20 - 26 juin 2016 RAPPORT THREAT INTELLIGENCE PRINCIPALES FAILLES ET ATTAQUES Un agresseur brésilien surnommé « Ric » propose un cheval de Troie bancaire sous forme de service, que des cybercriminels peuvent louer pour 500 euros pendant 10 jours. Le service comprend la possibilité de contourner les mesures d'authentification des banques brésiliennes et un outil d'administration complet. De grandes banques brésiliennes sont incluses dans la liste des cibles, ainsi que PayPal. Suite à une plainte déposée par la Commission fédérale du commerce des États-Unis (FTC), InMobi, une société de publicité mobile basée à Singapour, devra régler une amende de 850 000 euros pour avoir suivi la localisation de centaines de millions de consommateurs sans leur consentement, et devra implémenter un programme de protection de la vie privée. Des utilisateurs israéliens de Facebook sont ciblés par une nouvelle campagne utilisant la fonctionnalité de notification de Facebook. Les victimes reçoivent une notification indiquant qu'elles ont été identifiées par un ami, et lorsqu'elles accèdent au billet en question, un code JavaScript déguisé en fichier JPG est téléchargé sur l'ordinateur et un logiciel rançonneur s'active. Une base de données de 154 millions de dossiers d'électeurs américains, contenant des détails personnels tels que la possession d'armes à feu, l'ethnicité et le profil Facebook, a été piratée et publiée en ligne. L2, la firme spécialisée dans le courtage de données et propriétaire de la base, a été informée de l'incident et a retiré la base de données. VULNÉRABILITÉS ET CORRECTIFS Google a présenté la future version de son système Android, Android N, et plusieurs nouvelles fonctionnalités de sécurité. Les développeurs d'applications devront désormais stocker les clés de chiffrement dans la zone sécurisée TrustZone, et il sera possible d'installer des mises à jour du système d'exploitation en arrière-plan, puis les appliquer lors du prochain redémarrage de l'appareil. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels 1 20 - 26 juin 2016 La bibliothèque d'URL intégrée de Python est vulnérable aux attaques d'injection de protocole. Cela signifie qu'une URL conçue spécialement pour une victime utilisant une application Python et cette bibliothèque, permettrait à un agresseur d'accéder aux ressources internes. La faille est référencée par CVE-2016-5699. RAPPORTS ET MENACES Un nouveau logiciel rançonneur appelé « Bart », développé par les auteurs du cheval de Troie bancaire Dridex et du logiciel rançonneur Locky, a récemment été découvert. Il est téléchargé dans une machine infectée par le logiciel malveillant RockLoader via HTTPS, et ne nécessite pas de communication de commande et de contrôle pour chiffrer des fichiers. Les blades Check Point IPS, Anti-Virus et Anti-Bot offrent une protection contre ces menaces (Pièces jointes suspectes contenant du code JavaScript ; Trojan-Ransom.Win32.Locky ; Trojan-downloader.Win32.Locky ; Trojan.Win32.Dridex ; Operator.Dridex). Le logiciel rançonneur MICROP émet des demandes de rançon et accepte des méthodes de paiement particulières. Il exige une rançon de plus de 25 000 euros, en blâmant les utilisateurs pour le vol de cet argent et en demandant sa restitution, sans préciser le mode de paiement, supposant que les victimes savent à qui elles doivent verser les fonds. Ce comportement indiquerait une campagne soigneusement préparée. Godless, un logiciel malveillant Android, utilise plusieurs méthodes de rootage, y compris l'exploitation de la vulnérabilité TowelRoot pour infecter des appareils fonctionnant sous Android 5.1 (Lollipop) ou une version antérieure. Une fois l'appareil rooté, une application système persistante est installée. La blade Check Point Anti-Bot offre une protection contre cette menace (Rootkit.AndroidOS.Godless). Le kit d'exploitation de vulnérabilités Nuclear a cessé l'ensemble de ses activités et a fermé son infrastructure, selon un récent rapport d'enquête Check Point. Fin avril, toutes les instances du tableau de bord et du serveur maître Nuclear ont cessé de fournir des contenus malveillants et de répondre aux requêtes émises depuis leurs adresses IP. La blade Check Point IPS offre une protection contre cette menace (Page d'atterrissage du kit d'exploitation de vulnérabilités Nuclear ; Redirection du kit d'exploitation de vulnérabilités Nuclear). Des chercheurs de Check Point ont examiné le logiciel rançonneur sophistiqué Cerber, qui opère par vagues successives d'activité et de calme relatif, et ont repéré un pic d'activité fin mai. De récentes observations montrent que de nombreux utilisateurs ciblés par Cerber sont principalement situés aux États-Unis, en Turquie et au Royaume-Uni. Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan-Ransom.Win32.Cerber). Commentaires ou questions : [email protected] © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels |2