La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • Les terminaux de points de vente ciblés par un nouveau malware
  • Des services de ransomware à la demande en développement sur le réseau Tor
  • Finance : les distributeurs automatiques de billet visés, le malware TrickBot toujours actif
  • Deux nouvelles applications malveillantes détectées dans le Google Play Store
  • Une attaque par ransomware sur un hébergeur sud-coréen
  • Fuites de données : une marque de vêtement visée, les données de 198 millions de citoyens américains publiées
  • La liste des victimes WannaCry s’allonge : désormais Honda au Japon
  • Des informations sur des menaces informatiques provenant de nos sources arabes
  • Focus sur le groupe « FIN10″ et « Blacktech »
Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Les menaces sectorielles

Multisectorielle

Les terminaux de point de vente, cibles d’un nouveau malware

La société root9B a détecté un malware visant les terminaux de points de vente, et permettant d’exfiltrer des données bancaires de clients. Le malware en question a été baptisé POSLURP, et, d’après root9B, il serait actuellement utilisé pour cibler les terminaux de points de vente de plusieurs entreprises. Les tactiques, techniques et procédures des pirates qui utilisent ce malware ont été détaillées par root9B, qui a également partagé quelques indicateurs de compromission.

En savoir plus

 

Le ransomware à la demande sur le réseau Tor, un service malveillant croissant

La semaine dernière nous avions évoqué l’apparition du ransomware à la demande MacRansom ciblant les utilisateurs Mac et disponible sur le réseau Tor. Ce type de menace démontre une présence croissante sur ce réseau. Parmi les services de ransomware à la demande repérés par notre cellule de veille : Mordor ransomware, RaaSberry v1.3.0, Nemesis ransomware, X3M ransomware et Ranion.

 

Finance

Le malware Rufus impliqué dans des attaques contre des distributeurs automatiques de billets

Les autorités indiennes ont détecté plusieurs attaques contre des distributeurs automatiques de billets (DAB) dans plusieurs provinces du pays. La source de ces attaques serait un malware d’origine chinoise, baptisé Rufus et qui exploiterait des distributeurs automatiques fonctionnant avec des logiciels obsolètes pour procéder à leur compromission. En l’occurrence, tous les DAB ciblés fonctionnaient sous Windows XP.

En savoir plus

 

Le malware Trickbot toujours très actif

Au mois de juin, plusieurs sociétés (PhishMe, PwC, F5 Networks, IBM) ont détecté des campagnes de spam distribuant le malware bancaire Trickbot. Les emails envoyés contiennent des documents PDF en pièce jointe, dans lesquels sont incrustés des documents Word contenant une macro malveillante. Les emails auraient été distribués avec le botnet Necurs. D’après les analyses, Trickbot a connu des améliorations, ciblant non seulement une liste d’institutions financières plus longue mais également des organismes de paiement ainsi que des fournisseurs de logiciel de gestion relation client. La France figure parmi les pays les plus touchés, avec 10% des attaques lancées avec le malware en question.

En savoir plus

Numérique

Google Play Store : la liste d’applications malveillantes s’allonge

Deux applications (Magic Browser et Noise Detector) ont récemment été retirées du Google Play Store parce qu’elles distribuaient le malware Ztorg. Un chercheur de Kaspersky a découvert ces deux applications malveillantes qui auraient été téléchargées 60 000 fois au total. Ztorg aurait permis aux pirates d’envoyer des SMS surtaxés depuis les appareils infectés. Le malware est également capable de supprimer les messages arrivant. 

En savoir plus

 

Un hébergeur sud-coréen victime d’une attaque par ransomware

L’hébergeur sud-coréen Nayana a été victime le 10 juin dernier du ransomware Erebus qui vise les systèmes Linux. Les pirates sont parvenus à infecter 153 serveurs Linux ce qui a impacté plus de 3 400 sites Web hébergés par la société sud-coréenne. Nayana s’est résolu à payer la rançon, renégociée, exigée par les pirates afin de récupérer les données chiffrées, à raison d’environ 2,6 Bitcoins par serveur. Au total, l’entreprise a payé 1 million de dollars. 

