COVID-19 : VEILLE CYBERSÉCURITÉ #5 – 16 Avril 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le malware « Grandoreiro »

Attaque : Campagne de malware « Grandoreiro » ciblant le secteur bancaire espagnol et utilisant des vidéos sur le thème du COVID-19
Procédé : Extension malveillante sur Chrome
Cible : Le secteur bancaire Espagnol
Date de publication : 13/04/2020
Lien(s) :
https://threatpost.com/overlay-malware-exploits-chrome-browser-targets-banks-and-heads-to-spain/154713/
https://securityintelligence.com/posts/grandoreiro-malware-now-targeting-banks-in-spain/

Des chercheurs de l’équipe IBM X-Force ont remarqué depuis quelques mois la propagation d’un malware depuis le Brésil vers l’Espagne. Ce malware appelé « Grandoreiro » est un cheval de Troie ciblant les cookies de session des utilisateurs naviguant sur le site web de leur banque grâce à une extension malveillante sur le navigateur Chrome.

L’infection se déroule en plusieurs étapes. La première d’entre elles est une campagne de phishing. Les attaquants profitent de la crise sanitaire mondiale pour inciter les utilisateurs à installer le « chargeur » du malware. Cependant, il existe plusieurs campagnes sur différents thèmes. Ce « chargeur » ne contient pas encore la charge virale et est disponible publiquement sur GitHub, une plateforme reconnue dans la gestion de développement. Une fois ce chargeur (ayant une extension .msi) installé par l’utilisateur, la charge malveillante est alors téléchargée depuis des adresses « hardcodées » dans le chargeur. L’ordinateur de la victime est alors infecté.

Deuxième étape : Mise en place d’un canal de communication. À partir de ce moment, le malware va tenter de communiquer avec un serveur de « command-and-control » (C&C). Avant d’initier une connexion vers ce serveur, un algorithme vérifie que l’exécution du malware fait suite à une campagne de phishing récente. Dans le cas contraire, les communications sont redirigées vers localhost.

Troisième étape : Extraction de données. Une fois la communication chiffrée via SSL/TLS avec le serveur de C&C établie, le malware peut alors envoyer des informations concernant la machine de la victime ainsi que le contenu du presse papier aux attaquants. Mais surtout la prise de contrôle à distance est alors possible.

Étape finale : Installation de l’extension Chrome. Après un redémarrage forcé et quelques minutes supplémentaires, le fichier « ext.zip » est écrit par le malware sur le disque dur de la victime. Ce fichier compressé contient l’extension du navigateur Chrome légitime « Edit This Cookie ». Cependant, il s’agit d’une version modifiée, créée par les auteurs du malware. Un nouveau raccourci du navigateur Chrome est également créé permettant de lancer le navigateur Chrome en passant en paramètre le chargement de la nouvelle extension malveillante.

Une fois actif sur le dispositif infecté, ce malware attend en arrière-plan que la victime lance Chrome grâce au nouveau raccourci et commence sa navigation sur le site web d’une banque ciblée. C’est à ce moment qu’une communication s’engage entre le serveur C&C et la victime en temps réel en lançant des images malveillantes sur son écran afin de l’inciter à maintenir la session en cours et à fournir des informations qui peuvent aider l’attaquant à réaliser des virements depuis le compte de la victime.

 

Menaces

Attaque : Suite à une hausse des réunions en ligne due au confinement, une campagne de phishing vise les employés en télétravail utilisant la plateforme de conférence en ligne Webex de Cisco
Procédé : Phishing
Cible : Messagerie des utilisateurs de Webex
Date de publication : 09/04/2020
Description : La campagne de phishing reprend le contenu d’un véritable avis de sécurité Cisco de décembre 2016 et exhorte les utilisateurs à mettre à jour la plateforme de conférence Webex de Cisco sous prétexte d’une vulnérabilité critique.
Lien(s) : 
https://threatpost.com/cisco-critical-update-phishing-webex/154585/

 

Attaque : Deux sites du gouvernement néerlandais destinés à informer la population sur la pandémie de COVID-19 visés par des attaques par déni de service distribué (DDoS)
Procédé : Attaque par déni de service distribué (DDoS)
Cible : Sites web du gouvernement néerlandais
Date de publication : 14/04/2020
Description : Les deux sites gouvernementaux touchés le 19 mars par cette attaque étaient indisponibles pendant plusieurs heures. Le 10 avril, la police néerlandaise a arrêté un homme de 19 ans suspecté d’en être à l’origine et a fermé quinze sites web proposant des botnets à louer (DDoS-for-hire).
Lien(s) :
https://www.infosecurity-magazine.com/news/dutch-police-arrest-suspected/

