Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce VMX Labs Cybersecurity Threat Roundup est compilé par les chercheurs en cybersécurité et les data scientists de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignement récents.
Informations sur les menaces
- Brokewell Le cheval de Troie bancaire Android possède des capacités étendues de prise de contrôle des appareils, bien qu'il soit encore en phase active de développement et qu'il reçoive des mises à jour quotidiennes. Comme la plupart des logiciels bancaires malveillants sous Android, il peut effectuer des attaques par superposition en abusant du service d'accessibilité d'Android. En outre, les cybercriminels à l'origine des opérations Brokewell ont développé un chargeur pour contourner les contre-mesures d'Android 13+ contre l'abus du service d'accessibilité et l'ont mis en libre accès.
- Attaque par flux sale exploite une vulnérabilité de traversée de chemin trouvée dans des applications Android populaires, téléchargées plus de quatre milliards de fois à partir du Google Play Store, qui permet à une application malveillante d'écraser des fichiers dans le répertoire d'origine de l'application cible. Selon l'implémentation de l'application vulnérable, l'exécution de code arbitraire et le vol de jetons sont également possibles.
- LightSpy La campagne de logiciels espions pour iOS cible l'Asie du Sud et probablement l'Inde. Il vole des documents et des fichiers personnels dans les applicationsLightSpy enregistre furtivement les sons ambiants à partir du microphone de l'appareil et prend des photos à l'aide de l'appareil photo, surveille l'activité de l'utilisateur et récupère des données sensibles à partir du stockage sécurisé de l'utilisateur.
- Se faire passer se faire passer pour une application connue est une tactique très répandue pour les trojans d'accès à distance Android afin de tromper les victimes et de les inciter à les installer. Certains utilisent le hameçonnage sur l'appareil comme principal vecteur d'attaque. Ils demandent des autorisations pour le service d'accessibilité et l'administration de l'appareil. De faux formulaires de connexion de marques ciblées apparaissent de temps à autre sur l'écran de l'appareil pour voler les informations d'identification de l'utilisateur.
- Logiciel espion Mercenary ont été envoyés par Apple aux utilisateurs d'iPhone dans 92 pays. Ces attaques sophistiquées sont très ciblées et souvent utilisées pour la surveillance de journalistes, d'activistes, de politiciens ou de diplomates par des États-nations..
- Échange de cartes SIM des leurres sont proposés à des employés d'entreprises de télécommunications américaines pour les inciter à de procéder à des échanges illégaux de cartes SIM. Les cybercriminels reçoivent les codes d'authentification à deux facteurs envoyés à la victime par la suite et prennent le contrôle des comptes de la victime.
- L'hameçonnage campagnes de escroqueries aux péages non payés sont observées dans trois États des États-Unis.
- SoumniBotun cheval de Troie bancaire Android, cible les utilisateurs de services bancaires mobiles en Corée. Ses développeurs ont appliqué des techniques d'obscurcissement non conventionnelles au fichier manifeste, ce qui a permis d'échapper à la détection des outils standard. En particulier, ce cheval de Troie bancaire trouve et exfiltre les certificats numériquestels que ceux utilisés pour se connecter à des comptes bancaires en ligne ou exécuter des transactions.
- Storm-0539 acteur de la menace cible les employés des entreprises de vente au détail américaines par des attaques de phishing sophistiquées sur leurs appareils mobiles personnels et professionnels. Une fois les informations d'identification d'un employé compromises, les adversaires accèdent au réseau de l'entreprise et y recueillent des informations afin d'identifier les processus commerciaux liés aux cartes-cadeaux et de se tourner vers des employés spécifiques dont les comptes permettent aux attaquants de créer des cartes-cadeaux frauduleuses.
- Vultur Campagne de trojan bancaire Android vise les utilisateurs de services bancaires mobiles en Finlande.
