La newsletter hebdomadaire Threat Landscape d'Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d'information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.
Au programme cette semaine :
- Phishing : les utilisateurs Gmail, des analystes financiers et des employés de l'industrie des médias visés
- Une base de données d'un distributeur américain accessible en ligne : des milliers de données bancaires fuitent
- Les utilisateurs Mac sous la menace du malware "Dok"
- 130 millions de données issues du système d'identification de la population indienne (Aadhaar) en libre circulation
- Sécurité Android : des failles détectées dans plusieurs applications
- Une agence de voyage américaine enquête sur une fuite de données clients
- Télécommunication : les communications entre les clients et leurs banques interceptées par des pirates
- E. Macron à nouveau la cible d'un piratage informatique
- Des informations sur des menaces informatiques provenant de nos sources chinoises et arabes
- Focus sur les groupes "Carbanak", "The Dark Overlord" et "OurMine"
|
|
|
Numérique
Phishing : attaque massive sur un 1 million d’utilisateurs Gmail
Les utilisateurs de Google Docs ont été la cible d’une campagne de phishing massive la semaine dernière. Des attaquants ont créé un faux service "Google Docs" qui demandait des autorisations sur les comptes Google (lecture et envoi de mails, lecture des contacts) via la plateforme légitime OAuth. Cette plateforme permet à différents services de communiquer entre eux sans avoir besoin de s’authentifier. Google a indiqué qu’environ 1 million d’utilisateurs ont été victimes de l’attaque. Talos a publié une liste d’indicateurs de compromission et Google a supprimé les noms de domaine frauduleux. Si vous pensez avoir été touché, le CERT Intrinsec recommande de retirer les permissions données au service "Google Docs" en allant sur : https://myaccount.google.com/permissions.
En savoir plus
Base de données accessible en ligne : 110 400 données de cartes bancaires ont fuité
La société américaine de distribution de produits pour animaux domestiques, FuturePets, aurait laissé accessible sa base de données sur Internet pendant au moins 6 mois. Les données de 190 000 clients (adresses email et postale, noms, prénoms ainsi que le numéro de téléphone) seraient compromises. Pour 110 429 de ces clients, les données bancaires (numéro de carte, date d’expiration, cryptogramme visuel) seraient également exposées. La fuite est liée à une erreur de configuration de la base de données.
En savoir plus
Le malware "Dok" menace les utilisateurs de Mac en Europe
CheckPoint a découvert un malware visant des utilisateurs européens qui travaillent sur Mac. Le malware, baptisé "Dok" est distribué via une campagne de phishing et cherche à intercepter le trafic Internet de la victime. Cette attaque "Man-in-the-Middle" permet au pirate de récupérer les informations que la victime a entrées sur les sites Web consultés. CheckPoint a publié une liste d’indicateurs de compromission.
En savoir plus
Inde : 130 millions d’identifiants personnels uniques issus du projet indien "Aadhaar" auraient fuité
Un rapport du "Center for Internet and Society" (CIS) a constaté que 135 millions de données personnelles issues du système national d'identification de la population indienne "Aadhaar" auraient fuité. Les numéros "Aadhaar", attribués à tous les citoyens indiens par une organisation d’Etat UIDAI (Unique Identification Authority of India) se composent de 12 chiffres et contiennent des données biométriques (couleur des yeux, empreintes digitales) et personnelles : lieu de résidence, numéro de compte bancaire, numéro de téléphone. Selon le CIS, la fuite serait due à la mauvaise gestion de plusieurs organismes gouvernementaux et non à une vulnérabilité du système ou à une attaque. Cette situation représente un vrai danger pour l’Etat et, selon les experts, pourrait causer une vague de fraude financière car les numéros "Aadhaar" sont utilisés pour des transactions.
En savoir plus
Sécurité des applications mobiles : des millions de smartphone potentiellement en danger
Un groupe de chercheurs de l’université du Michigan a découvert plusieurs failles de sécurité au sein d’applications mobiles (non mentionnées). L’approche générale exploite le fait que les applications ouvrent des services réseaux sur les systèmes mobiles – ceux-ci bénéficiant moins souvent de système protection locaux (firewall embarqués) sont exposés à des attaques à distance. Le risque est mitigé selon le contexte (opérateur, Wifi, ..). Les chercheurs auraient identifié 410 applications vulnérables avec 956 exploits au total. Certaines des applications concernées ont été téléchargées entre 10 et 50 millions de fois..
En savoir plus
Finance
Des analystes financiers visés par une campagne de spear-phishing
Proofpoint a détecté une campagne de spear-phishing visant des analystes financiers travaillant pour de grandes institutions financières. La campagne distribuerait le malware "ZeroT", un trojan diffusé via un document Word placé en pièce jointe et exploitant la vulnérabilité Microsoft Office CVE-2017-0199. L’acteur malveillant à l’origine de l’attaque serait "TA459" qui cible la Russie et ses pays voisins (pays d’Asie centrale ou d’Europe de l’Est).
En savoir plus
Médias
Phishing : le groupe de médias américains Gannett visé par une vaste campagne de phishing
Le géant américain des médias, Gannett, propriétaire, entre autres, de USA Today, a été victime d’une campagne de phishing massive qui aurait visé 18 000 de ses collaborateurs. L’attaque a été détectée le 30 mars dernier par la société elle-même. Les pirates seraient parvenus à compromettre les codes d’accès Office 365 des employés des ressources humaines. D’après USA Today, il n’y aurait aucune preuve d’un accès non autorisé aux données sensibles de l’entreprise (y compris les données personnelles des collaborateurs).
