La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Faille de sécurité majeure : les processeurs Intel en cause
  • La fin d’année 2017 marquée par une campagne massive de ransomwares
  • Le réseau interbancaire SWIFT à nouveau visé par les pirates : une banque russe victime
  • Plusieurs milliers de données bancaires exposées
  • Le malware bancaire LockPoS développe une nouvelle technique d’injection
  • Menaces sur les IoT : des enceintes connectées Bose et Sonos vulnérables
  • La marque Forever 21 confirme le vol de données bancaires sur ses terminaux de point de vente
  • Les utilisateurs d’Android sous la menace d’une fausse application Uber
  • Des informations sur des menaces informatiques provenant de nos sources chinoises
  • Focus sur le groupe « Anonymous Italia » qui a piraté une base de données appartenant à la police

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Menaces Sectorielles

Multisectoriel

Les processeurs Intel touchés par une faille de sécurité
Des chercheurs de Google ainsi que d’autres chercheurs universitaires ont divulgué le 3 janvier dernier un défaut de conception dans les processeurs Intel. Situé au niveau matériel, il touche tout système d’exploitation s’exécutant sur une machine dotée d’un processeur Intel. Le défaut concerne la gestion de la mémoire du système, et permettrait à des programmes non-privilégiés d’accéder à des zones mémoires normalement protégées et réservées au noyau du système d’exploitation. Un attaquant pourrait accéder arbitrairement à la mémoire d’un système et élever ses privilèges ou en extraire des informations techniques (identifiants d’utilisateurs connectés, clés privées de certificats, etc.). Ces vulnérabilités ont été exploitées pour développer deux attaques, baptisées Meltdown et Spectre. La première affecte exclusivement les processeurs Intel et permet à un utilisateur non-privilégié sur le système de lire arbitrairement la mémoire réservée au noyau du système d’exploitation. Tandis que la deuxième, elle, touche les processeurs Intel, ARM et AMD et permet à un utilisateur non-privilégié d’accéder à l’espace mémoire d’autres applications exécutées sur le système. L’exécution de ces attaques nécessite un accès authentifié aux systèmes vulnérables. Les failles peuvent être corrigées au niveau du système même si elles proviennent d’un défaut matériel. Dans le pire des cas, les correctifs proposés auraient un impact sur les performances des systèmes, d’environ 30%.
En savoir plus : ici et
Retour du botnet Necurs : des ransomwares distribués massivement via une campagne de spam
La société AppRiver, fournisseur de solutions de messagerie et sécurité électronique a indiqué via son blog avoir bloqué une campagne de ransomware massive en provenance du botnet Necurs. Necurs est connu pour avoir servi à diffuser des malwares tels que Dridex, ou Trickbot. En l’occurrence, celui-ci aurait été exploité entre le 19 et le 29 décembre 2017 pour distribuer les ransomwares Locky et GlobeImposter à l’aide d’emails contenant un fichier VBscript malveillant. Au total, AppRiver affirme avoir stoppé entre 20 et 49 millions d’emails malveillants par jour à destination de ses clients pendant la période mentionnée.
En savoir plus

Finance

Le réseau interbancaire SWIFT à nouveau visé par les pirates
D’après l’agence de presse Reuters, des pirates auraient tenté de dérober près de 55 millions de roubles russes (soit environ 800 000 euros) à la banque russe Globex via le piratage de son réseau SWIFT.  D’après le président de la banque, qui a affirmé qu’aucun client n’aurait été impacté par l’attaque, les pirates auraient lancé leur tentative durant la semaine du 11 au 15 décembre 2017. Ces derniers ne seraient  parvenus qu’à collecter 10% du montant visé, soit 80 000 euros. Il n’y a pas d’information sur l’acteur à l’origine de l’attaque.
En savoir plus
Une base de donnée piratée, des milliers de données bancaire exposées
Le site Thefly.com, qui propose des abonnements donnant accès aux dernières actualités boursières, aurait été piraté début janvier. Un pirate, connu sous le pseudonyme « @ox55Taylor », aurait publié sur Twitter des captures d’écrans du piratage, exposant ainsi publiquement plus de 27 000 cartes bancaires, avec le nom du titulaire, son adresse et la date d’expiration de la carte. Toutefois, il semblerait que les données bancaires exposées soient relativement anciennes, les dates d’expiration allant de 2006 à 2015. Le pirate aurait profité de la vulnérabilité d’un autre site, lui permettant d’accéder à la base de données du site Thefly.com, ainsi qu’à sept autres sites sans lien spécifique entre eux. Il aurait alors pu récupérer les données grâce à l’injection d’un fichier, intitulé « theflyonthewall.com.sql ». A l’heure actuelle, il n’y aurait eu aucun commentaire de la part du site piraté. Par ailleurs, « ox55Taylor » affirme que la base de données aurait été supprimée.
En savoir plus
LockPoS, le malware qui vise les terminaux de points de vente 
Les chercheurs de Cyberbit ont publié le 3 janvier dernier une analyse technique détaillant le fonctionnement d’un malware de points de vente capable de voler les données bancaires. Baptisé LockPoS, ce malware lit la mémoire des processus en cours d’exécution sur les systèmes informatiques attachés aux terminaux des points de vente, cherchant des données bancaires. Une fois détectées, ces données seraient envoyées aux serveurs C&C (commande et contrôle). LockPoS serait distribué via un botnet et disposerait d’une nouvelle technique d’injection, rendant difficile sa détection par les antivirus. Cette nouvelle technique d’injection profiterait d’une particularité de Windows 10. En effet, les produits antivirus surveillent déjà les fonctions de Windows en mode utilisateur, tandis que l’espace noyau est toujours protégé sous Windows 10, ce qui rend les moteurs de détections de malwares inefficaces. LockPoS serait capable de créer une autre zone mémoire où il copie son code malveillant, cherche dans l’espace mémoire du processus ciblé une zone en écriture et exécutable, et copie son payload dans sa nouvelle section pour effectuer ses actions malveillantes.
En savoir plus

