Copy
3 octobre 2017

Threat Landscape - by Intrinsec


La newsletter hebdomadaire Threat Landscape d'Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d'information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.


Au programme cette semaine :
  • Retour sur la fuite de données Deloitte
  • Des clients de banques brésiliennes victimes d'une campagne d'attaques
  • Attaques sur les terminaux de point de vente : les chaînes de grande distribution et de restauration Whole Foods Market et Sonic Drive-In touchées
  • Une vulnérabilité détectée dans les puces Wifi composant plusieurs produits Apple
  • Le malware bancaire Bankbot continue de faire la une : ESET l'aurait détecté sur le Google Play Store
  • Une entité gouvernementale saoudienne, cible d'une campagne de cyberespionnage
  • Des informations sur des menaces informatiques provenant de nos sources chinoises
  • Focus sur le pirate "Kuroi'SH"

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d'activité spécifique : 
Threat Intelligencecontactez-nous !

 
Si vous ne l'êtes pas encore, abonnez-vous à notre newsletter
Menaces Sectorielles
 
Multisectorielle

Fuite de données Deloitte : retour sur les faits
Le lundi 25 septembre, le quotidien britannique The Guardian a annoncé que la société Deloitte, cabinet d'audit et de conseil (notamment en cyber sécurité), a  été victime d'une fuite de données massive sur l'un de ses serveurs emails en mars 2017. D'après l'article du journal britannique, l'auteur du piratage aurait eu accès au serveur dès novembre 2016. Deloitte a indiqué que seuls 6 de ses clients auraient été impactés par la fuite. A ce jour, il n'y a pas d'information officielle sur l'origine de ce piratage mais plusieurs recherches (parues dans The Register ou encore sur le site de Malwarebytes) ont montré que des fuites d'identifiants collaborateurs ainsi que des accès VPN circulaient en clair sur le Web. Ces éléments compromettants auraient pu constituer un vecteur d'intrusion intitiale pour le(s) attaquant(s).
En savoir plus
 
Finance

Une campagne d'attaques sur des clients de banques brésiliennes
Talos a publié le 28 septembre dernier un article sur une campagne d’attaques visant des banques brésiliennes et leurs clients. Le vecteur d’infection initiale est une campagne de spam : l’email frauduleux contient un fichier HTML en pièce jointe faisant référence à une facture. Si l’utilisateur clique sur le fichier HTML, il est redirigé vers une URL contenant un fichier JAR. Si l’utilisateur clique sur ce fichier, un trojan bancaire s’exécute sur sa machine. Le malware en question possède plusieurs capacités parmi lesquelles celles de pouvoir vérifier les sites visités par sa victime. Par conséquent, si le malware détecte une des banques brésiliennes figurant dans sa liste de cibles, il procède à une injection Web malveillante afin de récupérer les identifiants bancaires de sa victime.
En savoir plus
 
Grande distribution

Whole Foods Market victime d'une fuite d'informations bancaires
Whole Foods Market, une chaîne de distribution alimentaire de produits biologiques possédant 500 points de vente aux Etats-Unis, au Canada et au Royaume-Uni, a annoncé le 28 septembre dernier avoir été victime d'une fuite d'informations bancaires au sein de ses établissements. Les attaquants n'auraient pas ciblé directement les terminaux de point de vente des magasins Whole Foods Market mais ceux de buvettes ou de restaurants présents au sein du centre commercial Whole Foods Market. L'ensemble des points de vente compromis par les attaquants est disponible sur le site de la marque. L'enseigne n'a néanmoins précisé ni le nombre de clients concernés, ni le type d'information bancaire collectée.
En savoir plus
 
Restauration

La chaîne de restauration américaine Sonic Drive-In victime d'une fuite de données bancaires
Brian Krebs, journaliste spécialiste en cybersécurité, a indiqué dans un article paru le 26 septembre, que la chaîne de restauration américaine Sonic Drive-In aurait été victime d’une fuite de données sur son système de paiement. La chaîne américaine possède près de 3 600 établissements répartis dans 45 Etats américains. Le nombre exact de point de vente affectés n’a pas été évoqué. D’après des sources proches du journaliste américain, plusieurs cartes bancaires ayant été utilisées dans des points de vente Sonic Drive-In auraient été proposées sur un réseau malveillant de revente de cartes bancaires du Surface Web. 
En savoir plus
 
Télécommunications
 
Des vulnérabilités découvertes dans plusieurs puces Wifi de produits Apple
Google a publié mardi 26 septembre dernier les détails d’une preuve de concept de l’exploitation d’une vulnérabilité affectant le firmware Wi-Fi des puces Broadcom (BCM4355C0) utilisées au sein de plusieurs produits de la marque Apple (iPhone, Apple TV, Apple Watch) sur les versions iOS 10 et antérieures. Si la faille (qui a été corrigée cette semaine) était exploitée par un attaquant, elle pourrait lui permettre d’exécuter du code à distance et d’injecter une porte dérobée (backdoor) dans l’appareil. Il s’agit d’une vulnérabilité de corruption de mémoire, baptisée CVE-2017-11120. Apple a corrigé la vulnérabilité en question dans la version iOS 11. Les utilisateurs sont invités à procéder à la mise à jour au plus vite. 
En savoir plus
 
Numérique

BankBot : le malware bancaire continue de faire parler de lui
Après avoir été détecté le 19 septembre dernier par Fortinet dans des stores d'applications alternatifs, le malware BankBot fait à nouveau parler de lui cette semaine dans une analyse publiée par ESET. D'après la société de cybersécurité, les pirates seraient parvenus à injecter le malware dans une application récréative du Google Play Store baptisée "Jewels Star Classic". Avant que Google n'ait été renseigné sur la menace, l'application en question aurait été téléchargée par près de 5 000 utilisateurs. Pour rappel, ce malware possède la capacité de faire apparaître de fausses pages Web de banques via des injections malveillantes afin de collecter les identifiants bancaires des victimes.
En savoir plus
 
Politique

Campagne de cyberespionnage : une entité gouvernementale saoudienne visée
Malwarebytes a publié un article le 26 septembre dernier au sujet d'une campagne de cyberspionnage visant un organisme gouvernemental saoudien (dont le nom n'est pas évoqué). La particularité de l'attaque enregistrée par Malwarabytes est que les pirates s’appuieraient sur différents scripts pour maintenir leur présence sur le système de la victime et sur des sites Web piratés agissant comme proxy pour communiquer avec leur serveur de commande et contrôle. Les scripts employés par les acteurs malveillants leur permettraient également de lancer des commandes PowerShell sur la machine de la victime.
En savoir plus
 
Ecosystème Régional


Ecosystème chinois
 

GO Keyboard : le clavier Android malveillant
Les chercheurs de la société Adguard ont découvert des problèmes de sécurité affectant l’application mobile GO Keyboard, un clavier personnalisable pour Android. Développée par la société cantonaise GOMO Dev Team, l’application dérobait des données utilisateurs telles que le mail affecté au compte Google Play, le modèle de téléphone portable utilisé, la langue du système, la localisation, etc. Elle injectait également du code sur le système depuis un serveur distant, dont des adwares et PUPs (logiciels potentiellement indésirables). Suite à l’alerte d’Adguard envoyée à Google, l’application a été mise à jour et la nouvelle version disponible est désormais inoffensive.
Source

Une application Velib-like piratée à Shenzhen
D’après le journal local Shenzhen News, des hackers ont réussi à pirater une application locale de vélos en libre-service de type Velib (non citée). Ils ont exploité une vulnérabilité de l’application pour détourner l’argent de 34 utilisateurs, soit environ 20 000 yuans (environ 2 550 euros). Les deux hackers, M. Yang et M. Wu, se sont rencontrés en ligne et ont convenu de mener l’opération ensemble. La société à qui appartient l’application a depuis appliqué des correctifs pour rectifier le problème.
Source
 
Individus & Groupes
"Kuroi'SH"
Ce pirate ayant pour pseudonyme "Kuroi'SH" avait déjà fait parler de lui dans Security Affairs le 18 septembre dernier après avoir mené un défacement sur la page officielle de Google Brésil (qui avait démenti l'attaque mais avait précisé que certains serveurs DNS avait été ciblés, redirigeant vers d'autres sites Web). Le 29 septembre dernier, sur son compte Twitter, ce pirate qui se présente comme un "white/grey hat hacker" a indiqué avoir défacé un sous-domaine de Microsoft. Sur son compte Twitter, celui-ci a publié des captures d'écrans pour justifier l'authenticité de son acte. En 2015, "Kuroi'SH" avait défacé un sous-domaine de la NSA. Il n'y a pas plus d'information à ce sujet pour l'instant. 
 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d'alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.
Cliquez ici pour en savoir plus
Pensez à autoriser notre contact dans votre filtrage anti-spam.
Copyright 2017 Intrinsec Sécurité - Toute reproduction interdite sans autorisation explicite






This email was sent to <<Email>>
why did I get this?    unsubscribe from this list    update subscription preferences
Intrinsec · Tour CBX, 1 Passerelle des Reflets · Courbevoie 92400 · France

Email Marketing Powered by Mailchimp