées en Ukraine et aux Etats-Unis.
En savoir plus

Un malware mobile vise des utilisateurs russes et chinois
Trend Micro a indiqué avoir détecté une famille de malware baptisée FakeBank ciblant plusieurs banques russes (Sberbank, Letobank, VTB24 bank entre autres). Le malware se camouflerait au sein d’applications mobiles relatives à des outils de gestion SMS et MMS. En réalité, l’application, si elle est installée, serait capable d’intercepter les SMS de la victime, notamment les notifications de sécurité envoyées par les banques au moment des transactions. Le malware serait également en mesure de collecter les données de la victime (numéro de téléphone, liste des applications bancaires installées sur le mobile, solde des comptes enregistrés auprès de ces applications etc) et de les communiquer au serveur de commande et contrôle (C&C) des attaquants. C’est en Russie et en Chine que le malware se serait le plus largement diffusé selon Trend Micro.
En savoir plus

Télécommunications

Le site de l’entreprise BlackBerry exploité pour miner de la crytpomonnaie
Le 6 janvier dernier, un utilisateur de la plateforme communautaire Reddit a indiqué que le site officiel de la marque BlackBerry exploiterait le code Javascript Coinhive, utilisé par certains sites pour miner de la cryptomonnaie Monero à l’insu des utilisateurs. Le code malveillant aurait depuis été retiré du site, et BlackBerry a affirmé par ailleurs que, seul le site blackberrymobile.com aurait été touché. D’après un commentaire relatif au post Reddit, le site de BlackBerry aurait été piraté via l’exploitation d’une vulnérabilité présente dans le logiciel e-commerce Magento.
En savoir plus

Réseaux sociaux

Application WhatsApp : une faille permettrait d’espionner les conversations des utilisateurs
Des experts allemands de l’Université de la Ruhr ont publié le 6 janvier dernier une analyse technique montrant une faille de sécurité sur l’application WhatsApp. Il s’agirait d’une faille permettant à n’importe qui ayant le contrôle sur les serveurs de WhatsApp d’ajouter un utilisateur, sans permission supplémentaire, dans un groupe de discussion privé. Une fois ajouté au groupe, l’utilisateur recevrait automatiquement les clés de chiffrement de la conversation de tous les participants, ce qui lui permettrait d’avoir accès à l’ensemble des messages échangés au sein du groupe. Les chercheurs allemands indiquent avoir averti WhatsApp de cette faille en juillet dernier. Le Responsable de la sécurité de Facebook (propriétaire de WhatsApp) a indiqué le 10 janvier dernier, via Twitter, avoir conscience du problème, assurant que l’ensemble des moyens de vérification permettant d’assurer la confidentialité des conversations est bien mis en œuvre.
En savoir plus

Numérique

Le malware Android LightsOut présent dans une vingtaine d’application et téléchargé plus d’1,5 million de fois
Les chercheurs Check Point ont annoncé avoir découvert un malware Android capable de contourner les réglages de l’utilisateur afin de lui envoyer en masse des publicités. Baptisé LightsOut, ce logiciel publicitaire « adware » générerait des revenus publicitaires via l’affichage intempestif de publicités, et obligeait l’utilisateur à cliquer sur les publicités pour pouvoir accéder aux différentes fonctions et applications de son smartphone. Le script de LightsOut intègre deux fonctionnalités pouvant être déclenchées par un serveur une fois l’application hôte activée : la première cacherait l’icône de l’application après son installation rendant ainsi sa suppression plus difficile, tandis que la deuxième fonctionnalité offrirait à l’utilisateur la possibilité de désactiver les publicités. Néanmoins, cette dernière fonctionnalité semble erronée car les publicités s’afficheraient de façon intempestives sous forme de pop-up. Selon Check Point, le malware LightsOut serait présent au sein de 22 applications du Google Play Store et aurait été téléchargé entre 1,5 et 7,5 millions de fois avant son retrait.