 

Attaque : Des employés du Département de la Défense américain en télétravail pendant la pandémie de COVID-19 ont été visés par des attaques de type Spear-phishing
Procédé : Spear-phishing
Cible : Employés du Département de la Défense des États-Unis en télétravail
Date de publication : 13/04/2020
Description : Les e-mails frauduleux ciblant des employés du Pentagone en télétravail se sont multipliés depuis le début de la pandémie de COVID-19. Les attaquants tentent de tromper leurs cibles en imitant le plus souvent des membres de leur famille ou des commerces où ils font régulièrement leurs achats.
Lien(s) :
https://www.usnews.com/news/national-news/articles/2020-04-13/hackers-exploit-coronavirus-to-surge-attacks-on-us-military

 

Fraudes

Attaque : Plus de 500 000 comptes d’utilisateurs de Zoom en vente sur le darknet
Procédé : Trafic d’identifiants de connexion
Surface/Application : Darknet
Date de publication : 14/04/2020
Description : L’outil de conférence en ligne Zoom n’est pourtant pas à l’origine du problème, ces identifiants ayant été obtenus par la technique de credential stuffing qui permet aux pirates de prendre des mots de passe déjà volés et de les essayer sur de nombreux autres comptes. Les utilisateurs de Zoom figurants sur cette base de données ont en effet réutilisé un mot de passe qu’ils employaient déjà par ailleurs.
Lien(s) :
https://www.01net.com/actualites/des-centaines-de-milliers-de-comptes-zoom-sont-brades-sur-le-dark-web-1892902.html

 

Attaque : Des générateurs d’attestations dérogatoires susceptibles de collecter des données
Procédé : Collecte de données sensibles et génération de revenus publicitaires
Surface/Application : Applications Android
Date de publication : 14/04/2020
Description : Au moins trois applications Android capables de générer des attestions de sortie en cette période de confinement sont accusées de collecter des données sensibles et de générer des revenus publicitaires à l’insu des utilisateurs.
Lien(s) :
https://twitter.com/defensive_lab/status/1249350060606926849
https://www.nextinpact.com/brief/des-generateurs-d-attestation-accuses-de-collecter-des-donnees-et-generer-des-revenus-publicitaires-12018.htm

 

Attaque : Des escrocs vendent sur le darknet du sang et de la salive prétendument contaminés par le COVID-19
Procédé : Escroquerie
Surface/Application : Own Shop, un marché du darknet
Date de publication : 07/04/2020
Description : Ces escrocs cherchent à exploiter à leur bénéfice une piste de traitement du COVID-19 qui repose sur l’utilisation du sang des personnes déjà contaminées.
Lien(s) :
https://www.vice.com/en_us/article/m7qdy4/criminals-are-selling-blood-and-saliva-from-a-coronavirus-survivor-on-the-dark-web

 

Attaque : Facebook poursuit la société LeadCloak pour la diffusion d’arnaques liées au COVID-19
Procédé : Entrave du système d’examen des publicités
Surface/Application : Facebook
Date de publication : 13/04/2020
Description : Facebook attaque en justice la société LeadCloak qui a « violé » ses conditions d’utilisation en diffusant des arnaques liées entre autres au COVID-19. LeadCloak aurait réussi à diffuser ces contenus en masquant la nature du site web lié à la publicité en question.
Lien(s) :
https://www.presse-citron.net/facebook-attaque-une-societe-qui-faisait-la-promotion-darnaques-liees-au-coronavirus/

 

Attaque : Une fausse association collecte des dons pour soutenir la lutte contre la pandémie de COVID-19 en Afrique
Procédé : Escroquerie par usurpation d’identité
Surface/Application : E-mails frauduleux redirigeant vers un site web américain de vente de vêtements personnalisés
Date de publication : 08/04/2020
Description : Les escrocs, basés en Turquie, ont envoyé des e-mails frauduleux imitant une association française pour attirer leurs cibles vers un site web américain où sont vendus lesdits vêtements. Ces pages dolosives ont depuis été retirées de la boutique en ligne.
Lien(s) :  https://www.zataz.com/faux-dons-afrique-covid19/

 