IoT

Des milliers d’enceintes sans fil vulnérables
Des chercheurs de Trend Micro ont démontré que les modèles d’enceintes sans fil Bose SpeedTouch et Sonos Play:1 seraient affectés par des vulnérabilités qui, elles sont exploitées, pourraient permettre à des attaquants, de jouer n’importe quelle musique à l’insu de l’utilisateur. Il suffit aux attaquants de scanner Internet afin de détecter les modèles vulnérables puis d’accéder au réseau de la victime auquel est connectée l’enceinte. Les acteurs malveillants pourraient ensuite communiquer avec l’API des applications musicales (Spotify, Pandora ou autre) reliées à l’enceinte. Les experts de Trend Micro auraient détecté entre 2 500 et 5 000 appareils Sonos vulnérables contre 400 à 500 enceintes Bose.
En savoir plus

Prêt-à-porter

Le magasin Forever 21 victime d’un piratage et d’un vol de données bancaires
La chaîne de prêt-à-porter américaine Forver 21 avait annoncé en novembre dernier avoir été victime d’un piratage sur ses terminaux de points de vente (POS pour Point of Sales). Dans un communiqué récent, la chaîne américaine a donné plus de détails sur l’attaque. Il semblerait qu’un malware ait été installé sur les terminaux bancaires de nombreux magasins, ce qui aurait permis aux pirates de récupérer les données bancaires des clients, à savoir le numéro de la carte bancaire, sa date d’expiration, le code de vérification, et parfois le nom du titulaire. Alors que les investigations seraient toujours en cours, Forever 21 affirme que le malware aurait été activé sur les terminaux bancaires entre le 3 avril et le 18 novembre 2017. La compagnie précise également que les paiements effectués depuis le site Internet et depuis les filiales du groupe à l’étranger n’auraient pas été impactés par cet incident.
En savoir plus

Numérique 

Uber : un malware cible les utilisateurs de l’application Android
La société américaine Symantec, spécialisée dans les logiciels informatiques, a révélé l’existence d’un malware qui ciblerait les utilisateurs Android de l’application Uber. Le malware, qui appartient à la catégorie des « fake app » (fausse application) imiterait l’interface de connexion de l’application Uber. Le virus serait conçu de façon à dérober les identifiants des utilisateurs, avant de rediriger ces derniers vers la page d’accueil de l’application officielle. La société à l’origine de cette découverte recommande aux utilisateurs Android d’Uber d’installer une application anti-malware fiable. Uber, de son côté, avertit ses clients, en leur préconisant d’éviter de télécharger l’application Uber provenant de sites non officiels ou de sources inconnues. En outre, la société de service affirme que le nombre d’utilisateurs impactés par ce malware serait « limité et essentiellement situé dans des pays russophones« . Toujours selon la firme, des mesures auraient d’ores et déjà été prises afin de sécuriser les comptes de l’ensemble des utilisateurs.
En savoir plus

 

Ecosystème Régional

Ecosystème chinois

Le secteur du tourisme hongkongais à nouveau victime de ransomwares
Après WWPKG Holdings en novembre 2017, ce sont deux autres agences de voyage hongkongaises qui seraient victimes d’un piratage en ce début d’année : Big Line et Gold Joy. A ce stade, la police n’est pas certaine que le même groupe soit derrière les attaques contre ces deux nouvelles sociétés, néanmoins le mode opératoire est similaire : les auteurs ont eu accès à la base de données clients de l’agence et en ont verrouillé l’accès, avant d’adresser une demande de rançon, dont la somme serait un bitcoin (plus de 13 000 euros). Les données personnelles auxquelles ils ont eu accès sont notamment les noms des clients, leur numéro de pièce d’identité et leur numéro de téléphone. Big Line et Gold Joy ont signalé l’incident les affectant respectivement le mardi 2 et le mercredi 3 janvier.
Source

Individus & Groupes

« Anonymous Italia »
La police municipale de Pianura Reggiana, de la région de Correggio, aurait récemment confirmé avoir été victime d’une cyberattaque du groupe « Anonymous Italia ». Le groupe aurait accédé à la base de données radar à travers les logiciels internes de gestion de données « Concilia » et « Verbatel », avant de supprimer plus de 40 gigaoctet de billets d’amendes et de photographies de plaques d’immatriculation. « Anonymous Italia » aurait revendiqué l’attaque dans un message envoyé le 31 décembre 2017 à plusieurs journaux italiens, en utilisant pour diffuser cette revendication l’adresse email de la station de police attaquée et en joignant le message de 9 fichiers. Parmi ces derniers seraient inclus une capture d’écran d’une ligne de commande Windows témoignant d’un contrôle à distance de l’ordinateur appartenant à la police ciblé par la cyberattaque, ainsi qu’un fichier PDF exposant des échanges d’emails entre la police et des politiciens locaux sur la redistribution des profits provenant des amendes collectées. Aucune information sur le vecteur de la cyberattaque n’a été publiée, mais les enquêteurs privilégient une piste de campagne de phishing.
En savoir plus

 

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !