COVID-19 : VEILLE CYBERSÉCURITÉ #8 – 7 Mai 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur une version frauduleuse de Zoom

Attaque : Déploiement d’un logiciel malveillant par le biais d’un installateur Zoom non légitime
Procédé : Téléchargement d’un logiciel malveillant sur un site frauduleux
Cible : Nouveaux utilisateurs de l’application Zoom
Date de publication : 29/04/2020
Lien(s) :
https://blog.trendmicro.com/trendlabs-security-intelligence/webmonitor-rat-bundled-with-zoom-installer/
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Backdoor.Win32.REVCODE.THDBABO

La pandémie de coronavirus a mis en évidence l’utilité des applications de communication pour les personnes en télétravail. Cependant, comme ils le font toujours, les cybercriminels exploitent les tendances populaires et le comportement des utilisateurs.

L’attaque cible les utilisateurs non avertis en mettant à disposition le fichier malveillant ZoomIntsaller.exe sur des sources non officielles et non légitimes. Ce fichier contient la combinaison d’un programme d’installation de l’application Zoom (non malveillant) et du malware RevCode WebMonitor.

Une fois le fichier ZoomIntsaller.exe exécuté, il installe l’application Zoom légitime (pour ne pas éveiller de soupçons chez l’utilisateur) ainsi que le malware RevCode WebMonitor qui permettra à l’attaquant de prendre le contrôle des appareils compromis et de les espionner via le keylogging, le streaming de webcam ou les captures d’écran.

 

Menaces

Attaque : Une campagne de phishing imite le Département du Travail des États-Unis (DoL pour Department of Labour) pour diffuser un malware
Procédé : E-mails frauduleux
Cible : Employés des secteurs public et privé aux États-Unis
Date de publication : 30/04/2020
Description : Afin de distribuer le malware, cette nouvelle campagne imite des e-mails du Family and Medical Leave Act (FMLA), octroyant aux employés le droit de bénéficier de congés médicaux dans le contexte du COVID-19. Son mode de diffusion s’apparente à celui du malware bancaire Trickbot, qui intègre les appareils infectés à un réseau de botnets.
Lien(s) :
https://securityintelligence.com/posts/trickbot-campaigns-targeting-users-via-department-of-labor-fmla-spam/

 

Attaque : Le National Cyber Security Center (NCSC) britannique et la Cybersecurity and Infrastructure Security Agency (CISA) américaine alertent sur l’activité des groupes APT contre les organisations impliquées dans la recherche sur le COVID-19
Procédé : Attaques par force brute de type « password spraying »
Cible : Organisations nationales et internationales impliquées dans la lutte contre le COVID-19
Date de publication : 05/05/2020
Description : Les organisations visées comprennent des organismes de santé, des sociétés pharmaceutiques, des universités, des organismes de recherche médicale et des collectivités locales, en particulier aux États-Unis et au Royaume-Uni. En règle générale, les groupes APT cherchent à obtenir des informations personnelles, des propriétés intellectuelles et du renseignement d’intérêt national à des fins commerciales ou au bénéfice d’un État. Dans le cadre de la crise sanitaire, ils s’intéressent également à la gestion nationale et internationale de la crise sanitaire pour obtenir des données sensibles concernant la recherche médicale sur le COVID-19.
Lien(s) :
https://www.ncsc.gov.uk/news/apt-groups-target-healthcare-essential-services-advisory 

 

Attaque : Microsoft Teams visé par une campagne de phishing à l’aide d’images clonées de notifications pour récolter des informations d’identification Office 365
Procédé : Campagne de phishing/Vol d’informations
Cible : Messagerie des utilisateurs de Microsoft Teams/Microsoft Office 365
Date de publication : 01/05/2020
Description : Depuis le début de la crise sanitaire, Microsoft Teams est davantage sollicité par les utilisateurs en télétravail. Cette campagne de phishing usurpe le partage de fichiers Teams et les notifications de conversations audio. Les cybercriminels ont envoyé des fausses alertes aux utilisateurs de Microsoft Teams, prétendant qu’une autre personne voulait prendre contact ou qu’ils devaient écouter un message audio hors ligne laissé par un collègue. De plus, les pirates ont utilisé plusieurs redirections d’URLs dans l’optique de masquer l’URL utilisée pour héberger cette campagne de phishing.
Lien(s) :
https://www.bleepingcomputer.com/news/security/convincing-office-365-phishing-uses-fake-microsoft-teams-alerts/

 