En savoir plus
Tourisme
Les données bancaires des clients de Sabre Corp. en danger
Sabre Corp., une agence de voyage américaine, a indiqué qu’elle enquêtait actuellement sur un incident lié à une fuite de données clients. Il n’y a pas d’information sur le nombre de clients concernés, en revanche, Sabre a précisé que des accès illégitimes à des informations de paiement gérées par le système de réservation de chambres d’hôtels SynXis ont été détectés. L’identité des auteurs à l’origine de l’attaque est à ce jour inconnue.
En savoir plus
Télécommunication
Télécommunication dans le viseur des pirates : le protocole de communication entre les banques et les clients visé
L’opérateur de télécommunication allemand O2 a confirmé qu’une partie de ses clients a été victime de transactions bancaires frauduleuses. Les pirates auraient exploité des failles dans le protocole SS7 (Signaling System #7, qui est un ensemble de protocoles de signalisation téléphonique utilisés par une majorité des réseaux téléphoniques mondiaux) pour intercepter les communications des banques (SMS ou appels) vers leurs clients au moment de la transaction.
En savoir plus
Politique
E. Macron à nouveau visé par un piratage informatique
Dans la soirée du vendredi 5 mai, quelques minutes avant la fin de la campagne officielle et l'interdiction du temps de parole jusqu'au résultat du second tour de l'élection présidentielle, des documents internes à l'équipe d'"En Marche!" ont été diffusés sur Internet. Plus de 9 gigaoctets de données, contenant des documents relatifs à la campagne d'E. Macron (stratégie de l'équipe de campagne, contrats de financement, emails internes etc) ont ainsi fuité. Il n'y a pas d'information sur les auteurs à l'origine de l'attaque mais le responsable numérique de la campagne d'E. Macron a indiqué que ce piratage serait le résultat de plusieurs mois d'attaques de phishing. Trend Micro avait précisé dans un rapport fin avril que le groupe APT28 avait mené une campagne de phishing contre le mouvement "En Marche!". Aucun lien n'a pour l'instant été établi entre ces deux campagnes d'attaques. Certaines des données publiées pourraient avoir été volontairement faussées.
Si vous partagez des informations sensibles, privilégiez des systèmes d'échange chiffrés.
En savoir plus
|
|
Ecosystème chinois
Les attaques DDoS se multiplient à destination d'Hong-Kong
Le nombre d’attaques DDoS sur les sites hongkongais a augmenté de 67% entre le 1er et le 8 avril. Parmi les 500 domaines touchés, on dénombre majoritairement les sites de pari d’argent et de jeux en ligne. La source de ces attaques n’est pas certaine puisque la plupart ont été effectuées par rebond mais de forts soupçons sont portés vers la Chine.
Source
Ecosystème moyen-oriental
Un faux site Web menace les relations égypto-saoudiennes
Le site Web officiel du journal égyptien "EL Shorouk" a été victime d’une usurpation de marque le mercredi 3 mai. Le faux site, intitulé "shoruk", au lieu de "shorouk", a publié une fausse déclaration de l’ambassadeur du Qatar en Jordanie dans laquelle l’ambassadeur tenait des propos offensants envers les gouvernements jordanien et saoudien. La fausse déclaration a très vite été reprise par plusieurs médias arabophones. Selon des analystes politiques, le but de cette manœuvre serait de saboter les tentatives de rapprochement entre les gouvernements saoudien et égyptien.
Source
|
|
"Carbanak"
Deux analyses publiées la semaine dernière par Trustwave et FireEye ont dévoilé les dernières techniques et méthodes d’attaque du groupe. Connu pour avoir ciblé le secteur de la finance et dernièrement, celui de l’hôtellerie, le groupe Carbanak aurait désormais recourt selon Trustwave a une technique de social engineering consistant à appeler personnellement la victime pour vérifier que celle-ci ait bien ouvert la pièce jointe malveillante contenue dans l’email envoyé. De son côté FireEye a détecté une nouvelle technique développée par le groupe pour gagner en persistance sur la machine ciblée. La technique en question exploite les mécanismes de rétrocompatibilité de Microsoft (SHIM), cette caractéristique permettant d’en déduire des marqueurs pour identifier la menace.
Source Trustwave
Source FireEye
"The Dark Overlord"
Le groupe de pirates "The Dark Overlord" a menacé Netflix de publier la nouvelle saison de la série "Orange is the New Black" si aucune rançon n'était payée. Sans réponse de la part de Netflix, le groupe a mis à exécution sa menace en mettant en ligne les dix premiers épisodes de la série. La même semaine, "The Dark Overlord" a également mis en ligne les données personnelles de plusieurs patients d'établissements de santé américains.
"OurMine"
Le groupe de pirates "OurMine" a annoncé avoir piraté le forum Unity dédié au développement de jeux vidéo. Les équipes de Unity ont affirmé que le site Web du forum a bien été attaqué mais qu’aucun mot de passe n’a été volé. La dernière fois que "OurMine" s’était manifesté, c’était en janvier dernier lorsque le groupe avait piraté plusieurs comptes influents du réseau social Twitter.
En savoir plus
|
|
|
|
|
|
