Les attaquants propagent des logiciels malveillants cachés dans les images du télescope Webb
Les chercheurs de Securonix ont récemment découvert une nouvelle campagne d’attaques de logiciels malveillants, qui utilise une image prise par le télescope spatial James Webb (JWST) pour diffuser un code malveillant. La campagne porte bien son nom GO#WEBBFUSCATOR, car la charge utile que l’image porte est écrite dans le langage de programmation multiplateforme GoLang. Les attaquants utilisent des e-mails de phishing pour attirer leurs victimes vers les dernières images prises par le JWST de la NASA. Le message frauduleux contient une pièce jointe Microsoft Office qui, lorsqu’elle est ouverte, charge une macro VBA masquée qui, si le destinataire de la macro l’autorise, s’exécutera automatiquement.
Le résultat est le téléchargement d’une image qui, à première vue, ressemble à l’image mentionnée de l’espace lointain capturée par JWST, mais qui est en fait une charge utile encodée en Base64. La macro utilise ensuite certutil.exe pour décoder le fichier téléchargé dans un format exécutable de 1,7 Mo, puis l’exécute. L’obscurcissement est effectué par une technique appelée gobfuscation, qui utilise un outil d’obscurcissement disponible publiquement sur GitHub.
Dans une analyse dynamique, les chercheurs ont découvert que le malware assure la persistance après le lancement et communique avec le serveur C2. Securonix sur vos pages a fourni un ensemble d’indicateurs de compromission (IoC) qui comprend à la fois des indicateurs de réseau et d’hôte ainsi que des règles de détection YARA.
Service de messagerie OpenBeta de DuckDuckGo
DuckDuckGo, plus connu pour son moteur de recherche Web, a été lancé au grand public service de messagerie Email Protection, qui se concentre sur la protection de la vie privée. Après un an de tests par des utilisateurs sélectionnés, le service passe en mode bêta ouvert et est disponible gratuitement.
La solution repose sur le renvoi des e-mails vers les boîtes aux lettres des destinataires par l’intermédiaire d’un intermédiaire sous la forme d’adresses jetables que l’utilisateur peut créer. Les e-mails envoyés à ces adresses sont débarrassés de la publicité et des traceurs de profilage avant d’atteindre la boîte de réception habituelle de l’utilisateur. Les adresses uniques peuvent être désactivées individuellement, mais la solution comprend également une adresse personnelle qui est utilisée pour accéder au compte. Ainsi, il n’est pas nécessaire de migrer la boîte e-mail vers un nouveau fournisseur.
En plus de ce qui précède, le service modifie également les liens dans l’e-mail et redirige automatiquement les utilisateurs qui cliquent dessus vers la version HTTPS du site Web de destination. Il vous permet également d’envoyer et de répondre directement à partir d’adresses jetables et de les gérer à l’aide d’un tableau de bord clair. Le service peut être utilisé en utilisant extension de navigateur web et sur les appareils mobiles via la dernière version de l’application.
Nouvelle campagne de phishing sur Instagram
Les analystes sécurité de Vade notés sur Instagram nouvelle campagne d’arnaque, qui tente d’inciter les utilisateurs à vérifier leur compte sous la forme d’un badge bleu. Les badges bleus à côté d’un nom d’utilisateur indiquent une personnalité, une célébrité ou une marque bien connue vérifiée par la plateforme. Les utilisateurs sont invités par e-mail ou message à remplir un formulaire dans les prochaines 48 heures pour demander leur badge de vérification. Cela crée ainsi un sentiment d’urgence et un délai pour profiter de l’opportunité typique du phishing.
Le formulaire frauduleux comporte trois parties et obtient progressivement un e-mail, un numéro de téléphone et un mot de passe de la victime potentielle. Les attaquants tentent de mettre en évidence la légitimité de l’ensemble du processus en utilisant la présence du logo Instagram et du nom de domaine – teamcorrectionbadges, qui vise à donner l’impression qu’Instagram utilise des sites Web autres que le sien pour vérifier les utilisateurs.
Attaque de ransomware sur l’infrastructure du Monténégro
Il y a environ une semaine, le gouvernement du Monténégro a annoncé que c’était son pays exposés à des cyberattaques sophistiquées et persistantes, qui menacent l’infrastructure de base du pays. Elle a cité principalement les systèmes d’approvisionnement en électricité et en eau, les services de transport et autres comme cibles. Le ministre de la Défense du pays a attribué les attaques, sur la base des preuves disponibles, à des acteurs russes.
Mais cette semaine il y a eu un incident le groupe cubain de rançongiciels a signalé et demande une rançon de 10 millions de dollars au gouvernement monténégrin. Les données volées semblent inclure divers documents financiers et fiscaux, des communications avec des banques et des codes sources.
NÚKIB a lancé un site Web pour la prochaine directive NIS2
La National Cyber and Information Security Authority lancée la semaine dernière site Internet, qui visent à aider les organisations à naviguer dans les exigences de la prochaine révision de la directive européenne sur la sécurité des réseaux et des systèmes d’information – NIS2. NÚKIB a déclaré que le site Web il peut être utile non seulement pour les organisationsqui sont déjà couvertes par la loi sur la cybersécurité, mais surtout à un grand nombre d’organisations qui tomberont sous son champ de compétence après sa modification en lien avec la directive révisée.
Le site Web fournit des informations claires et complètes sur la directive NIS2 (et ses exigences) et résume qui sera couvert par la directive. En outre, il décrit également les procédures de base sur la manière dont les organisations peuvent sécuriser leurs services, quels incidents doivent être signalés à NÚKIB et quelles sanctions seront possibles en cas de non-respect des exigences susmentionnées.
En un mot
pour s’amuser
À propos de la série
Cette série est publiée en alternance avec l’aide du personnel Équipe de sécurité nationale CSIRT.CZ exploité par l’association CZ. PAS et équipe de sécurité CESNET-CERTS association CESNETéquipe de sécurité ALEF-CSIRT et l’expert en sécurité Jan Kopřiva. En savoir plus sur la série…