En savoir plus

Industrie textile

Les clients d’une marque de vêtement américaine victimes d’une fuite de données bancaires

La marque de vêtement américaine The Buckle Inc. a confirmé vendredi 16 juin dernier qu’un malware sur ses terminaux de points de vente serait à l’origine d’une fuite de données bancaires. Les pirates auraient volé les informations figurant sur les bandes magnétiques des cartes bancaires des clients entre le 28 octobre 2016 et le 14 avril 2017. Ni le nombre de points de vente, ni le nombre de clients concernés n’ont été évoqués.

En savoir plus

 

Automobile

WannaCry continue de faire des victimes : une usine Honda ferme au Japon

Après l’attaque massive WannaCry il y a cinq semaines, la marque d’automobile Honda a été à son tour victime la semaine dernière du désormais célèbre ransomware. L’entreprise a effectivement été obligée de fermer un site de production entier au Japon après avoir découvert la présence du ransomware sur son réseau. La société a indiqué que les autres usines n’avaient pas été affectées par WannaCry.

En savoir plus

 

Politique

WannaCry continue de faire des victimes : une usine Honda ferme au Japon

Après l’attaque massive WannaCry il y a cinq semaines, la marque d’automobile Honda a été à son tour victime la semaine dernière du désormais célèbre ransomware. L’entreprise a effectivement été obligée de fermer un site de production entier au Japon après avoir découvert la présence du ransomware sur son réseau. La société a indiqué que les autres usines n’avaient pas été affectées par WannaCry.

En savoir plus

Ecosystème Régional

Un groupe de pirates marocains a tenté de pirater le système de vote américain

Selon le journal Miami Heard, un groupe de pirates marocains connu sous le pseudonyme de « MoRo », a réussi à s’infiltrer au sein des systèmes informatiques d’au moins quatre écoles en Floride. Les pirates auraient infecté ces systèmes avec un malware capable de suspendre la détection des intrusions illégitimes. Ils ont ainsi réussi à se procurer les données de centaines de milliers d’étudiants avec leur nom, numéro de sécurité sociale ainsi que leur adresse postale. D’après United Data Technologies (UDT), pendant trois mois, les pirates auraient cherché un moyen d’entrer au sein de systèmes gouvernementaux très sensibles, y compris les systèmes de vote de la Floride. Ils n’auraient cependant pas réussi à atteindre leurs objectifs.

Source

Individus et groupes

« FIN10 »

FireEye a publié une analyse détaillée du groupe de pirates « FIN10 », lequel aurait visé des casinos et sociétés minières nord-américaines. Au total, entre 2013 et 2016, « FIN10 » aurait volé 620 000 dollars. Le mode opératoire du groupe consiste à mener des campagnes de spear-phishing et de pousser la victime via du social engineering à cliquer sur un lien malveillant pointant vers un serveur contrôlé par le groupe. Une fois que le groupe possède un point d’entrée sur le réseau de sa cible, la charge malveillante est déployée sans fichier via des outils de commande (Meterpreter ou PowerShell). Une fois le réseau atteint, « FIN10 » récupère des données sensibles qui servent de levier pour extorquer de l’argent à ses victimes.

En savoir plus

 

« BlackTech »

TrendMicro a publié un rapport sur un groupe de cyber espions baptisé « BlackTech » opérant en Asie et ciblant les données techniques et technologiques de sociétés basées au Japon, à Taïwan ou à Hong-Kong. Plusieurs campagnes de cyber espionnage liées au groupe ont été identifiées et baptisées : PLEAD, Shrouded Crossbow et Waterbear. PLEAD aurait permis de collecter des données confidentielles appartenant à des agences gouvernementales taïwanaises et serait active depuis 2012. Shrouded Crossbow, identifiée dès 2010, aurait permis de cibler des entreprises spécialisées en électronique, informatique ou des institutions financières et sanitaires. Enfin, Waterbear constituerait la charge malveillante secondaire utilisée par les pirates pour gagner en persistance sur les réseaux qu’ils compromettent. Ces campagnes seraient toujours actives. Des indicateurs de compromission on été publiés. 

En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !