RAPPORT THREAT INTELLIGENCE - 6 Août 2018

Philippe_RONDEL — Wed, 08 Aug 2018 12:49:18 GMT

	RAPPORT THREAT INTELLIGENCE - 6 Août 2018

PRINCIPALES FAILLES ET ATTAQUE

Reddit a subi une importante fuite de données lorsque des pirates ont réussi à accéder aux données de ses utilisateurs, et à une base de données de sauvegarde de 2007 contenant des noms d'utilisateur et des mots de passe hachés. L'attaque a été effectuée en interceptant les codes d'authentification à deux facteurs envoyés par SMS aux employés de Reddit.
KICKICO, une plate-forme de levée de fonds (ICO) reposant sur la blockchain, a été victime d’une faille de sécurité qui a permis le vol de 7,7 millions de dollars de jetons KICK. Les pirates ont pu accéder au contrat intelligent du réseau de sa blockchain en obtenant sa clé privée, ce qui leur a finalement permis de dérober des KickCoins dans les portefeuilles des utilisateurs.
Dixons Carphone, le distributeur de produits électroniques et de télécommunications, a annoncé que la faille découverte en juin 2017 a touché 10 millions de clients. Les données dérobées comprennent les noms, adresses postales et électroniques, ainsi que les informations de 6 millions de cartes bancaires utilisées chez Currys PC World et Dixons Travel.
Des chercheurs ont découvert une vaste campagne de cryptojacking compromettant des dizaines de milliers de routeurs MikroTik. Les attaques menées dans le cadre de la campagne exploitent une vulnérabilité zero-day MikroTik connue pour modifier la configuration des appareils et injecter un script d’extraction de cryptomonnaie Coinhive dans le trafic web des utilisateurs.

Les blades Check Point IPS et Anti-Bot offrent une protection contre cette menace (Détournement du processeur pour extraction de la cryptomonnaie via sites web, Trojan.WIN32.CoinHive.*).

Des chercheurs ont révélé une campagne de phishing hyper ciblée visant des entités dans le secteur industriel. La campagne utilise des emails de phishing contenant des pièces jointes ou des liens malveillants fournissant un logiciel légitime d’administration à distance TeamViewer ou Remote Manipulator System/Remote Utilities (RMS).

Les blades Check Point SandBlast et Anti-Virus offrent une protection contre cette menace (Trojan.BAT.Starter, Trojan.Win32.Dllhijack, Trojan.Win32.Waldek, Backdoor.Win32.RA-based, Backdoor.Win32.Agent).

Trois membres du célèbre groupe de cybercriminalité appelé « FIN7 » et « Carbanak » ont été arrêté. Le groupe ciblait des entreprises et des citoyens américains en dérobant de précieuses données de consommation, notamment des informations de cartes bancaires, et a réussi à détourner des dizaines de millions de dollars.

VULNÉRABILITÉS ET CORRECTIFS

Drupal, le système de gestion de contenus open source populaire, a publié une nouvelle version pour corriger une vulnérabilité de contournement de la sécurité dans le composant « Symfony HttpFoundation », utilisé pour l’infrastructure applicative web « Symfony », qui permettrait la prise de contrôle total des sites web Drupal affectés.
Une vulnérabilité de politique de même origine (SOP) a été corrigée dans le navigateur Microsoft Edge. L'exploitation de cette vulnérabilité permettrait de manipuler la fonctionnalité de sécurité SOP afin de collecter et dérober toutes les données des fichiers locaux sur la machine de la victime.
Des chercheurs ont découvert une vingtaine de failles dans le contrôleur Samsung SmartThings Hub utilisé pour gérer une gamme complète d’objets connectés dans une maison intelligente. Ces vulnérabilités exposent potentiellement tous les appareils intelligents tiers pris en charge à des risques de cyberattaques.

RAPPORTS ET MENACES

Des chercheurs de Check Point ont découvert une nouvelle campagne massive du cheval de Troie bancaire Ramnit, baptisée « Black », atteignant plus de 100 000 infections en l’espace de deux mois. Selon le rapport, l'objectif principal de la campagne est d'utiliser les machines des victimes comme serveurs proxy malveillants.
Des chercheurs de Check Point ont découvrent une vaste campagne de publicités malveillantes, qui commence par l’infection de milliers de sites WordPress, se poursuit par l’exploitation de plates-formes d'enchères publicitaires, et se termine par la diffusion de contenus malveillants via plusieurs kits d'exploitation de vulnérabilités à des internautes dans le monde entier.
Des chercheurs de Check Point ont publié un rapport détaillé, révélant que le cheval de Troie bancaire Osiris ressemble beaucoup au cheval de Troie bancaire Kronos. Ces deux logiciels malveillants ont en commun les mêmes fonctions de persistance, de chiffrement, de contournement de machines virtuelles et de bacs à sable, et sont probablement développés par le même auteur.

Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan-Banker.Win32.Osiris, Trojan-Banker.Win32.Kronos).

Une nouvelle version du téléchargeur et voleur de données AZORult a été découverte. Elle comporte des améliorations, notamment la possibilité de dérober des historiques de navigateurs autres que Microsoft et la prise en charge du vol d'identifiants de portefeuilles de cryptomonnaie Exodus, Jaxx, Mist, Ethereum, Electrum et Electrum-LTC.

Les blades Check Point SandBlast, Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.AZORult, Trojan-Ransomware.Win32.Hermes).

Des chercheurs ont publié une nouvelle analyse de l’outil d’accès à distance Android HeroRAT reposant sur Telegram, décrivant ses caractéristiques uniques par rapport aux autres outils d’accès à distance utilisant l'API Telegram BOT pour les communications avec les serveurs de commande et de contrôle.

Les clients de Check Point SandBlast Mobile sont protégés contre cette menace.

topic RAPPORT THREAT INTELLIGENCE - 6 Août 2018 in Français

RAPPORT THREAT INTELLIGENCE - 6 Août 2018