Actualités de la sécurité

Fermeture du supermarché du cybercrime et autres actualités de la semaine

Avast Security News Team, 17 mai 2019

Europol saisit un cyber syndicat international, un spyware infecte WhatsApp, les abonnés en ligne de Forbes se font pirater, et Zombieload s'étend.

Europol démantèle le supermarché du cybercrime

Dans un effort conjoint entre six pays, Europol a mené une opération internationale complexe pour démanteler le réseau de cybercrime du malware nommé GozNym. Le réseau a ciblé plus de 40 000 victimes auxquelles il aurait essayé de voler un total s'élevant à 90 millions d'euros. Un grand jury fédéral de Pittsburgh a mis en examen dix membres du réseau criminel pour conspiration visant à infecter les PC des victimes avec le malware GozNym, conçu pour voler les identifiants bancaires, les utiliser pour obtenir un accès frauduleux aux comptes des victimes, voler et blanchir l'argent de ces comptes. Le démantèlement a fait appel à la coopération de la Bulgarie, l'Allemagne, la Géorgie, la Moldavie, l'Ukraine, et les États-Unis.

Le réseau GozNym est un exemple de « cybercrime en tant que service », ou les acteurs malveillants avec différentes compétences criminelles s'associent pour former une « chaîne de montage » du crime. Elle est constituée d'un meneur du réseau, du développeur du malware, de « crypters » qui chiffrent le malware pour qu'il ne soit pas détecté, de spammeurs qui propagent le malware, de serveurs d'hébergement impénétrables pour héberger les domaines malveillants, de spécialistes de prise de contrôle de compte qui se chargent du transfert de l'argent des comptes des victimes, et de « caissiers » (aussi appelés « drop-masters ») qui blanchissent l’argent. Cinq des hommes mis en examen ont échappé à l'arrestation et sont toujours en cavale, alors que les autres sont en attente de jugement.

Citation de la semaine

« Le réseau GozNym est l'exemple type du concept de « cybercrime en tant que service » composé de différents services criminels tels que des hôtes impénétrables, des réseaux de transfert d'argent, des chiffreurs, des spammeurs, des codeurs, des organisateurs, et un support technique. » – Commentaire d’Europol sur le réseau criminel du malware GozNym

Une faille de WhatsApp laisse passer un logiciel espion

Un spyware de niveau commercial dont la provenance est soupçonnée être du programme de cyberattaque israélien appelé Pegasus a été détecté dans certaines cyberattaques utilisant l'application WhatsApp. Le malware pouvait s'installer tout seul sur le téléphone de la victime simplement en passant un appel, même si la victime ne décrochait pas. Facebook, la société mère de WhatsApp, pense que l'attaque a visé certaines personnes en particulier, notamment certains défenseurs des droits de l'Homme et des avocats. « L'attaque présente toutes les marques d'une entreprise privée collaborant avec le gouvernement pour propager des logiciels espions qui prennent le contrôle des fonctions du système d'exploitation des téléphones mobiles. »

Les agresseurs ont profité d'une faille de surcharge des tampons, bien que WhatsApp déclare avoir bloqué immédiatement ce vecteur d'attaque avec une mise à jour dès la détection de l'attaque et que les utilisateurs aient été protégés contre cette dernière depuis la semaine dernière. Le nombre de victimes ciblées au cours de l'attaque est indéterminé, mais WhatsApp a partagé les détails avec un certain nombre d'organisations de défense des droits de l'Homme au cours des derniers jours.

Luis Corrons, chercheur en sécurité chez Avast note : « Bien que nous ne soyons pas habitués à voir des attaques par le biais de WhatsApp, nous parlons d'une plateforme utilisée par plusieurs centaines de millions de personnes. Une brèche de sécurité dans cette plateforme permettant de cibler certaines personnes en particulier peut être une arme puissante aux mains de criminels. »

Donnée de la semaine

Zéro : C’est le nombre d'attaques de cybersécurité de type « hacktivisme » signalées publiquement depuis le début de l'année. Les piratages activistes, à thèmes politiques, ont atteint un pic de 35 en 2015 selon IBM.

Le malware de détournement de carte Magecart infecte Forbes

Des chercheurs en cybersécurité ont découvert que les pirates ont infecté le site d’abonnement Forbes avec le malware Magecart, un programme de détournement de carte couramment utilisé qui terrorise les entreprises à travers le monde.

Le malware collecte les informations de cartes de crédit des clients dont le nom, le numéro, la date d'expiration, le code de sécurité, ainsi que le numéro de téléphone, l'adresse postale, et l'adresse électronique. Les autorités ont immédiatement mis hors ligne le domaine que les cybercriminels utilisaient pour collecter les données volées dès la détection du malware. En plus de Forbes et British Airways, le malware Magecart a été utilisé lors d'attaques contre Ticketmaster, Newegg, OXO, Amerisleep et MyPillow. Un expert en sécurité commente : « Pour chaque attaque Magecart qui fait la une, nous en détectant des milliers d'autres que nous ne divulguons pas. Une partie considérable de ces violations moins connues implique des plateformes de paiement tierces. »

L'attaque de Zombieload

Les chercheurs ont identifié une nouvelle classe de vulnérabilités dans les puces de traitement Intel pouvant être exploitées de façon malveillante. Au cours des dernières années, les micro-puces Intel étaient criblées de failles trouvées récemment, Spectre, Meltdown et Foeshadow, et un nouveau type de menace gaiement nommée Zombieload a rejoint leurs rangs.

À l'image des trois autres vulnérabilités, Zombieload exploite le processus d'exécution spéculative, la capacité à calculer la prochaine action la plus probable de l'utilisateur, augmentant la vitesse et le lissage des performances de la puce Intel. Zombieload est une attaque par canal auxiliaire connue sous le nom d'attaque d'échantillonnage micro-architectural de données (« Microarchitectural Data Sampling » ou MDS). Un pirate peut utiliser ce type d'attaque pour obtenir des données depuis d'autres applications utilisées par le même processeur, d'où l'idée de créer une « porte auxiliaire ».

Intel applique d'ores et déjà un correctif pour cette brèche, déclarant à ZDNet que « le problème du MDS est déjà résolu au niveau matériel de nos générations récentes de processeurs de 8e ou 9e génération Intel Core, ainsi que la 2e génération de la famille de processeur Intel Xeon Scalable. En ce qui concerne les autres produits affectés, la résolution du problème est disponible par le biais de mises à jour du microcode, couplées aux mises à jour correspondantes pour les systèmes d'exploitation et le logiciel hyperviseur disponibles dès aujourd’hui. »

Les « lectures indispensables » de cette semaine sur le blog d'Avast

Sindhura Gade, une ingénieure en cybersécurité chez Avast, donne des conseils tactiques aux jeunes femmes visant à faire carrière dans la cybersécurité.