Nous avons rassemblé les nouvelles les plus importantes du monde de la cybersécurité pour la semaine.
- Les données des utilisateurs du programme de bonus SberSpasibo sont entrées dans le réseau.
- 160 Go de documents Acer sont en vente sur un forum de hackers.
- Des extorqueurs de DoppelPaymer ont été arrêtés en Ukraine et en Allemagne.
- Le malware Android ciblait 13 portefeuilles Bitcoin et 400 banques.
Les données des utilisateurs du programme de bonus SberSpasibo sont entrées dans le réseau
Le groupe de pirates NLB prétend avoir piraté le service du programme de bonus SberSpasibo. Deux grandes décharges contenant des données personnelles des clients de la banque se sont avérées accessibles au public.
L’un d’eux contient 6,3 millions de lignes de numéros de téléphone, d’adresses e-mail, de dates de naissance et d’enregistrement, de numéros de carte bancaire hachés et d’autres informations de service pour la période du 1er avril 2017 au 7 février 2022.
Le deuxième fichier contient 48,3 millions de lignes d’adresses e-mail et de numéros de téléphone.
Malgré le fait que les numéros de cartes bancaires sont stockés sous forme de hachage, en raison de l’utilisation de la méthode de hachage SHA1 obsolète, les experts estiment que les pirates pourront restaurer leurs valeurs réelles par une recherche par force brute de tous les numéros.
Auparavant, le groupe NLB avait déjà annoncé que les systèmes informatiques internes de la Sberbank avaient été piratés. Ensuite, la base de données avec les contacts des clients et des employés de SberLogistics, ainsi que les données des utilisateurs de la plate-forme SberPravo, est entrée dans le réseau.
Roskomnadzor s’est intéressé à l’incident. SberSpasibo a également lancé un audit interne.
160 Go de documents Acer mis en vente sur un forum de hackers
Le fabricant d’ordinateurs taïwanais Acer a confirmé une fuite de plus de 160 Go de données survenue mi-février.
Le vendeur sous le surnom de Kernelware a mis le dump aux enchères pour la crypto-monnaie Monero.
Le plus offrant recevra des manuels techniques, des outils logiciels, des informations sur l’infrastructure du serveur, une documentation sur les modèles de produits pour les téléphones, les tablettes et les ordinateurs portables, des clés de produit numériques de remplacement, des images BIOS, des fichiers ROM et ISO, a-t-il déclaré.
Selon une déclaration d’Acer, un attaquant a piraté l’un de ses serveurs avec une documentation électronique pour les spécialistes de la réparation.
La société n’a trouvé aucun signe de données de consommateurs sur ce serveur.
Le botnet Emotet a repris l’envoi de spam après une pause
Le malware Emotet a recommencé à envoyer des spams malveillants après une interruption de trois mois. Cela a été remarqué par des spécialistes de Cofense et Cryptolaemus.
❗𝗕𝗥𝗘𝗔𝗞𝗜𝗡𝗚 𝗡𝗘𝗪𝗦❗#Emote a repris ses activités ce matin, en envoyant des e-mails avec des fichiers .zip joints non protégés par un mot de passe.
En savoir plus ci-dessous ⬇️ https://t.co/kbXBKNGzan
— Cofense (@Cofense) 7 mars 2023
Pour infecter les appareils des utilisateurs, les attaquants utilisent des e-mails qui imitent diverses factures. Vous trouverez ci-joint des archives ZIP contenant des documents Word de plus de 500 Mo. Ce volume rend difficile la détection des logiciels malveillants par les antivirus.
Lorsqu’un document est ouvert, les macros intégrées téléchargent le chargeur Emotet et l’exécutent en arrière-plan.
Désormais, le logiciel malveillant collecte de nouvelles informations d’identification et vole également des informations dans les carnets d’adresses à des fins de ciblage. En raison du manque de charges utiles supplémentaires, les experts suggèrent que c’est ainsi qu’il collecte les données pour les futures campagnes de spam.
L’activité précédente d’Emotet en novembre 2022 a duré deux semaines.
Des extorqueurs de DoppelPaymer détenus en Ukraine et en Allemagne
Les forces de l’ordre en Allemagne et en Ukraine ont arrêté deux personnes qui seraient des membres clés du groupe d’extorsion DoppelPaymer. Europol a signalé.
Les enquêteurs enquêtent actuellement sur le matériel saisi aux suspects.
