Retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !.
Veille cybercriminalite
10000 sites Wordpress piratés pour lancer une distribution massive de contenu malveillant
Un grand nombre de sites utilisant le CMS Wordpress ont été piratés par une même organisation. Le traffic détourné était ensuite revendu sur la plateforme d'enchères AdsTerra, en offrant la possibilité de distribuer des "publicités".
Les sites compromis sont alors devenus des distributeurs de diverses formes de contenu malveillant : chevaux de Troie bancaires, crypto-mineurs, ou rançongiciels.
Les sites compromis sont alors devenus des distributeurs de diverses formes de contenu malveillant : chevaux de Troie bancaires, crypto-mineurs, ou rançongiciels.
Sources :
- https://www.theregister.co.uk/2018/07/30/malvertising_wordpress/
- https://research.checkpoint.com/malvertising-campaign-based-secrets-lies/
Steam exclut un développeur de son store après la découverte de fonctionnalités de crypto-minage dans ses jeux
Un simple jeu en 2D mais dont la consommation CPU explosait au fur et à mesure du jeu a alerté les utilisateurs de la plateforme de jeu gérée par Valve.
Pendant la procédure d'installation, le jeu lançait l'exécution d'un binaire "SteamService.exe" permettant la communication avec un serveur de minage de crypto-monaies.
Ce même développeur, publiant sous le nom d'Okalo Union, a été bani du magasin steam mais propose encore aujourd'hui des jeux en téléchargement sur le store Android
Pendant la procédure d'installation, le jeu lançait l'exécution d'un binaire "SteamService.exe" permettant la communication avec un serveur de minage de crypto-monaies.
Ce même développeur, publiant sous le nom d'Okalo Union, a été bani du magasin steam mais propose encore aujourd'hui des jeux en téléchargement sur le store Android
Sources :
- https://threatpost.com/steam-bans-developer-after-outcry-over-cryptomining-scam-items/134616/
- https://steamcommunity.com/id/cmyki/recommended/781600/#developer_response
- https://hotforsecurity.bitdefender.com/blog/steam-game-abstractism-pulled-after-cryptomining-accusations-20171.html
Une chercheuse de Google décrypte une nouvelle librairie d'obfuscation de code Android
Lors de l'analyse d'un logiciel malveillant, Maddie Stone a mis en évidence l'utilisation d'une multitude de techniques permettant d'éviter l'exécution dans des environnements de déboggage ou d'émulation. Ce type de technique n'est pas nouveau, mais le nombre et la sophistication des moyens mis en oeuvre n'est pas habituel.
Quel type de logiciel malveillant peut avoir suffisemment de valeur pour que de tels moyens soient déployés pour le protéger des analyses ?
Maddie Stone présentera les résultats de ses travaux le 9 août prochain à la Black Hat USA.
Quel type de logiciel malveillant peut avoir suffisemment de valeur pour que de tels moyens soient déployés pour le protéger des analyses ?
Maddie Stone présentera les résultats de ses travaux le 9 août prochain à la Black Hat USA.
Sources :
- https://www.darkreading.com/attacks-breaches/google-researcher-unpacks-rare-android-malware-obfuscation-library-/d/d-id/1332444
- https://www.blackhat.com/us-18/briefings/schedule/#unpacking-the-packed-unpacker-reverse-engineering-an-android-anti-analysis-native-library-10795
5 millions de dollars de crypto-monnaie volés grâce à un clonage de carte SIM
Un étudiant de Boston a été arrêté pour avoir détourné les cartes SIM d'une quarantaine de victimes (en forçant les antennes relai à attribuer le numéro des victimes à une SIM contrôllée par l'attaquant).
Grâce à ce procédé, cet étudiant aurait réussi à voler plus de 5 millions de dollars grâce à une fonctionnalité de réinitialisation de mot de passe avec confirmation par SMS.
Grâce à ce procédé, cet étudiant aurait réussi à voler plus de 5 millions de dollars grâce à une fonctionnalité de réinitialisation de mot de passe avec confirmation par SMS.
Des machines de vote électronique piratées en moins de deux heures
Des chercheurs présents à la DEFCON à las Vegas ont eu l'opportunité de tester une trentaine de machines de vote électronique achetées par les organisateurs.
Un enseignant danois à réussi à pénétrer dans l'une d'entre elles en moins de deux heures en exploitant une vulnérabilité affectant Windows XP et datant de 2003.
Un enseignant danois à réussi à pénétrer dans l'une d'entre elles en moins de deux heures en exploitant une vulnérabilité affectant Windows XP et datant de 2003.
Sources :
- https://tech.slashdot.org/story/18/07/30/165201/hackers-break-into-voting-machines-within-2-hours-at-defcon?utm_source=rss1.0mainlinkanon&utm_medium=feed
- https://www.cnet.com/news/defcon-hackers-find-its-very-easy-to-break-voting-machines/
Une "liste-noire" de fournisseurs logiciels créée par le Pentagone pour alerter de liens avec la Chine et la Russie
Une liste de fourniesseurs logiciels à éviter et à destination de l'armée américaine et de ses sous-traitants est aujourd'hui en cours de développement.
Les noms des éditeurs soupçonnés de liens avec les grandes puissances étrangères et ne satisfaisant pas les "standards de sécurité du département de la défense" seront communiqués aux responsables d'achat de la défense américaine.
