Archives quotidiennes :

backdoor, Cybersécurité, ID, Identité numérique

Threads : fausse application aux couleurs du Twitter de META

Le 5 juillet 2023, l’application Threads, concurrente directe de Twitter développée par Meta, a été lancée aux Etats-Unis et a atteint en quatre jours plus de 100 millions d’utilisateurs, dépassant de loin les précédents records établis par ChatGPT et TikTok. Son indisponibilité actuelle en Europe a encouragé des développeurs malveillants à créer une application jumelle portant quasiment le même nom « Threads for Insta » sur l’Apple Store.

Créée par l’entreprise SocialKit LTD, qui avait déjà créé une fausse application ChatGPT, l’application Threads for Insta reprend les codes graphiques d’Instagram, réseau social auquel la vraie application Threads est liée. Son logo ressemble fortement à celui d’Instagram et incite l’utilisateur à penser qu’il s’agit de l’application légitime. Cette application jumelle est déjà classée à la 5ème place en nombre de téléchargements sur l’Apple Store, et numéro 1 dans la rubrique des réseaux sociaux !

Autre information clé, l’application Threads for Insta indique utiliser de l’intelligence artificielle pour émettre des « threads » alors que l’application officielle ne propose pas cette fonctionnalité.

Quel danger pour les utilisateurs ?

Contrairement à la véritable application Threads, cette supercherie n’est pas gratuite : seule la période d’essai l’est et son utilisation, une fois celle-ci expirée, est payante. Si l’utilisateur n’annule pas son inscription, il sera facturé 2,99 euros par semaine, ou 29,99 euros par mois, ou bien 89,99 euros par an. Pour l’instant, aucune cyberattaque n’a été reportée suite à l’utilisation de cette application. Cependant, les utilisateurs doivent rester vigilants pour ne pas tomber dans le piège d’un hackeur.

Comment être sûr de télécharger la véritable application Threads ?

L’application n’est pour l’instant pas disponible en Europe et aucune date de sortie n’a été annoncée. Toute application dont le lancement a eu un fort impact médiatique est sujette à des tentatives d’usurpation à des fins commerciales (comme c’est le cas ici de Threads for Insta), de collection de données personnelles (revendues par la suite sur le darknet), ou dans le pire des cas, de vol de coordonnées bancaires ou d’informations permettant de lancer une campagne de phishing (ou hameçonnage, technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité).

« Afin de ne pas se faire piéger, l’utilisateur devra tout d’abord rechercher le site officiel de l’entreprise qui, lui, comportera un lien vers l’Apple Store pour effectuer le téléchargement de l’application. confirme à DataSecurityBreach.fr Cassie Leroux, Directrice Produit chez Mailinblack. Il pourra également vérifier assidûment le logo de l’application, les captures d’écran disponibles sur l’Apple Store, ainsi que les conditions générales de vente et d’utilisation.« 

Cybersécurité, Microsoft, Mise à jour, Patch

130 failles corrigées en juillet pour Microsoft

Le Patch Tuesday de ce mois de juillet comprend des correctifs pour 130 CVE, ce qui en fait le plus vaste Patch Tuesday de l’année 2023 jusqu’à présent. Sur les 130 CVE corrigées ce mois-ci, neuf sont jugées critiques et 121 importantes. Ce mois-ci, cinq vulnérabilités ont été exploitées par des hackers sous forme de zero days et Microsoft a publié une alerte concernant l’utilisation malveillante de Microsoft Signed Drivers. »

« Deux vulnérabilités zero-day de contournement des fonctionnalités de sécurité dans Microsoft Outlook (CVE-2023-35311) et Windows SmartScreen (CVE-2023-32049) ont été exploitées dans la nature par des attaquants. Les détails de l’exploitation n’étaient pas disponibles au moment de la publication des mises à jour du Patch Tuesday, mais il semble que les attaquants aient pu avoir recours à l’ingénierie sociale pour convaincre une cible de cliquer sur une URL malveillante. Dans les deux cas, les messages d’avertissement de sécurité conçus pour protéger les utilisateurs ont été contournés. » indique à DataSecurityBreach.fr Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des chercheurs du Threat Analysis Group (TAG) de Google ont révélé un zero day dans le Windows Error Reporting de Microsoft (CVE-2023-36874) qui pourrait permettre à un attaquant de bénéficier de privilèges administratifs. En outre, le Microsoft Threat Intelligence Center (MSTIC) a révélé un zero day dans Windows MSHTML Platform (CVE-2023-32046). Pour exploiter cette faille, il faut convaincre un utilisateur d’ouvrir un fichier spécialement conçu, soit par mail, soit par l’intermédiaire d’un vecteur d’attaque en ligne. Il est également intéressant de noter la présence de mises à jour cumulatives pour Internet Explorer. Malgré l’abandon d’Internet Explorer 11, certains de ses composants, dont MSHTML et EdgeHTML, sont toujours pris en charge par plusieurs versions de Windows Server, ce qui explique pourquoi des correctifs ont été publiés pour ces produits.

