Mystic Stealer est une solution de crimeware diffusée en avril 2023 pour un peu moins de 200 dollars par mois. Ce malware est responsable du vol de données à travers plusieurs navigateurs web et extensions, ciblant les portefeuilles et les flux de crypto-monnaies, et utilisant des techniques pour éviter la détection. Python a créé le panneau de contrôle, qui a ensuite été mis en œuvre dans le langage de programmation C. Le panneau est conçu pour permettre aux clients du voleur d'accéder à tous les journaux de données qu'ils ont récupérés.
Le virus a été modifié en mai pour inclure un chargeur qui reçoit et distribue des charges utiles de niveau suivant à partir d'un serveur de commande et de contrôle, ce qui en fait une menace plus dangereuse. Les chercheurs pensent que ce logiciel malveillant est destiné à voler davantage d'informations en s'efforçant d'échapper à l'analyse et à la détection des défenses. Les criminels voleurs aident d'autres cybercriminels à lancer leurs campagnes en leur fournissant des données de base, qui sont ensuite utilisées pour lancer des campagnes de ransomware et d'extorsion de données.
(Source : TheHackerNews)
NSO Group est une société israélienne notoire qui a développé un logiciel espion sans clic connu sous le nom de Pegasus. Ce logiciel malveillant a été mis sur liste noire par le gouvernement américain en 2021. Il a été développé pour permettre aux attaquants de surveiller les fonctionnaires, le personnel des ambassades, les professionnels et divers autres groupes dans le monde entier. Des contraintes ont été imposées au groupe pour qu'il transfère des technologies américaines avant la fin de l'année 2021. Cependant, neuf fonctionnaires du ministère ont découvert ce logiciel espion sur leurs appareils mobiles.
Un certain nombre de procès ont été intentés contre NSO Group à cause de ce logiciel espion spécifique. Hanan Elatr, l'épouse de Jamal Khashoggi, le journaliste décédé du Washington Post, a intenté une action en justice pour violation des lois américaines sur le piratage informatique. Elle affirme que le groupe a utilisé son logiciel pour surveiller la mort de Jamal et a mis en péril sa sécurité financière, sa vie privée et sa carrière. Fin 2021, Apple a porté plainte contre NSO pour avoir ciblé ses clients avec des logiciels malveillants. De plus, en janvier, la Cour suprême des États-Unis a autorisé WhatsApp, un réseau de messagerie populaire, à poursuivre NSO pour avoir implémenté ce logiciel sur sa plateforme mobile.
Malgré ses problèmes juridiques, le groupe NSO a continué à essayer de modifier et d'améliorer le logiciel espion Pegasus, et des entreprises ont déjà vu ce logiciel sur leurs chaînes. Les investisseurs américains et les entreprises de défense considèrent ces logiciels malveillants comme un gain financier et commencent à envisager l'achat de certains actifs du groupe. Toutefois, les experts déconseillent l'achat de ces actifs, car il soulève d'éventuels problèmes de sécurité et ouvre la voie à l'apparition d'autres vulnérabilités à l'avenir.
(Source : DarkReading)
Asus, une entreprise de matériel informatique, a publié neuf mises à jour de micrologiciels pour ses modèles de routeurs WiFi. Lors de recherches récentes, Asus a découvert plusieurs vulnérabilités auxquelles ses clients pourraient être confrontés, notamment des attaques d'exécution de code, des fuites d'informations, une interruption de service et des méthodes de contournement de l'authentification.
Deux vulnérabilités se sont démarquées des autres en raison d'une note de sécurité CVSS de 9,8 et de problèmes de corruption de la mémoire. CVE-2018-1160 expose les routeurs à des attaques d'exécution de code par des attaquants non autorisés qui tentent d'exploiter cette vulnérabilité pour exécuter des attaques de code. La deuxième vulnérabilité est CVE-2022-26376, qui est une vulnérabilité de mémoire dans le httpd d'Asuswrt. Les acteurs de la menace pourraient formater une requête HTTP de manière stratégique, conduisant à une attaque par corruption de mémoire. Asus conseille à ses clients de mettre à jour leur firmware ou de désactiver les routeurs infectés.
Ce n'est pas la première fois qu'Asus est confronté à une faille de sécurité ; les routeurs WiFi suivants ont été affectés par le passé : Asus GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 et TUF-AX5400.
(Source : SecurityWeek)
Avec la récente prise de pouvoir des chatbots d'IA, de nombreuses organisations intègrent ce logiciel dans leurs projets quotidiens ou opérationnels. Sur une période de près d'un an (juin 2022-mai 2023), les cyberattaquants ont pu compromettre plus de 100 000 identifiants de comptes sur ce bot d'IA. ChatGBT est configuré pour enregistrer toutes les informations de toutes les conversations, ce qui permet aux acteurs de la menace de disposer d'une base de données plus importante. Les informations compromises ont été identifiées sur le dark web ce mois-ci en raison d'une augmentation du nombre de logs de vol d'informations à vendre. Les trois voleurs malveillants responsables de cette situation sont Raccoon (78 000 journaux), Vidar (environ 13 000) et Redline (environ 7 000).
L'Asie-Pacifique, le Moyen-Orient et l'Afrique, l'Europe, l'Amérique latine et l'Amérique du Nord comptent le plus grand nombre de violations et de journaux de comptes à vendre. Cette nouvelle campagne s'inscrit dans le cadre d'une campagne en cours dans laquelle les attaquants utilisent des contenus pour adultes attrayants à partir d'une version modifiée d'AsyncRAT, connue sous le nom de DCRat. Les utilisateurs compromis auraient téléchargé des fichiers à l'aide d'une nouvelle version de VBScript baptisée GuLoader. Ce nouveau logiciel espion capture les scripts des utilisateurs et les convertit en scripts PowerShell cryptés qui sont ensuite exécutés sur leur application web.
Les voleurs d'informations sont de plus en plus nombreux parmi tous les acteurs de la menace, car ils sont devenus plus habiles. Ils peuvent facilement obtenir les mots de passe et les informations financières des utilisateurs en collectant des informations à partir de leurs navigateurs Internet et de leurs modules complémentaires de crypto-monnaie. Les informations obtenues sont vendues sur le dark web dans l'espoir que d'autres criminels les utilisent pour leurs campagnes. Les chercheurs conseillent aux utilisateurs d'activer l'authentification à deux facteurs sur leurs comptes dans l'espoir d'empêcher que d'autres comptes soient compromis.
(Source : TheHackerNews)
L'opération Triangulation cible les cadres supérieurs qui utilisent des iPhones d'Apple, avec un message d'exploitation malveillant contenant une vulnérabilité d'exécution de code à distance. Le code contient une fonction qui permet aux attaquants de prendre le contrôle des appareils ciblés. Toutefois, si les utilisateurs ne réinitialisent pas leur appareil, le logiciel espion sera automatiquement désinstallé au bout de 30 jours. Les attaquants doivent alors réinstaller le logiciel espion pour infecter l'appareil ciblé.
TriangleDB s'interface avec son serveur de commande et de contrôle via la bibliothèque Protbuf pour la transmission des données. Les messages sont chiffrés à l'aide d'algorithmes de chiffrement symétriques et asymétriques tels que 3DES et RSA. Kaspersky, qui a été le premier à détecter ce logiciel malveillant, a découvert 24 commandes liées à l'interaction des fichiers et des processus, aux vidages du trousseau, à la surveillance de la géolocalisation et à l'exécution de modules supplémentaires d'exécutables au format Mach object file. Ce logiciel malveillant examine attentivement les modifications apportées aux dossiers à la recherche de mises à jour récentes et détecte les fichiers qui doivent être exfiltrés. Kaspersky a découvert que l'auteur de l'opération TriangleDB s'attaque maintenant aux Macbooks avec une opération très similaire.
(Source : SecurityWeek)