Les noms des éditeurs soupçonnés de liens avec les grandes puissances étrangères et ne satisfaisant pas les "standards de sécurité du département de la défense" seront communiqués aux responsables d'achat de la défense américaine.
Sources :
- https://yro.slashdot.org/story/18/07/29/1924235/pentagon-creates-do-not-buy-list-of-russian-chinese-software?utm_source=rss1.0mainlinkanon&utm_medium=feed
- https://www.defenseone.com/threats/2018/07/pentagon-creates-do-not-buy-list-russian-chinese-software/150100/?oref=d-topstory
Une extension Chrome pour alerter les utilisateurs de sites potentiellement piratés
L'extension HackNotice recense plus de 20000 piratages rendus publics et prévient l'utilisateur lorsqu'il visite un site présent dans la base de données.
Cette extension est aujourd'hui disponible uniquement pour Google Chrome mais une version pour Firefox est déjà en cours de développement.
Cette extension est aujourd'hui disponible uniquement pour Google Chrome mais une version pour Firefox est déjà en cours de développement.
Des micro-transactions dans les jeux utilisées pour blanchir de l'argent
Des preuves d'utlisation de cartes de crédit volées pour effectuer des achats au sein de jeux populaires (comme Clash of Clans, Clash Royale ou similaires) ont été trouvées. Les objets ainsi achetés sont ensuite vendus contre de l'argent légitime.
Sources :
- https://www.schneier.com/blog/archives/2018/08/using_in-game_p.html
- https://kromtech.com/blog/security-center/digital-laundry
Des routeurs utilisés par les ISP atteints par des crypto-mineurs
Des milliers de routeurs MicroTik sont aujourd'hui compromis par des scripts Coinhive. Les attaquants auraient lancé une attaque à grande échelle en utilisant une vulnérabilité connue et corrigée depuis le 23 Avril.
Au moins 170000 routeurs actifs et infectés ont été recensés par Censys.io ce, montrant ainsi les difficultés à appliquer les correctifs à grande échelle sur ce type d'équipement.
Au moins 170000 routeurs actifs et infectés ont été recensés par Censys.io ce, montrant ainsi les difficultés à appliquer les correctifs à grande échelle sur ce type d'équipement.
Sources :
- https://threatpost.com/huge-cryptomining-attack-on-isp-grade-routers-spreads-globally/134667/
- https://twitter.com/bad_packets/status/1024868429797322753
Veille vulnerabilite
Indicateurs de la semaine
Le leak de la semaine - L'université de Yale découvre les traces d'une fuite de données vieille de 10 ans
Une inspection de routine sur les serveurs de l'université a permis de mettre en évidence une fuite de données ayant eu lieu entre 2008 et 2009.
Les données personnelles d'environ 119000 anciens élèves ont été volées par un acteur toujours inconnu. Ces données contenaient les noms, numéros de sécurité sociale et parfois adresses postales des étudiants.
Les données personnelles d'environ 119000 anciens élèves ont été volées par un acteur toujours inconnu. Ces données contenaient les noms, numéros de sécurité sociale et parfois adresses postales des étudiants.
Sources :
- https://www.zdnet.com/article/yale-discloses-old-school-data-breach/
- https://www.doj.nh.gov/consumer/security-breaches/documents/yale-20180726.pdf
L'attaque de la semaine - Vol de données chez Reddit
Des attaquants ont eu accès à des comptes permettant la gestion de services de stockage dans le cloud appartenant à Reddit. A partir de ces accès, les noms d'utilisateur, adresses mail et certains condesats de mot de passe ont été volés.
Le système d'authentification à deux facteurs passant par SMS utilisée par les administrateurs de Reddit a été contourné par les attaquants qui ont pu intercepter les messages envoyés lors des tenatives de connexion.
Le système d'authentification à deux facteurs passant par SMS utilisée par les administrateurs de Reddit a été contourné par les attaquants qui ont pu intercepter les messages envoyés lors des tenatives de connexion.
Sources :
- https://nakedsecurity.sophos.com/2018/08/02/reddits-serious-security-incident-what-you-need-to-know/
- https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
L'exploit de la semaine - Une nouvelle variante de SPECTRE permettrait d'accéder aux données à distance
Une équipe de chercheurs de l'université de Graz a découvert une nouvelle variante de la vulnérabilité SPECTRE, nommée netSpectre. Cette variante utilise le même principe que SPECTRE (mesure des différences de temps d'accès au cache du processeur) mais à travers du pilote de la carte réseau de la victime.
En envoyant des paquets spécialement construits pour l'exploitation, il est possible d'en extraire des données en mesurant des différences dans les temps de réponse. En revanche, l'explotation actuelle ne permet de récupérer que quelques bits par heure à travers le réseau local, limitant sévèrement l'impact de la faille.
En envoyant des paquets spécialement construits pour l'exploitation, il est possible d'en extraire des données en mesurant des différences dans les temps de réponse. En revanche, l'explotation actuelle ne permet de récupérer que quelques bits par heure à travers le réseau local, limitant sévèrement l'impact de la faille.
Sources :
- https://nakedsecurity.sophos.com/2018/07/31/spectre-chip-weakness-can-be-used-to-steal-data-remotely/
- https://assets.documentcloud.org/documents/4619513/NetSpectre.pdf
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox | |
CCleaner |