- Le cheval de Troie Android Wpeeper utilise des sites web WordPress compromis comme proxy vers ses véritables serveurs de commande et de contrôle (C2). Cette technique rend difficile le repérage des serveurs C2. Des applications reconditionnées sont utilisées pour diffuser ce logiciel malveillant afin d'échapper à la détection. Un petit implant dans l'application reconditionnée télécharge la charge utile malveillante. La campagne d'attaque a été interrompue brusquement quatre jours après l'observation ; par conséquent, les intentions de l'acteur de la menace n'ont pas encore été véritablement comprises.
Vulnérabilités et correctifs
- La CISA ajoute CVE-2023-7028une vulnérabilité de contrôle d'accès inapproprié, à son catalogue de vulnérabilités exploitées connues (Known Exploited Vulnerabilities Catalog). Elle permet à un attaquant de déclencher des courriels de réinitialisation de mot de passe vers une adresse électronique contrôlée par l'attaquant et de prendre le contrôle du compte GitLab de la victime. Toutes les installations de GitLab doivent être urgemment patchées. Les cybercriminels pourraient pénétrer dans les organisations et exécuter des attaques de la chaîne d'approvisionnement en logiciels en exploitant cette vulnérabilité.
- Système d'exploitation Android fuit les requêtes DNS dans certains scénarios, même si le VPN toujours actif et Bloquer les connexions sans VPN sont activées.
- 20 vulnérabilités dans diverses applications et composants du système des appareils Xiaomi sont divulguées. Les utilisateurs d'appareils Xiaomi doivent appliquer les dernières mises à jour.
- Apple a rétroporté le correctif pour le zero-day activement exploité (CVE-2024-23296) pour les anciens iPhones dans la version iOS 16.7.8 de l'iOS 16.7.8. Cette vulnérabilité permet aux attaquants disposant de capacités arbitraires de lecture et d'écriture du noyau de contourner les protections de la mémoire du noyau. Elle a été corrigée par une amélioration de la validation.
Rapports de renseignement
- L'avenir enregistré rapporte que le risque d'un incident de type "NotPetya mobile", dû à un logiciel malveillant mobile qui se propage de lui-même par le biais d'exploits de type "zéro-clic", augmente rapidement.
- L'équipe chargée de la sécurité et de la confidentialité d'Android a banni 333 000 comptes de développeurs malveillants et empêché la publication sur le Google Play Store de 2,28 millions d'applications violant les politiques sur le Google Play Store en 2023. Ces chiffres ont augmenté de 92 % et 59 %, respectivement. En outre, près de 200 000 applications ont été rejetées ou rectifiées pour mettre fin à l'utilisation abusive d'autorisations sensibles telles que la localisation ou l'accès aux SMS en arrière-plan.
- Le rapport de Kaspersky sur les cybermenaces financières en 2023 souligne trois méthodes d'attaque principales : l'hameçonnage, les logiciels malveillants sur PC et les logiciels malveillants sur mobile.
- Kaspersky présente les risques pour la vie privée liés aux applications mobiles destinées aux enfants.
- Le rapport du Citizen Lab montre que 8 des 9 applications de clavier chinois pinyin basées sur le site cloud présentent de simples failles de sécurité qu'un pirate peut exploiter pour révéler le contenu des frappes des utilisateurs en transit. On estime que jusqu'à un milliard d'utilisateurs sont vulnérables.
- Which ?, la plus grande organisation de défense des droits des consommateurs au Royaume-Uni, a publié les résultats de son évaluation des sites web et des applications mobiles. résultats de son évaluation des sites web et des applications mobiles des 13 plus grands fournisseurs de comptes au Royaume-Uni. Les meilleurs résultats pour les applications bancaires mobiles ont été obtenus par HSBC (78 %) et Barclays (74 %).
- Anubis, AhMyth et Cerberus ont été les trois principaux logiciels malveillants mobiles en mars 2024, selon le rapport de Check Point sur les logiciels malveillants les plus recherchés.
- Dans son rapport 2023, Doctor Web examine l'activité virale sur les appareils mobiles. indique que plus de 400 applications malveillantes ont été trouvées dans le Google Play Store l'année dernière, avec un total d'au moins 428 millions de téléchargements.
Le typhon salé met en évidence les lacunes critiques de la sécurité mobile : La CISA réagit