Microsoft a également corrigé la CVE-2023-36884, une faille d’exécution de code à distance dans Microsoft Windows et Office qui a été exploitée dans la nature en tant que zero day, et qui a été utilisée dans des attaques ciblées via des documents Microsoft Office corrompus. Ces attaques ont été attribuées à un acteur malveillant connu sous le nom de Storm-0978 ou DEV-0978, qui serait basé en Russie. Storm-0978 est connu pour mener des attaques de ransomware et d’extorsion uniquement, y compris des campagnes de vol d’informations d’identification, contre des cibles en Ukraine, en Amérique du Nord et en Europe.

Enfin, Microsoft a également publié des conseils concernant l’utilisation malveillante de pilotes signés dans le cadre de son programme Microsoft Windows Hardware Developer Program (MWHDP). Il est apparu que certains comptes de développeurs du Microsoft Partner Center soumettaient des pilotes malveillants afin d’obtenir une signature Microsoft. L’utilisation abusive de ces pilotes signés a été découverte dans le cadre d’une activité de post-exploitation, qui exigeait qu’un attaquant obtienne d’abord des privilèges administratifs sur le système ciblé avant d’exécuter les pilotes signés malveillants. Ces comptes de développeurs ont été suspendus et, grâce aux récentes mises à jour de sécurité de Windows, les pilotes malveillants sont désormais considérés comme non fiables.

backdoor, Cybersécurité

Le cheval de Troie WISE REMOTE : un infostealer, RAT, bot DDoS et ransomware réunis

Le monde de la cybercriminalité ne cesse d’évoluer avec l’apparition de nouveaux malwares sophistiqués. Le dernier en date, WISE REMOTE, a été récemment mis en lumière par les experts en cybersécurité de CYFIRMA. Conçu comme un service malveillant (MaaS, Malware-as-a-Service) disponible sur le darknet, il se distingue par sa capacité à se transformer en infostealer, RAT, bot DDoS et ransomware. En quelques semaines seulement, plus de 1000 victimes ont été touchées. Cette menace multifonctionnelle, particulièrement visée sur les systèmes Windows, suscite une préoccupation majeure dans le monde de la cybersécurité.

Aussi sinistre que polyvalent, WISE REMOTE est un malware particulièrement pernicieux découvert récemment sur des forums de pirates informatiques [preuve qu’ils ne sont pas si pro que ça, NDR]. Il est constamment amélioré par ses développeurs qui en assurent la promotion à travers des preuves d’efficacité diffusées sur Discord et Telegram.

Cet infostealer, dont le code est écrit en Go, est également compatible avec les langages de programmation C++, C# et Python, ce qui démontre son niveau d’adaptabilité.

Il s’attaque principalement aux systèmes d’exploitation Windows, notamment les versions 8, 10 et 11. Pour se soustraire aux systèmes de détection d’antivirus, WISE REMOTE utilise une panoplie d’astuces ingénieuses, et chiffré toutes les communications avec son serveur C2 basé en Suisse.

Couteau Suisse de la malveillance

Il s’agit d’un véritable ‘couteau suisse’ du malware, qui sait à la fois collecter des informations système, créer un shell inversé, télécharger et exécuter des fichiers supplémentaires, extraire des informations sensibles des navigateurs, voler des données de portefeuilles de cryptomonnaie, interagir avec des sites web sans consentement, capturer des écrans, et même modifier des journaux système pour masquer son activité malveillante.

Grâce à son tableau de bord sophistiqué, l’opérateur de WISE REMOTE peut surveiller jusqu’à 10 000 ordinateurs infectés simultanément et donner des instructions générales, notamment pour déclencher une attaque DDoS.

À l’heure actuelle, WISE REMOTE Stealer dispose des fonctionnalités suivantes :

Collecte d’informations système et création d’un shell inversé ;
Téléchargement et exécution de fichiers supplémentaires ;
Extraction d’informations à partir des navigateurs (mots de passe enregistrés, cookies, données de cartes bancaires, favoris, historique de navigation, liste des extensions) ;
Vol de données à partir de portefeuilles de cryptomonnaie ;
Ouverture de sites web et interaction avec eux sans le consentement de la victime ;
Capture d’écran ;
Téléchargement de fichiers dans le dossier AppData ;
Création et personnalisation d’agents malveillants ou de modules pour mener des attaques ciblées ;
Modification des journaux système, suppression d’enregistrements pour masquer l’activité malveillante.
Le tableau de bord permet de surveiller jusqu’à 10 000 ordinateurs infectés. L’opérateur a également la possibilité de donner des instructions générales, par exemple, pour effectuer une attaque DDoS ou d’autres actions malveillantes.

Le malware est écrit en Go, bien que les développeurs utilisent également C++, C# et Python. WISE REMOTE vise principalement les systèmes Windows (versions 8, 10 et 11). Diverses astuces sont utilisées pour contourner les antivirus, et les communications avec le serveur C2 (basé en Suisse) sont chiffrées.

Les modules côté client sont importés via le cloud, les données volées sont enregistrées sur le disque (dans le dossier /temp) et effacées après l’envoi. Le builder fourni aux abonnés permet de personnaliser les icônes (adaptées aux méthodes de distribution du malware choisies et à la chaîne d’infection) ; les versions finales pèsent généralement moins de 100 Ko.