Voici le rapport de veille des actus cybersécurité les plus intéressantes de la période.
Les principales cyberattaques repérées cette semaine
- Plusieurs campagnes malveillantes exploitent des fichiers image (SVG et JPEG) pour dissimuler du code malveillant, permettant de contourner les détections et de compromettre des systèmes à l’insu des utilisateurs.
- Le groupe GreedyBear a orchestré une opération à grande échelle combinant extensions Firefox, exécutables Windows et infrastructure de phishing, aboutissant au vol de plus d’un million de dollars en cryptomonnaie.
- Le projet de prêt décentralisé CrediX a subi un détournement de 4,5 millions de dollars avant que son équipe ne disparaisse, laissant les investisseurs sans recours et son site hors ligne.
- Les groupes de ransomware BlackSuit et Royal ont compromis plus de 450 victimes aux États-Unis, récoltant plus de 370 millions de dollars avant le démantèlement de leur infrastructure le mois dernier.
Cette synthèse hebdomadaire met en évidence une diversification des vecteurs d’attaque, allant des campagnes de steganographie à l’exploitation d’écosystèmes open source, en passant par des attaques ciblant les infrastructures critiques et financières. Les acteurs malveillants combinent sophistication technique et exploitation des chaînes d’approvisionnement logicielles pour maximiser leurs gains et échapper aux contre-mesures.
Les chercheurs de Malwarebytes ont identifié l’utilisation de fichiers SVG piégés dans des publications Facebook frauduleuses visant à propager des malwares depuis des sites pour adultes, profitant des règles de vérification d’âge pour accroître leur audience. Les images contiennent du code permettant d’exécuter des actions malveillantes à l’insu des victimes.
Soixante packages Ruby malveillants ont été téléchargés 275 000 fois depuis mars 2023, intégrant du code de vol de données d’authentification. Les cibles principales sont les comptes développeurs, exposant ainsi les projets et dépôts associés à des compromissions.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Le projet CrediX a été victime d’un exploit sur un portefeuille administrateur, permettant la création de jetons non adossés et la vidange de pools de liquidité. Les fonds volés ont été transférés entre blockchains, puis immobilisés sur quelques adresses.
Les autorités américaines ont confirmé que les groupes BlackSuit et Royal ont ciblé santé, éducation, énergie et administrations, générant plus de 370 millions de dollars en rançons. Leur infrastructure a été démantelée grâce à une opération coordonnée internationale.
Des chercheurs sud-coréens ont découvert une variante de RoKRAT exploitant la stéganographie dans des fichiers JPEG pour échapper aux antivirus, attribuée au groupe nord-coréen APT37. Le code malveillant est chiffré et dissimulé dans les données de l’image.
Une faille critique dans Gemini AI permet des attaques via invitations Google Calendar ou e-mails, qualifiées de « Targeted Promptware Attacks ». Les assaillants peuvent exfiltrer des données sensibles et contrôler des appareils connectés.
La campagne GreedyBear combine 150 extensions Firefox malveillantes et près de 500 exécutables Windows, ciblant les portefeuilles de cryptomonnaies. Les infrastructures de phishing associées ont permis de voler plus d’un million de dollars.
La société Chanel a subi une violation de données dans le cadre d’attaques ciblant Salesforce, où des acteurs malveillants ont accédé à des informations personnelles et commerciales sensibles de clients, illustrant la vulnérabilité des intégrations cloud mal sécurisées.
Une vague de 150 extensions Firefox malveillantes capables de vider les portefeuilles de cryptomonnaies a été détectée sur la boutique Mozilla, démontrant des lacunes dans la validation et la surveillance des modules proposés aux utilisateurs.
Deux packages NPM frauduleux se faisant passer pour des outils de développement WhatsApp embarquaient un code destructeur conçu pour effacer récursivement les fichiers des développeurs, compromettant potentiellement leurs projets et environnements de travail.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