Selon les autorités allemandes, DoppelPaymer était composé de cinq membres principaux qui maintenaient l’infrastructure, administraient les sites de violation de données, déployaient le ransomware et négociaient avec les victimes.
Les trois autres suspects figurent sur la liste internationale des personnes recherchées :
- Igor Garshin – est considéré comme responsable de la reconnaissance, du piratage et du déploiement de logiciels malveillants dans les réseaux des victimes ;
- Igor Turashev – aurait participé activement à des attaques contre des entreprises allemandes en tant qu’administrateur d’infrastructure et de logiciels malveillants ;
- Irina Zemlyanikina – responsable de la phase initiale de l’attaque et de l’envoi d’e-mails malveillants, a également traité des sites de fuites de données.
Turashev est sur la liste des personnes les plus recherchées par le FBI depuis plusieurs années. Les autorités américaines l’ont accusé par contumace du développement du malware Dridex et de sa participation au groupe Evil Corp.
Le ransomware DoppelPaymer basé sur le ransomware BitPaymer est apparu en 2019. Il a été distribué via des e-mails de phishing et de spam avec des pièces jointes contenant du code malveillant. Les attaques DoppelPaymer ont activé le botnet Emotet.
Le FBI met en garde contre de nouveaux stratagèmes pour voler des crypto-monnaies via des jeux
Les cybercriminels utilisent de fausses récompenses dans des jeux mobiles et en ligne basés sur le concept jouer pour gagnerpour voler des crypto-monnaies aux utilisateurs. Le FBI en a été alerté.
Pour pouvoir gagner de l’argent dans le jeu, les victimes se voient proposer d’acheter de la crypto-monnaie et de créer un portefeuille. De plus, plus le dépôt est important, plus la récompense attendue sera élevée.
Les utilisateurs sont souvent invités à payer des taxes ou des frais supplémentaires pour récupérer leur investissement. Cependant, en réalité, ils ne peuvent pas retirer de fonds.
Le malware Android cible 13 portefeuilles Bitcoin et 400 banques
Le malware Xenomorph pour Android a publié une nouvelle version capable de voler les informations d’identification de 400 banques et 13 portefeuilles de crypto-monnaie. Cela a été rapporté par des spécialistes de ThreatFabric.
MISE À JOUR DE LA MENACE : ThreatFabric découvre une nouvelle souche #Xénomorphe!
Xenomorph v3 ajoute une version complète #ATS cadre capable de Device Take Over (DTO), en plus de plus de 400 nouvelles institutions financières dans sa liste cible.https://t.co/7uPbA4HAj8– ThreatFabric (@ThreatFabric) 10 mars 2023
Les institutions cibles comprennent Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo et d’autres banques du monde entier. Portefeuilles de crypto-monnaie potentiellement vulnérables : Binance, BitPay, KuCoin, Gemini et Coinbase.
Cheval de Troie équipé ATS– un cadre qui lui permet d’extraire automatiquement les informations d’identification, de vérifier les soldes des comptes, d’effectuer des transactions et de voler de l’argent à des applications ciblées sans effectuer d’actions à distance.
Le logiciel malveillant est également capable de consigner le contenu d’applications d’authentification tierces, en contournant la protection multifacteur. De plus, le voleur de cookies intégré donne aux opérateurs la possibilité d’intercepter les sessions des victimes et de prendre le contrôle de leurs comptes.
Selon ThreatFabric, les développeurs prévoient de vendre Xenomorph via la plateforme MaaS. Cette hypothèse est confirmée par le lancement d’un site web annonçant une nouvelle version du cheval de Troie.
Xenomorph v3 est actuellement distribué via la plate-forme Zombinder sur le Google Play Store, se présentant comme un convertisseur de devises et passant à l’utilisation de l’icône Play Protect après avoir installé une charge utile malveillante.
Aussi sur ForkLog :
Quoi lire le week-end ?
En collaboration avec les analystes de ForkLog, j’ai déterminé lesquelles des entreprises qui ont interagi avec la plate-forme d’échange de crypto Bitzlato pourraient être impliquées dans de nouvelles enquêtes et comment cela affectera leurs utilisateurs.
Vous avez trouvé une erreur dans le texte ? Sélectionnez-le et appuyez sur CTRL + ENTRÉE
Newsletters ForkLog : Gardez le doigt sur le pouls de l’industrie du bitcoin !