Bulletin d’information CYBER de votre CSIRT du 12/01/2024

Cellule de réponses aux incidents de sécurité

Les dernières actualités intéressantes de votre cyberespace

Menaces sur les Dispositifs Mobiles et Personnels

iPhone (Exploit Utilisant Quatre Zero-Days) :

Une attaque complexe exploitant quatre failles de sécurité inconnues (Zero-days), mettant en danger la sécurité des utilisateurs d’iPhone a été découverte après 4 années supposer d’utilisation par les attaquants. Cette attaque est d’autant plus dangereuse qu’elle se produisait en Zero-Click (comprenez sans action de la part de la victime).

Android (Malware Volant les PIN) :

Le malware Chameleon vole les codes PIN et désactive l’authentification biométrique. Il force l’utilisation du code PIN ou du mot de passe en neutralisant les empreintes digitales et la reconnaissance faciale, permettant ainsi un contrôle malveillant à distance.

Attaques sur les Systèmes d’Exploitation

Windows (RAT Bandook) :

Le logiciel malveillant Bandook cible les ordinateurs Windows pour prendre le contrôle à distance, augmentant les risques pour ce système très répandu.

MacOS (Backdoor SpectralBlur) :

Une porte dérobée (backdoor) qui permet aux pirates d’accéder secrètement aux ordinateurs macOS, mettant en lumière la nécessité d’une vigilance accrue.

Vulnérabilités dans les Solutions de Gestion et IoT

QNAP et Kyocera Device Manager :

Des failles de sécurité dans ces systèmes de gestion pourraient être exploitées, nécessitant des correctifs immédiats.

IoT Industriel (Thermostat Bosch BCC100 et Outils de Boulonnage Bosch Rexroth) :

Des vulnérabilités dans ces dispositifs connectés industriels soulignent l’importance de sécuriser ces technologies.

Menaces de Groupes de Hackers et Ransomware

UAC-0050 (Phishing et RAT Remcos) :

Ce groupe utilise des techniques de leurre (phishing) pour infiltrer les systèmes avec un logiciel malveillant (RAT).

Water Curupira (Malware PikaBot Loader) :

Distribution active d’un programme malveillant visant à compromettre la sécurité des systèmes informatiques.

Focus de la Semaine :

Atomic Stealer (Ciblage des Utilisateurs Mac) :

Atomic Stealer, un logiciel de vol d’informations destiné à MacOS, a récemment été mis à jour pour inclure le chiffrement des données, ce qui complique sa détection. Il est également remarquable que ce type d’attaque se vend de plus en plus sur les réseaux. Le prix de l’abonnement mensuel, initialement fixé à 1 000 dollars, a augmenté pour atteindre 3 000 dollars, avec des promotions en fin d’année. Ceci témoigne d’une évolution des cyberattaques, passant d’actions isolées à une standardisation et une commercialisation croissante.

Le malware, apte à collecter des données sensibles, se répand via des publicités et des sites malveillants, se faisant souvent passer pour des mises à jour légitimes. Ces publicités incluent des annonces Google se présentant faussement comme Slack. Les attaquants utilisent diverses méthodes pour distribuer ce logiciel, ciblant les utilisateurs de Mac et de Windows avec différents types de malwares. Un aspect crucial de la nouvelle version est sa capacité à solliciter le mot de passe système sous prétexte d’une mise à jour légitime, permettant ainsi un accès non autorisé à des informations confidentielles.

Les Attaques que nous avons eu à traité cette semaine :

Depuis le début des fêtes de fin d’années, nous en sommes à Quatre attaques à traités : Une Potentielle intrusion dans un réseau d’entreprise ; Deux arnaques au faux virement internationaux ; Et enfin une attaque par Ransomware. Ce qui démontre une activité cybercriminelle assez impactante pour la région.

Une menace Ransomware toujours aussi présente !

Les ransomwares, ces logiciels malveillants qui bloquent l’accès aux données d’une entreprise jusqu’au paiement d’une rançon, constituent une menace constante, qui ne diminue pas, même pour les PME. Cette semaine, une variante de MedusaLocker, un ransomware particulièrement nuisible, a ciblé une PME, soulignant ainsi l’intérêt des attaquants pour des entreprises de toutes tailles. Les TPE/PME sont des cibles privilégiées car elles sont souvent peu ou pas préparées à subir ce type d’attaque. Il est alarmant de noter que plus d’une TPE/PME sur trois touchée par ce genre d’attaque ferme ses portes dans les 18 mois suivants.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *