COVID-19 : VEILLE CYBERSÉCURITÉ #3 – 2 avril 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • d’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • de partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • de mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories : Menaces, Fraudes, Ressources utiles et Autres actualités.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

Menaces

Attaque : Le cheval de Troie bancaire Zeus Sphinx resurgit sous couvert du COVID-19
Procédé :  Campagne de phishing
Cible : Le secteur financier et bancaire (États-Unis, du Canada et de l’Australie)
Date de publication : 30/03/2020
Description : Après trois ans d’absence, ce malware bancaire refait surface sous le thème du coronavirus. Cette campagne de phishing utilise des e-mails qui contiennent des documents malveillants conçus pour ressembler à des documents contenant des informations sur les paiements de secours du gouvernement.
Lien(s) :
https://www.bleepingcomputer.com/news/security/banking-malware-spreading-via-covid-19-relief-payment-phishing/

Attaque : Des routeurs visés par des détournements DNS pour rediriger les victimes vers de faux sites Web sur le thème COVID-19
Procédé : Attaque par bruteforce
Cible : Routeurs domestiques et des petites entreprises dont Linksys et D-Link (utilisateurs aux États-Unis, en France et en Allemagne)
Date de publication : 25/03/2020
Description : Les pirates informatiques utilisent le détournement DNS pour rediriger les utilisateurs vers de faux sites usurpant notamment la messagerie de l’OMS. Les utilisateurs sont ainsi incités à télécharger une application qui télécharge secrètement une nouvelle variante du logiciel malveillant Oski.
Lien(s) :
https://labs.bitdefender.com/2020/03/new-router-dns-hijacking-attacks-abuse-bitbucket-to-host-infostealer/

Attaque : Une campagne de phishing fait croire à des internautes qu’ils ont été exposés au COVID-19
Procédé : Hameçonnage
Cible : Messageries
Date de publication : 29/03/2020
Description : Des emails prétendant provenir d’un hôpital local font croire à ses victimes qu’elles auraient été infectées par une de leurs fréquentations, afin de les pousser à télécharger un formulaire de contact d’urgence dans lequel se cache un malware.
Lien(s) :
https://www.bleepingcomputer.com/news/security/phishing-attack-says-youre-exposed-to-coronavirus-spreads-malware/

Attaque : Des malware hébergés par de fausses applications Zoom 
Procédé : Logiciel malveillant / usurpation
Cible : Les utilisateurs de l’application de visioconférence Zoom
Date de publication : 30/03/2020
Description : Victime de son succès, lié à un usage décuplé pendant la crise du COVID-19, l’application Zoom est devenue la cible des hackers qui profitent de sa popularité pour créer de faux noms de domaines imitant le site original, ou de fausses applications qui entraînent l’installation du malware InstallCore
Lien(s) :
https://www.hackread.com/hackers-can-drop-malware-with-fake-zoom-apps/

Fraudes

Attaque : Fermeture de divers sites internet frauduleux proposant du matériel de protection contre le COVID-19  
Procédé : Neutralisation de serveurs français
Surface/Application : Sites Web tels que : « mapetitepharmacie.fr » et « my-natural-shop.fr »
Date de publication : 31/03/2020
Description : Sept sites frauduleux ont été fermés par la gendarmerie de l’Office central de lutte contre les atteintes à l’environnement et à la santé publique (Oclaesps). Les arnaqueurs prétendaient que leurs sites avaient fermé, puis promettaient aux clients un rapide remboursement.
Lien(s) :
http://www.leparisien.fr/faits-divers/coronavirus-sept-sites-internet-de-vente-frauduleuse-fermes-31-03-2020-8291688.php  

Attaque : Des développeurs d’applications tierces Android ont utilisé des mots clés liés au thème du COVID-19 pour pouvoir être en haut de classement afin d’installer des logiciels malveillants
Procédé : Téléchargement de l’application en question  
Surface/Application : Android, Google Play
Date de publication : 31/03/2020
Description : Ces applications utilisent des mots clés liés au coronavirus pour être dans le top classement des applications téléchargées afin d’avoir plus de crédibilité. Ces applications concernent notamment des trackers de la pandémie ou des applications capables de détecter les symptômes du virus.
Lien(s) :
https://nationalcybersecurity.com/android-apps-in-google-play-store-capitalizing-on-coronavirus-outbreak/

Attaque : La Russie soupçonnée d’être aux manettes de plusieurs campagnes de désinformation
Attaquants : Médias d’État russes et pro-Kremlin
Procédé : Campagnes de désinformation liées au COVID-19
Date de publication : 23/03/2020
Description : Un rapport de l’UE, obtenu par Reuters, accuse des médias proches du gouvernement russe de diffuser des fake news au sein des sociétés occidentales touchées par l’épidémie ; l’allégation est soutenue par les États-Unis, et démentie par l’accusé. 
Lien(s) :
https://korii.slate.fr/tech/desinformation-russe-internet-coronavirus-covid-19-fake-news-faux-comptes-trolls