En savoir plus

Le premier malware codé en Kotlin découvert par Trend Micro
Trend Micro a annoncé avoir découvert un nouveau malware Android nommé Androidos_Bkotklind.Hrx, qui serait le premier malware codé avec le langage de programmation Kotlin. Le malware serait parvenu à s’introduire dans le Google Play Store au sein d’une application baptisée Swift Cleaner, application destinée à nettoyer et optimiser son appareil Android. L’application aurait été téléchargée entre 1 000 et 5 000 fois et permettrait aux attaquants de faire de la fraude aux clics, d’exécuter des commandes à distance, de collecter des informations sur la victime et de la faire souscrire à un service SMS premium afin de dérober ses informations bancaires.
En savoir plus

Découverte d’une vulnérabilité présente depuis deux ans dans l’application portefeuille d’Electrum
Une vulnérabilité a été détectée au sein de l’application Electrum, utilisée par les sites de crytpomonnaies pour stocker du bitcoin. La faille concernerait l’interface JSONRPC qui permet aux développeurs d’Electrum d’ouvrir l’application à d’autres logiciels. L’interface en question aurait été laissée exposée sur Internet, permettant ainsi aux attaquants d’interagir avec elle et d’exécuter ensuite les commandes nécessaires pour transférer les fonds d’un portefeuille Electrum. L’équipe d’Electrum a publié un correctif (version 3.0.5) et a alerté ses utilisateurs sur la nécessité de mettre à jour au plus vite leur portefeuille Electrum.
En savoir plus

Sport

Des campagnes de phishing ciblent les organisations participantes aux JO de Pyongyang
A quelques semaines du lancement des jeux olympiques d’hiver qui se dérouleront du 9 au au 25 février prochain, McAfee a indiqué avoir détecté une campagne de phishing ayant pour but de collecter des informations sensibles et financières. Depuis le 22 décembre, de nombreux groupes liés aux JO par leur activité (sponsors, gestionnaires d’infrastructures non cités) ont été ciblés par cette campagne d’attaque lancée depuis des adresses email usurpant des instances officielles comme le Centre de Lutte Anti-Terroriste (NCTC) de Corée du Sud. Le message, contenant des informations relatives à des exercices anti-terroristes fictifs, serait agrémenté d’un document en coréen intitulé « Organisé par le Ministère de l’Agriculture, de la Forêt et les Jeux Olympiques d’hiver de Pyongyang ». Cette campagne de phishing serait opérée depuis Singapour. Une fois que le document contenu dans la pièce jointe aurait été téléchargé par la victime, l’attaquant pourrait exécuter des commandes sur la machine de celle-ci et y installer des malwares. D’après les analystes de McAfee, ce type de cyberattaque serait amenée à augmenter significativement dans les prochaines semaines, en raison de la tenue des Jeux Olympiques.
En savoir plus

 

Ecosystème Régional

Ecosystème chinois

APT-C-27 ou « Golden Hamster »
Le 360 Threat Intelligence Center, une division de la société chinoise 360 Enterprise Security, a publié le 4 janvier 2018 un rapport sur un groupe de pirates qui mènerait des attaques informatiques organisées ciblant la Syrie depuis novembre 2014. Le groupe a été baptisé APT-C-27 ou « Golden Hamster » (traduction non-officielle), en référence à un petit rongeur aussi surnommé le « hamster syrien ». Les techniques employées par le groupe seraient devenues de plus en plus élaborées dans le temps. En effet, « Golden Hamster » aurait adopté progressivement Facebook pour attirer des internautes en diffusant des « fake news » et ainsi réaliser des attaques par point d’eau. APT-C-27 se serait également mis à intégrer de plus en plus les systèmes mobiles dans ses attaques, passant de la simple utilisation d’AndroRAT à l’utilisation de plusieurs outils d’administration à distance. Depuis 2017, le groupe aurait également recours à des backdoors Javascript. A ce jour, les experts de 360 (qui ont détecté de premières traces d’APT-C-27 en juin 2016), ont identifié 29 terminaux Android, 55 ordinateurs sous Windows et 9 domaines de commande et contrôle (C&C) utilisés par le groupe. Les chercheurs ont également observé que les pirates utilisaient des pseudonymes et expressions en arabe, mais n’auraient à ce stade, pas plus d’information sur le pays d’origine des attaquants.
Source

Individus & Groupes« Turla APT »
Les chercheurs de la société ESET ont publié une analyse sur une campagne d’attaques qui aurait été menée par le groupe de cyber espionnage Turla, probablement d’origine russe. Les attaques auraient été lancées contre des membres de consulats et d’ambassades implantées en Europe de l’Est. C’est avant tout le mode opératoire des attaquants qui aurait attiré l’attention de la société ESET. En effet, pour infecter ses victimes, le groupe Turla aurait distribué une backdoor MacOS embarquée dans un programme Adobe Flash téléchargé sur la machine de la victime depuis une adresse IP appartenant à Akamai, le CDN utilisé par Adobe. ESET affirme qu’Adobe n’a toutefois pas été compromis. Turla aurait utilisé une application Web hébergée sur Google Apps Script pour son serveur de commande et contrôle.
En savoir plus

 

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !