Anatsa, un cheval de Troie bancaire persistant sous Android, a pris part à une nouvelle campagne de logiciels malveillants pour appareils mobiles. En novembre 2021, le même cheval de Troie Anasta a participé à une autre campagne. Cette campagne était localisée sur Google Play et imitait un certain nombre d'applications téléchargeables. Ces applications, telles que des scanners PDF, des scanners QR, des applications Adobe Illustrator et des applications de suivi de la condition physique, ont été téléchargées plus de 300 000 fois. Le lancement de la nouvelle campagne d'Anatsa en mars 2023 a ciblé les paiements bancaires en ligne et les utilisateurs aux États-Unis, au Royaume-Uni, en Autriche, en Allemagne et en Suisse.
Aujourd'hui, les pirates modifient leur approche en lançant des publicités malveillantes via Google Play. Ils listent des applications nuisibles dans la catégorie bureautique ou productivité, ciblant les professionnels de tous les jours, comme Anatsa PDF Viewer, une application d'édition, et une suite bureautique. Alors que Google a supprimé un grand nombre de ces applications malveillantes, Anatsa a continué à les contourner. Elle publie de nouvelles applications avec des codes légitimes qui sont ensuite modifiés une fois téléchargés dans la boutique d'applications. Si un utilisateur télécharge l'application malveillante, une fenêtre d'alerte apparaît et lui demande d'autoriser un hôte secondaire sur GitHub. Une fois que l'utilisateur a accepté, le code infecté est libéré sur son appareil, mais apparaît comme un module complémentaire de l'application.
En utilisant Anatsa, cette campagne est capable de récupérer toutes les informations financières des utilisateurs, telles que les identifiants bancaires et les informations relatives aux cartes de crédit. Le cheval de Troie a réussi à récupérer ces informations en plaçant des pages d'hameçonnage lorsque les utilisateurs basculent vers leur application bancaire. Les informations volées sont envoyées à des mules une fois qu'elles ont été converties en crypto-monnaie. Actuellement, Anatsa cible plus de 600 banques, dont E*TRADE, J.P. Morgan, Capital One, Schwab, etc.
(Source : BleepingComputer)
Pilot Credentials, une société utilisée pour recruter des pilotes au Texas, a été victime d'une violation de données concernant plus de 8 000 candidats de Southwest et d'American Airlines. La base de données ainsi piratée contient des informations telles que des numéros de sécurité sociale, des numéros de passeport, des numéros de permis de conduire et des numéros de licence de pilote. La faille a été découverte le 3 mai, mais elle s'était produite quelques semaines auparavant. Aucune des deux compagnies n'a constaté d'activité frauduleuse, mais elles déplacent leur processus d'opération en interne comme méthode directe à la compagnie aérienne.
Les experts en sécurité affirment que ce type d'informations permet aux attaquants de commettre des vols d'identité, des fraudes financières et des attaques par hameçonnage. Ce n'est pas la première fois que les compagnies aériennes font l'objet d'attaques de la part d'acteurs menaçants. En 2022, American a subi une attaque par hameçonnage contre les courriels de ses employés, ce qui a rendu vulnérables les données sensibles de ses clients. En raison de l'attention nouvellement portée par les attaquants à ce secteur, l'Administration de la sécurité des transports (TSA) applique de nouvelles réglementations en matière de cybersécurité dans les aéroports ainsi que dans les logiciels d'exploitation à bord des avions.
(Source : DarkReading)
L'injection de processus, un type d'exécution de code arbitraire utilisé par les attaquants, permet aux pirates d'exécuter des codes nuisibles dans un système logiciel de confiance sans se faire remarquer. Dans la plupart des cas, les acteurs utilisent des appels à l'API Window pour modifier l'autorisation du système et démarrer des threads ou allouer de la mémoire dans le programme. Généralement, les outils de sécurité peuvent voir ce comportement et le signaler. Cependant, Mockingjay, une nouvelle forme de cette méthode d'attaque, permet aux attaquants de trouver une autre voie d'accès à ces systèmes. Ils les compromettent sans alerter les mesures de sécurité de détection et de réponse des points finaux (EDR). Au lieu de cela, les acteurs de la menace qui utilisent Mockingjay sont en mesure d'insérer un code malveillant dans les systèmes distants. Pour ce faire, ils lisent, écrivent et produisent des sections dans la bibliothèque de liens dynamiques, ce qui n'alerte pas l'EDR.