Attaque : Campagnes de phishing et fraudes au paiement anticipé en lien avec le COVID-19 découvertes par Interpol
Procédé : Fausse vente de masques / virement bancaire
Surface/Application : Sites Internet frauduleux
Date de publication : 14/04/2020
Description : Des institutions financières et des autorités en Allemagne, en Irlande et aux Pays-Bas, ont découvert un important réseau de fraudes élaborées dans le cadre d’un dossier coordonné par Interpol. Un faux site internet prétendait vendre près de 10 millions de masques alors que la pénurie était annoncée. Une fois le paiement effectué, les voleurs prétendaient que les fonds n’avaient pas été reçus et qu’un autre virement était nécessaire pour assurer la livraison.
Lien(s) :
https://www.interpol.int/en/News-and-Events/News/2020/Unmasked-International-COVID-19-fraud-exposed

 

Attaque : Les cybercriminels proposent des offres promotionnelles sur des outils de piratage pendant la pandémie de COVID-19
Procédé : Vente d’outils de piratage
Surface/Application : Darknet
Date de publication : 09/04/2020
Description : Des outils permettant notamment de distribuer des spams et de mettre en place des attaques de type DDoS font l’objet de promotions sur le darknet pendant la pandémie de COVID-19. Les données volées par des pirates sont également vendues à des prix inférieurs à leur valeur habituelle.
Lien(s) : 
https://www.cyberscoop.com/coronavirus-cybercrime-forums-dark-web/

 

Ressources utiles

Type de ressources : Publication d’une mise à jour conjointe sur les cybermenaces liées au COVID-19 par le National Cyber Security Center (NCSC) du Royaume-Uni et la Cybersecurity and Infrastructure Security Agency (CISA) américaine
Cible : Le grand public
Date de publication : 08/04/2020
Description : Les agences de sécurité britanniques et américaines ont conjointement publié un avis pour prévenir des cybermenaces qu’engendre la crise du coronavirus. Les fraudes et menaces les plus fréquemment observées y sont renseignées ainsi que des recommandations pour prévenir ces attaques. Des moyens de contrer ces attaques sont également évoqués.
Lien(s) :
https://www.cisa.gov/news/2020/04/08/uk-and-us-security-agencies-issue-covid-19-cyber-threat-update

 

Type de ressources : Publication d’une notice violette* pour soutenir les entités hospitalières dans la lutte contre les cyberattaques
Cible : Hôpitaux et centres hospitaliers
Date de publication : 04/04/2020
Description : L’équipe Cybercrime Threat Response d’Interpol surveille toutes les cybermenaces liées au COVID-19 et s’engage à venir en aide à la police des pays membres pour enquêter sur des cas de ransomwares et fournir un soutien technique pour les structures médicales techniques.
*Les notices violettes communiquent des informations sur des modes opératoires.
Lien(s) :
https://www.interpol.int/en/News-and-Events/News/2020/Cybercriminals-targeting-critical-healthcare-institutions-with-ransomware

 

Type de ressources : Un professionnel de la cybersécurité recense sur Github les ressources et formations en cybersécurité devenues gratuites pendant la pandémie de COVID-19
Cible : Etudiants et professionnels de la cybersécurité
Date de publication : Mis à jour le 15/04/2020
Description : Cet employé de Coastal Information Security Group alimente continuellement cette liste non exhaustive qui recense les conférences, formations, workshops, livres et podcasts sur le thème de la cybersécurité. L’accès aux formations gratuites requiert le plus souvent la création d’un compte en ligne. 
Lien(s)  :
https://github.com/gerryguy311/CyberProfDevelopmentCovidResources

 

Type de ressources : ScanTitan a publié sur Github une liste des noms de domaines et IP malveillants exploitant la pandémie de COVID-19
Cible : Entités technologiques et cyber
Date de publication : 11/04/2020
Description : ScanTitan Threat Intelligence est un référentiel qui recense des flux de renseignements sur les menaces cyber liées au COVID-19 dont une liste des nouveaux noms de domaines comprenant les mots clés « coronavirus » et bien plus.
Lien(s) : https://github.com/scantitan/covid19

 

Type de ressources : Un moteur de recherche médical sur le COVID-19 s’appuie sur l’intelligence artificielle
Cible : Les professionnels de la santé
Date de publication : 14/04/2020
Description : Cette plateforme basée sur l’intelligence artificielle croise les enseignements de la littérature médicale avec les données des dossiers médicaux électroniques des patients du COVID-19. L’objectif est de permettre aux professionnels de la santé de trouver rapidement et avec précision des réponses aux questions clés sur la pandémie.
Lien(s) : https://covid19.mendel.ai/

 

Autres actualités

Pays : France 
Sujet : L’Assemblée nationale a publié ses recommandations quant à la mise en place de l’application française de traçage numérique StopCovid
Date de publication : 11/04/2020
Description : Bien qu’elle recommande que son téléchargement soit basé sur le volontariat, l’Assemblée nationale n’exclut pas la mise en place de mesures coercitives, à condition que les atteintes à la vie privée soient proportionnées aux objectifs recherchés et que l’utilisation de l’application soit limitée dans le temps.
Lien(s) :
http://www2.assemblee-nationale.fr/15/les-delegations-comite-et-office-parlementaire/office-parlementaire-d-evaluation-des-choix-scientifiques-et-technologiques/secretariat/a-la-une/epidemie-de-coronavirus-point-sur-les-technologies-de-l-information-utilisees-pour-limiter-la-propagation-de-l-epidemie-de-covid-19
http://www2.assemblee-nationale.fr/content/download/306907/2966485/version/1/file/CP+OPECST+0410+final.pdf

 

Pays : Royaume-Uni
Sujet : Apple et Google collaborent avec le gouvernement britannique pour mettre en place une solution de traçage numérique des personnes contaminées par le COVID-19
Date de publication : 13/04/2020
Description : Développée par le National Health Service (NHS), cette application devrait s’appuyer sur la technologie Bluetooth. Une version bêta devrait être testée dès la semaine prochaine dans une région du nord de l’Angleterre.
Lien(s) :
https://siecledigital.fr/2020/04/13/apple-et-google-vont-collaborer-avec-le-national-health-service/

 

Pays : International/Canada
Sujet : COVID-NET, un outil s’appuyant sur l’intelligence artificielle pourrait détecter les infections au COVID-19 à partir de radiographies
Date de publication : 10/04/2020
Description : Développée par la start-up canadienne DarwinAI, cette intelligence artificielle s’appuie sur le deep learning pour analyser les images de radiographiques pulmonaires des patients suspectés du COVID-19. Formé à partir de 5 000 radiographies, cet outil permettrait aux professionnels de la santé d’interpréter les résultats bien plus rapidement.
Lien(s) :
https://siecledigital.fr/2020/04/10/comment-lia-open-source-peut-elle-identifier-les-infections-au-covid-19/

 

Pays : Italie
Sujet : Des drones de surveillance dans les rues de Treviolo pour rechercher des personnes atteintes du COVID-19
Date de publication : 12/04/2020
Description : Dans la ville de Treviolo, l’épicentre du foyer de l’épidémie de COVID-19 en Italie, des drones surveillent la population. Ces drones sont capables de prendre la température des habitants et de communiquer avec eux pour indiquer de potentielles marches à suivre.
Lien(s) :
https://www.presse-citron.net/dans-lepicentre-italien-du-covid-19-les-drones-se-dotent-dun-capteur-qui-derange/

 

Pays : Allemagne
Sujet : L’Allemagne a déployé une application de suivi de la pandémie de COVID-19 pour montre connectée
Date de publication : 12/04/2020
Description : L’Institut allemand Robert-Koch a lancé une application de suivi de l’épidémie sur base du volontariat. « Corona-Datenspende » a été validée par l’autorité de santé publique allemande et a pour objectif de contenir la propagation du virus en récupérant les données des utilisateurs à l’image de la fréquence cardiaque et la température corporelle.
Lien(s) :
https://www.futura-sciences.com/tech/actualites/montre-connectee-allemagne-utilise-montres-connectees-surveiller-epidemie-coronavirus-80459/

 

Pays : International
Sujet : Le micro-ordinateur Raspberry Pi Zero va équiper des respirateurs artificiels utilisés pour traiter le COVID-19
Date de publication : 14/04/2020
Description : Pour la modique somme de 5 euros, le micro-ordinateur Raspberry Pi Zero va équiper des respirateurs artificiels pour faire face à la demande grandissante des services de santé. Les premiers essais seront notamment effectués en Colombie.
Lien(s) :
https://www.presse-citron.net/raspberry-pi-augmente-la-production-du-pi-zero-face-a-la-forte-demande-de-respirateurs-artificiels/

 

Pays : France
Sujet : Le Ministère des Armées collabore avec la PME BforCure pour développer un appareil mobile connecté permettant de dépister le COVID-19 en moins de 30 minutes
Date de publication : 09/04/2020
Description : L’entreprise BforCure a déjà reçu 1,8 million d’euros du Ministère des Armées pour développer un appareil capable de dépister le virus dans un échantillon nasal en moins de 30 minutes grâce à la technologie Fastgene. Un premier prototype devrait être prêt dans six mois et sera utilisé en priorité dans les EPHAD et les véhicules de secours.
Lien(s) :
https://www.usine-digitale.fr/article/covid-19-soutenu-par-l-armee-bforcure-developpe-un-laboratoire-sur-puce-pour-depister-le-virus.N952006

 

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :
#1
#2 
#3
#4