Attaque : Des pirates informatiques usurpent les pages d’authentification de Zoom pour voler les identifiants des messageries d’entreprise
Procédé : Campagne de phishing/Vol d’informations
Cible : Utilisateurs de Zoom
Date de publication : 27/04/2020
Description : En envoyant de fausses invitations pour des réunions Zoom de la part du service des ressources humaines, des cybercriminels sont parvenus à voler des identifiants d’entreprise. Les utilisateurs ont cliqué sur les liens (copie de la page de connexion Zoom) et ont entré leur adresse e-mails et leur mot de passe. Les cybercriminels ont pu prendre le contrôle de leur messagerie et lancer des attaques depuis des comptes internes.
Lien(s) :
https://cyberguerre.numerama.com/4699-zoom-des-hackers-creent-de-fausses-reunions-pour-voler-vos-identifiants-professionnels.html

 

Fraudes

Attaque : Avec la hausse des achats en ligne due au confinement, des campagnes de phishing visent des transporteurs tels que FedEx, UPS et DHL
Procédé : Campagne de phishing/Usurpation d’identités
Surface/Application : Messageries
Date de publication : 27/04/2020
Description : Les cybercriminels ont usurpé l’identité des transporteurs indiquant qu’en raison du COVID-19, les livraisons seraient retardées. Ils ont alors invité les victimes à modifier le document d’expédition (pièces jointes) ou à reprogrammer la collecte pour installer un cheval de Troie Bsymem ou un malware de type RAT.
Lien(s) :
https://www.kaspersky.com/blog/covid-fake-delivery-service-spam-phishing/35125/

 

Attaque : L’Institut australien de criminologie (AIC pour Australian Institute of Criminology) a mené une enquête sur 20 marchés du darknet vendant des équipements médicaux liés au COVID-19
Procédé : Vente illégale d’équipement médical, de faux vaccins et tests de dépistage
Surface/Application : Darknet
Date de publication : 30/04/2020
Description : Les équipements de protection individuelle représentent près de la moitié de tous les produits vendus et un tiers d’entre eux englobe des antiviraux ou des médicaments. Les faux vaccins, les tests et instruments de diagnostic représentent chacun près de 10% des produits. La valeur totale estimée de ces articles approche les 220 000 euros.
Lien(s) :
https://www.infosecurity-magazine.com/news/dark-web-fake-vaccines-blood/
https://www.aic.gov.au/publications/sb/sb24

 

Attaque : Faille de sécurité sur le « vérificateur de symptômes » du COVID-19 de Jio, premier opérateur télécoms indien
Procédé : Vol de données sensibles
Surface/Application : Site Web et application Jio
Date de publication : 03/05/2020
Description : Lancé fin mars, ce vérificateur de symptômes permet de savoir via son téléphone ou le site web de Jio si l’on est atteint du COVID-19. Seulement, un chercheur a repéré une faille de sécurité révélant la fuite d’une des bases de données principales sur Internet comportant des données médicales des personnes ou des adresses. Bien que le système ait rapidement été mis hors ligne, personne ne peut affirmer que cette faille a été exploitée par des pirates informatiques. 
Lien(s) : https://techcrunch.com/2020/05/02/jio-coronavirus-security-lapse/

 

Ressources utiles 

Type de ressources : Une nouvelle fonctionnalité de fact-checking sur YouTube
Cible : Utilisateurs américains de YouTube
Date de publication : 30/04/2020
Description : Afin de lutter contre la désinformation liée au COVID-19 aux États-Unis, YouTube lance une fonctionnalité s’appuyant sur des encarts. Ils mettent en avant des articles dits « vérifiés » et autres articles pertinents de médias adhérant à l’International Fact-Checking Network (IFCN) et respectant les normes ClaimReview. Cependant, aucune vidéo ne sera supprimée.
Lien(s) :
https://siecledigital.fr/2020/04/30/youtube-fact-checking-panneaux-etats-unis/

 

Type de ressources : En réponse à la hausse du télétravail pendant la crise sanitaire, la National Security Agency (NSA) et le CISA publient leurs recommandations d’hygiène informatique
Cible : Entreprises et administrations publiques
Date de publication : Mis à jour le 01/05/2020
Description : Le CISA met à disposition du public une nouvelle page web rassemblant ses recommandations d’usage des outils numériques de travail à distance. Le rapport de la NSA comporte quant à lui une évaluation des outils de vidéoconférence les plus utilisés. 
Lien(s) :
https://media.defense.gov/2020/Apr/24/2002288652/-1/-1/0/CSI-SELECTING-AND-USING-COLLABORATION-SERVICES-SECURELY-LONG-FINAL.PDF
https://www.cisa.gov/news/2020/05/01/cisa-launches-telework-product-line-providing-best-practices-and-cybersecurity-tips

 

Type de ressources : « COVID-19 Malicious Domain Research Hub », un référentiel de données ouvertes liées aux activités malveillantes en ligne
Cible : Grand public/Technophiles
Date de publication : Mis à jour le 04/05/2020
Description : Ce référentiel collecte les données relatives aux activités malveillantes en lien avec le COVID-19 et les met gratuitement à disposition. On y trouve les nouveaux noms de domaines liés au coronavirus, des outils de vérification des arnaques ou encore des tableaux des menaces et leur évolution, en temps réel. Un lien GitHub, constamment mis à jour, est également disponible pour retrouver ces informations.
Lien(s) : https://proprivacy.com/tools/scam-website-checker
https://github.com/ProPrivacy/covid-19

 

Autres actualités

Pays : Singapour
Sujet : L’application de traçage numérique TraceTogether n’ayant pas su prouver son efficacité, Singapour renforce son dispositif à l’aide d’un système de QR codes obligatoire
Date de publication : 04/05/2020
Description : Très peu de personnes utilisent TraceTogether qui repose sur la technologie Bluetooth, incapable de fonctionner en arrière-plan sans adopter la solution de Google et Apple. En conséquence, la solution SafeEntry a été déployée, imposant aux visiteurs des établissements publics, entreprises et centres commerciaux de scanner un QR code lors de leur entrée et sortie. Il collecte leur nom, numéro d’identité, numéro de téléphone et la durée de leur visite.  Singapour a également annoncé collaborer avec Google et Apple pour renforcer l’application TraceTogether.
Lien(s) :
https://www.numerama.com/tech/622089-apres-lechec-du-stopcovid-local-singapour-passe-a-une-solution-beaucoup-plus-radicale.html

 

Pays : Chine
Sujet : Des lunettes connectées pour détecter le COVID-19
Date de publication : 05/05/2020
Description : La startup chinoise Rokid a mis au point une paire de lunettes connectées capable de prendre la température de la population pour savoir si des personnes sont atteintes du coronavirus. Cette dernière est dotée d’un capteur infrarouge, d’une caméra et d’un processeur Qualcomm. La température est donc transmise à l’écran en temps réel. Plus de 1000 paires ont déjà été vendues à des autorités, écoles et entreprises.
Lien(s) :
https://www.presse-citron.net/chine-startup-rokid-vend-des-lunettes-connectees-pour-detecter-coronavirus/

 

Pays : Japon
Sujet : Le robot Pepper accueille des patients atteints du COVID-19
Date de publication : 04/05/2020
Description : Alors que le Japon utilise les hôtels de Tokyo pour accueillir les patients malades du COVID-19, les autorités ont remplacé une partie du personnel contre des robots Pepper (imaginés par Softbank Robotics) pour s’occuper des patients et nettoyer les zones à risques. Ces robots sont également en mesure d’indiquer des bonnes mesures d’hygiène comme le port du masque.
Lien(s) :
https://www.presse-citron.net/japon-ce-sont-robots-qui-accueillent-patients-atteints-de-coronavirus/

 

Pays : Royaume-Uni
Sujet : L’application de suivi des contacts du gouvernement anglais échoue aux tests de sécurité
Date de publication : 04/05/2020
Description : L’application de suivi des contacts a finalement échoué aux tests de cybersécurité du gouvernement. De ce fait, elle ne pourra pas être incluse dans la bibliothèque d’applications du National Health Service (NHS) car la confidentialité n’est pas assurée. Face à cet échec, des tests sur l’île de Wight seront menés cette semaine sur la population pour une évaluation approfondie. Les habitants de l’île ont donc été exhortés de télécharger l’application pour effectuer des tests dans de réelles conditions.
Lien(s) :
https://www.hsj.co.uk/technology-and-innovation/exclusive-wobbly-tracing-app-failed-clinical-safety-and-cyber-security-tests/7027564.article https://www.digitalhealth.net/2020/05/covid-19-nhs-contact-tracing-app-launched-in-isle-of-wight/

 

Pays : France
Sujet : Cédric O annonce que le déploiement de l’application StopCovid est désormais prévu pour le 2 juin
Date de publication : 05/05/2020
Description : Alors que les discussions entre Google, Apple et le gouvernement français n’ont pas abouti concernant la levée des restrictions du Bluetooth qui l’empêchent de fonctionner en arrière-plan, le secrétaire d’État au numérique a déclaré que des premiers tests de l’application française de traçage numérique seront effectués dès le 11 mai. Le projet devait originellement être présenté au Parlement la semaine dernière mais l’impossibilité de proposer un prototype suffisamment abouti a repoussé cette échéance au 25 mai pour un déploiement potentiel de l’application le 2 juin.
Lien(s) :
https://www.lemonde.fr/pixels/article/2020/05/05/application-stopcovid-une-sortie-esperee-a-partir-du-2-juin-en-france_6038721_4408996.html

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :
#1
#2 
#3
#4
#5
#6
#7