[Attaque] Les chercheurs de Kaspersky
ont découvert des attaques informatiques ciblées provenant du groupe
BlackOasis. La spécificité de ces attaques est qu’elles
utilisent une vulnérabilité 0-Day d’Adobe Flash embarquée dans un document
Office propagé par email. Un correctif concernant la vulnérabilité
CVE-2017-11292 a depuis été publié par Adobe. La charge malveillante déployée
par les attaquants est l’outil d’espionnage FinSpy.
[Darkweb] Un kit de malware ciblant
les DAB a été découvert en vente sur le marché du Darkweb.
Cutlet Maker qui permettait de vider les distributeurs de billets, coûtait 5
000 dollars quand il était en vente sur AlphaBay, un « darkmarket »
que le FBI a fait fermer en juin. Une des fonctionnalités du malware lui
permettait d’analyser le contenu des différentes cassettes de billets afin de
cibler celle contenant le plus gros montant.
[Leak] Les informations à
caractère personnel de plus de 30 millions de personnes supposément d’Afrique
du Sud, ont fuitées. L’exfiltration des données aurait eu lieu en mars
2017 ou avant et la fuite contiendrait des données remontant jusqu’aux années
90.
[Ransomware] Le marché des ransomware se
porte très bien selon l’étude de Carbon Black. Les ventes de ransomware auraient grimpé de 2 500% entre 2016 et 2017.
Ces programmes malveillants seraient vendus dans plus de 6 300 points de ventes
différents sur le « darkweb ». Plus de 45 000 produits différents y
seraient proposés avec des prix allant de 0,5 dollar à 3 000 dollars. Certains
développeurs de ransomware génèrent plus de 100 000 dollars par an grâce à
leurs ventes.
[Malware] Symantec a découvert un
malware ciblant Android nommé Sockbot dans la bibliothèque officielle Google
Play. Selon les chercheurs, le malware se propagerait
sur le store via 8 applications différentes avec un nombre d’installations
allant de 600 000 à 2,6 millions d’appareils. Les appareils compromis sont
ajoutés à un botnet et pourraient être utilisés dans des campagnes d’attaques
DDoS.
[Vulnérabilité] Le fabricant de cartes à
puces Infineon a dévoilé que plusieurs versions de leurs produits sont affectés
par une vulnérabilité permettant de casser les clés RSA de 1024 et 2048
bits. Les chercheurs tchétchènes à l’origine de cette découverte ont nommé cette vulnérabilité ROCA.
Elle permet de calculer la clé privée générée par les puces concernées juste
avec la clé publique. Les chercheurs précisent que le calcul nécessaire au
cassage d’une clé coûterait entre 40 dollars (1024 bits) et 40 000 dollars
(2048 bits) sur les infrastructures Amazon.
Vulnérabilité de la semaine
Des chercheurs ont
découvert une vulnérabilité dans le protocole WPA2 utilisé notamment pour
sécuriser les communications des réseaux WiFi. L’attaque nommée KRACK exploite
des vulnérabilités dans le protocole d’initialisation du chiffrement des
communications entre le client et le point d’accès. De nombreux scénarios
d’attaques sont possibles, comme par exemple, des attaques de type homme du
milieu, permettant le vol d’informations ou la modification des communications
à la volée. En France, Orange et Free ont déclaré, après avoir enquêté, que leurs boxes n’étaient pas
concernées par la vulnérabilité. Source