Pour mettre au point cette nouvelle technique et cette nouvelle bibliothèque de liens dynamiques, les chercheurs ont utilisé une section RWX préexistante et se sont servis des protections de la mémoire du système pour contourner tous les crochets EDR qui avaient été placés. Cette méthode permet aux chercheurs de modifier le code et de procéder à deux méthodes d'injection différentes. La première est l'auto-injection. Grâce à différents appels de l'API Windows, la bibliothèque de liens dynamiques infectée a été chargée dans l'application personnalisée des chercheurs, nightmare.exe. Cela a permis d'accéder à la section RMW sans qu'aucune action de mémoire ou d'autorisation ne soit nécessaire. NTDLL.DLL est utilisé pour nettoyer le système en supprimant les numéros de syscall et en utilisant l'approche de décrochage EDR de Hell's Gate, ce qui permet au shellcode de s'exécuter sans aucun drapeau. La deuxième méthode consistait à injecter un processus à distance pour insérer une charge utile dans le processus distant ssh.exe en tant que processus enfant avec msys-2.0.dll dans la section TWX. En utilisant ssh.exe, il déverrouille les processus cibles, ce qui permet au code malveillant d'être transféré dans la section mémoire RMW de la DLL. Le shellcode injecté est trompé par le fichier DLL, MyLibrary.dll, un shell inversé. Les chercheurs ont constaté que cette attaque contourne les mesures EDR sans générer de processus.
(Source : BleepingComputer)
En juillet 2020, l'agence gouvernementale européenne Europol a fermé EncroChat, un réseau de communication cryptée. Les abonnés de ce réseau bénéficiaient d'un cryptage très durable qui permettait de garder les utilisateurs cachés. La plateforme disposait de fonctionnalités telles que l'effacement des données de service et des outils d'amorçage inviolables pour la sécurité. Mardi, les forces de l'ordre ont rendu public le fait que cette opération réussie avait conduit à plus de 6 500 arrestations dans le monde entier et permis de récolter 900 millions d'euros (982 millions de dollars) grâce à leurs systèmes clandestins. Lors des arrestations, près de 200 suspects étaient impliqués dans des groupes criminels organisés de haut niveau. Les recettes des criminels ont été divisées en revenus, puis dépensées pour faire équipe avec d'autres campagnes d'attaquants.
Grâce à une enquête plus approfondie, les autorités ont découvert plus de 115 millions de conversations par l'intermédiaire de 60 000 abonnés du fournisseur de communications. En outre, au-delà du gain financier de l'entreprise, les agences gouvernementales ont saisi plus de 30 millions de pilules de drogue chimique, 270 tonnes d'autres substances illégales, 1 365 maisons, véhicules, bateaux et avions utilisés par des criminels, ainsi que des milliers d'armes et d'autres équipements.
À la suite de cette opération couronnée de succès, les membres qui n'ont pas été arrêtés sont passés à une autre société de cryptage, Sky ECC, qui a été soigneusement observée et démantelée. Les agences gouvernementales européennes, françaises, néerlandaises et américaines sont intervenues car cette plateforme était utilisée dans le monde entier et hébergeait 27 millions de messages entre des attaquants appartenant à de nombreux gangs différents pour communiquer.
(Source : CyberSecurityNews)
LetMeSpy est une application Android de suivi de téléphone qui a été créée pour permettre aux parents de contrôler le contenu et la fréquence d'utilisation de l'appareil de leurs enfants, et aux entreprises de limiter le temps d'utilisation de l'appareil par leurs employés. Cette application enregistre les textes, les appels et la localisation des utilisateurs.
Le 21 juillet, le niveau élevé d'informations sur cette application a conduit des attaquants à pirater le système et à obtenir des données sur les utilisateurs jusqu'en 2013. L'entreprise affirme que son système supprime automatiquement les données après deux mois d'inactivité du compte de l'utilisateur, mais ce n'est pas le cas. Une équipe de recherche en sécurité a identifié cette violation et a alerté l'application de suivi des appareils. Cependant, l'acteur inconnu a répondu au message et a déclaré avoir pris le contrôle du domaine de l'application. À l'heure actuelle, on sait que les auteurs de la menace ont compromis plus de 13 000 appareils, sans divulguer beaucoup d'informations sur ce qu'ils ont obtenu publiquement. Les forces de l'ordre et les agences de données de sécurité surveillent attentivement la situation et tentent d'obtenir le maximum d'informations que le gang est prêt à partager.
(Source :DarkReading)