Attaque : Vente illégale de données de reconnaissance faciale des visages masqués en Chine
Procédé : Trafic de données personnelles et biométriques
Surface/Application: Piratage des systèmes de surveillance locaux ou de bureaux
Date de publication : 31/03/2020
Description : Les algorithmes de reconnaissance faciale sont entraînés à l’analyse de visages masqués en période d’épidémie, et certaines des données récoltées ont fuité et ont été vendues sur des forums de hackers pour moins de 10 centimes.
Lien(s) :
https://www.securitynewspaper.com/2020/03/31/facial-data-with-mask-being-sold-for-only-0-007-usd-for-each-face/

Ressources utiles

Type de ressources : 400 experts en cybersécurité s’allient pour lutter contre les cybercriminels derrière les attaques liées au COVID-19
Cible : Les établissements de santé / les réseaux de communication
Date de publication : 27/03/2020
Description : La « Covid-19 CTI League » a été formée pour parer les cyberattaques à l’encontre des infrastructures sanitaires et les campagnes de phishing qui se multiplient depuis le début de l’épidémie.
Lien(s) :
https://siecledigital.fr/2020/03/27/covid-19-cti-league-des-experts-en-cybersecurite-luttent-contre-les-attaques-pendant-la-pandemie/

Type de ressources : Flux d’applications et services gratuits pendant la crise sanitaire engendrée par le COVID-19
Cible : Entreprises cyber, secteur de la santé
Date de publication : 30/03/2020
Description : Ce site recense les initiatives cyber pour les acteurs du numérique, mais également pour toutes les entreprises concernées par les difficultés du travail à distance.
Lien(s) :
https://www.linformaticien.com/actualites/id/54086/profitez-en-c-est-gratuit-pour-le-moment-10.aspx

Type de ressources : COVID-19 (Coronavirus) Global Online Phishing & Scams Dashboard
Cible : Particuliers et entreprises
Date de publication : 03/02/2020 (live updates)
Description : Un tableau de bord surveille et recense en direct toutes les arnaques, fraudes et campagnes de phishing liées au coronavirus.
Lien(s) :
https://checkphish.ai/coronavirus-scams-tracker

Autres actualités

Pays : Belgique (Bruxelles)
Sujet : Des opérateurs de télécoms européens vont fournir à la Commission européenne les données de géolocalisation de leurs clients.
Date de publication : 27/03/2020
Description : Afin de cartographier les déplacements de la population pendant la crise sanitaire en cours, la Commission européenne a pour projet d’utiliser les données de géolocalisation des smartphones des clients des opérateurs de télécoms en question.
Lien(s) :
https://www.linformaticien.com/actualites/id/54073/covid-19-bruxelles-exploitera-les-donnees-des-operateurs-telecoms.aspx

Pays : Royaume-Uni
Sujet : L’ICO, bureau du Commissaire à l’information et gestionnaire des données a autorisé les autorités locales à utiliser les données de localisation des smartphones pour lutter contre le COVID-19.
Date de publication : 31/03/2020
Description : Ces données pourront être utilisées pour surveiller les mouvements de la population dans l’optique de suivre la propagation du virus et d’assurer le respect du confinement. 
Lien(s) :
https://www.zdnet.fr/actualites/au-royaume-uni-les-donnees-au-coeur-de-la-lutte-contre-le-covid-19-39901493.htm

Pays : Russie
Sujet : Moscou va instaurer des QR codes pour limiter les sorties et faire respecter le confinement
Date de publication : 31/03/2020
Description : Sur le même modèle que la Chine, la Russie va mettre en place des QR codes pour contrôler les sorties lors du confinement.
Lien(s) :
https://siecledigital.fr/2020/03/31/russie-des-qr-codes-pour-sanctionner-les-personnes-qui-ne-jouent-pas-le-jeu/

Pays : France
Sujet : Une application attribue un créneau horaire aux clients pour réduire la congestion dans les supermarchés
Date de publication : 31/03/2020
Description : L’application OpenTable permet aux particuliers de « réserver » un horaire de passage au supermarché afin d’éviter l’attente aux portes du magasin due aux consignes de distanciation du gouvernement.  
Lien(s) :
https://www.objetconnecte.net/confinement-opentable-permettra-de-reserver-son-tour-au-supermarche/

Pays : États-Unis
Sujet : Apple lance un site Web et une application pour faciliter la détection des symptômes de la maladie
Date de publication : 30/03/2020
Description : En partenariat avec le groupe de travail appointé par la Maison-Blanche, le géant américain lance un outil de dépistage du COVID-19 sous forme de questionnaire disponible en ligne, accompagné d’informations issues de sources vérifiées.
Lien(s) :
https://www.zdnet.fr/actualites/covid-19-apple-lance-un-site-web-et-une-application-39901443.htm

Retour sur les deux premiers bulletins de VEILLE CYBERSÉCURITÉ #1 & #2