Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce VMX Labs Cybersecurity Threat Roundup est compilé par les chercheurs en cybersécurité et les data scientists de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignement récents.

Informations sur les menaces

  • Authy les données des utilisateurs de l'application d'authentification à deux facteurs (2FA), y compris les numéros de téléphone, ont été fuitent à cause d'un point de terminaison API non authentifié.. Tous les utilisateurs doivent mettre à jour l'application et faire attention aux attaques de phishing et de smishing. Plus tard dans le mois, AT&T a également annoncé une fuite des journaux d'appels de ses clients mobiles. fuite de journaux d'appels de clients mobiles à la suite d'une violation de données par un tiers qui a exposé un grand nombre de numéros de téléphone valides.
  • AzraelBot Le cheval de Troie bancaire Android (ABT) cible les utilisateurs de services bancaires mobiles dans le monde entier avec des attaques manuelles et automatiques par superposition. automatiques..
  • RAT Craxs Campagne de logiciels malveillants Android ciblant les utilisateurs de services bancaires mobiles à Singapour est révélée. La campagne distribue de fausses applications mobiles via des sites web de phishing, se faisant passer pour des plateformes locales d'achat en ligne et de nombreuses petites entreprises.
  • GuardZoo Un logiciel de surveillance Android, attribué à un acteur yéménite, aligné sur les Houthis, cible le personnel militaire au Moyen-Orient. Il peut installer une charge utile de deuxième niveau sur l'appareil de la victime. La méthode initiale de diffusion du malware se fait via WhatsApp, WhatsApp Business et par téléchargement direct dans le navigateur..
  • KonfetyKonfety, une campagne de fraude publicitaire massive, utilise une nouvelle méthode de jumeaux diaboliques pour dissimuler le trafic frauduleux.
  • Méduse Le cheval de Troie bancaire Android (ABT), également connu sous le nom de TangleBot, a évolué vers une version plus compacte afin d'échapper aux détections tout en ajoutant de nouvelles capacités telles que les attaques par superposition. tout en ajoutant de nouvelles capacités telles que les et la désinstallation d'applications. Il a été observé que les acteurs de la menace distribuant Medusa ABT ont commencé à incorporer des droppers dans leurs processus de distribution. Cinq campagnes Medusa ciblant des utilisateurs en Turquie, au Canada, aux États-Unis, en Espagne, en France, en Italie et au Royaume-Uni ont été découvertes.
  • Logiciel espion Mercenary ont été envoyés par Apple aux utilisateurs d'iPhone dans 98 pays. Une alerte similaire a été envoyée aux utilisateurs de 92 pays en avril. Ces attaques sophistiquées sont ciblées, répandues et souvent utilisées pour surveiller des journalistes, des activistes, des politiciens ou des diplomates par des États-nations. utilisées pour surveiller des journalistes, des activistes, des politiciens ou des diplomates par des États-nations..
  • OilAlpha groupe de menace surveille les organisations humanitaires au Yémen et, peut-être, au Moyen-Orient avec des variantes du logiciel espion Android SpyNote.
  • Les attaques de type "Quishing des codes QR malveillants qui redirigent les utilisateurs de téléphones mobiles vers des sites de phishing ou leur font télécharger des logiciels malveillants. rapidement augmenté en 2024. Une récente campagne de quishing cible les ressortissants chinois avec de faux documents officiels du gouvernement et incite les victimes à divulguer leurs identifiants bancaires pour vérification d'identité.
  • Rafel RATun outil d'administration à distance open-source, est souvent utilisé à mauvais escient par les acteurs de la menace pour extorsion (ransomware) et le vol de données sensibles (spyware), comme le vol de mots de passe à usage unique (OTP).comme le vol de mots de passe à usage unique (OTP). Les campagnes de Rafel RAT ciblent principalement les utilisateurs d'Android aux États-Unis, en Chine et en Indonésie, mais des victimes ont également été trouvées dans d'autres pays. La plupart des appareils des victimes (87,5 %) utilisent des versions d'Android obsolètes.
  • Singpass l'identité numérique de confiance des citoyens et résidents de Singapour, sont volés et vendus sur le dark web. Le nombre total de vendeurs clandestins proposant des données d'identité singapouriennes volées a augmenté de 230 %. On observe que les cybercriminels utilisent Nexus ABT pour voler les informations d'identification Singpass à partir d'appareils Android, entre autres.
  • Les attaques de smishing ont augmenté de augmenté de 7 % aux États-Unis. Les attaques liées à l'élection présidentielle de 2024 sont en hausse.
  • Triade du smishing, un acteur de la menace parlant chinois et spécialisé dans le smishing, se fait passer pour des entreprises postales telles que India Post, Singapore Post, La Poste, et bien d'autres dans leur dernière campagne. Ils utilisent des comptes iCloud compromis ou générés pour distribuer les URL de phishing avec des iMessages.
  • Snowblind Le logiciel malveillant Android utilise une technique de reconditionnement reposant sur la fonction seccomp du noyau Linux pour contourner les contre-mesures anti-piratage des applications et dissimuler l'utilisation abusive de son service d'accessibilité. Il cible l'Asie du Sud-Est. cible l'Asie du Sud-Est.
  • SpyMax RAT déguisé en application Telegram a été démasqué.
  • SpyNote Exemples de logiciels espions Android se faisant passer pour des applications légitimes comme Google Translate, Temp Mail et Deutsche Postbank ont été découverts dans des répertoires ouverts.
  • Le groupe APT Transparent Tribe a mis à jour CapraRAT pour pouvoir cibler les nouvelles versions d'Android. Les derniers échantillons montrent que les acteurs de la menace continuent d'utiliser des applications de navigation vidéo pour distribuer des logiciels espions et surveiller leurs cibles.

Vulnérabilités et correctifs

  • Apple a corrigé une faille d'authentification (CVE-2024-27867) dans le firmware des AirPods qui permet à un attaquant à portée Bluetooth de connecter les AirPods et d'écouter les conversations.
  • A sévère 5G AKA Bypass qui permet à un pirate de surveiller le trafic Internet des victimes et d'envoyer des SMS de phishing, a été découverte dans l'une des bandes de base 5G utilisées dans le monde entier.
  • CocoaPods, un gestionnaire de dépendances populaire pour iOS, a corrigé trois vulnérabilités (CVE-2024-38366, CVE-2024-38367, et CVE-2024-38368). Ces vulnérabilités peuvent être exploitées pour acquérir la propriété de nombreux projets non réclamés et ajouter du code malveillant à des milliers d'applications iOS (attaques de la chaîne d'approvisionnement).
  • GitLab a corrigé des vulnérabilités critiques (CVE-2024-5655 et CVE-2024-6385) qui permettent à un attaquant d'exécuter un pipeline en tant qu'autre utilisateur dans certaines circonstances.

Rapports de renseignement

  • Le rapport sur les menaces d'ESET Rapport ESET sur les menaces H1 2024 indique des détections régulières de trojans bancaires et de cryptomonnaies Android avec l'évolution continue des familles de logiciels malveillants et de leurs méthodes au cours des deux dernières années. Il fait également état de deux évolutions significatives dans le paysage des menaces mobiles : Une menace financière sophistiquée en Asie du Sud-Est, GoldDiggerPlus ABT, s'est étendue à l'Amérique latine et à l'Afrique du Sud, et la version iOS de GoldPickaxe est distribuée par le biais d'un schéma d'ingénierie sociale complexe qui persuade les victimes d'installer un profil de gestion des appareils mobiles (MDM).
  • Anubis, AhMyth et Hydra en mai et Joker, Anubis et AhMyth en juin ont été les trois principaux malwares mobiles selon le rapport de Check Point sur les malwares les plus recherchés.