COVID-19 : VEILLE CYBERSÉCURITÉ #12 – 5 juin 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le cheval de Troie bancaire Trickbot 

Attaque : Nouvelle mise à jour du cheval de Troie Trickbot propagé via des campagnes de phishing
Procédé :  Vol de données
Cible : Entreprises et particuliers
Date de publication : 28/05/2020
Lien(s) :
https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/
https://news.sophos.com/fr-fr/2020/03/10/alertes-coronavirus-propagent-virus-informatiques/

Les chercheurs de Palo Alto Networks ont présenté en détail la dernière mise à jour de Trickbot, déployée en avril qui met en œuvre une meilleure méthode pour échapper à la détection lors des infections de contrôleurs de domaine.

Découvert pour la première fois en 2016, Trickbot est un cheval de Troie bancaire qui s’attaque notamment aux contrôleurs de domaine avec une approche furtive pour minimiser sa détection. Trickbot fournit un accès détourné pour télécharger d’autres logiciels malveillants et voler des informations. L’exécutable principal chargera d’autres modules pour chacune des voies de propagation qu’il utilise :

  • Les modules mshare et tabulation :
    • Un client Windows infecté récupère un nouveau TrickBot en utilisant une URL HTTP
    • Le client Windows infecté envoie ce nouveau TrickBot sur le trafic SMB vers le DC vulnérable
  • Le module mworm :
    • Le client Windows infecté utilise un exploit SMB ciblant le contrôleur de domaine vulnérable
    • Le contrôleur de domaine vulnérable récupère un nouveau TrickBot en utilisant une URL HTTP et s’auto-infecte

Les différences apportées par l’évolution du malware concernent le module « mworm » qui n’est plus utilisé et remplacé par un nouveau module appelé « nworm » qui effectue les actions suivantes :

  • Il récupère un binaire chiffré ou encodé sur le trafic réseau qui représente un fichier exécutable TrickBot
  • L’infection est désormais en mémoire vive, il n’y a donc pas de traces sur le système de fichiers et le malware n’est pas persistent à un redémarrage
  • C’est une bien meilleure méthode pour échapper à la détection sur un contrôleur de domaine infecté

Les indicateurs de compromissions suivants peuvent être retrouvés sur le trafic réseau :

Une campagne de phishing utilise le leurre COVID-19 pour propager Trickbot avec un fichier Microsoft Word infecté.

Les e-mails de phishing de cette campagne contiennent en pièce jointe un document Word qui prétend être une liste de précautions à prendre concernant le COVID-19. Le fichier contient en effet un script VBA avec un injecteur qui télécharge une variante du malware Trickbot. Si la victime active le script VBA, un script jse est exécuté. Ce script contient le code Trickbot et ses modules.

Des indicateurs de compromission sont disponibles dans le rapport Sophos.

 

Menaces

Attaque : Une campagne de phishing imite l’application de traçage numérique italienne « Immuni » pour diffuser le ransomware [F]UNICORN
Procédé : Phishing
Cible : Grand public en Italie
Date de publication : 25/05/2020
Description : Selon le CERT-AgID, une fois la fausse application lancée, une demande de rançon de 300 euros est envoyée à la victime en échange de la clé de déchiffrement. Les cybercriminels semblent néanmoins manquer d’expérience. L’e-mail de contact des attaquants étant invalide, les victimes ne peuvent obtenir leur clé de déchiffrement. Ils peuvent néanmoins la capturer en clair via les logs du trafic réseau. En outre, le code du malware s’avère être un simple copier-coller d’autres ransomwares.
Lien(s) :
https://threatpost.com/funicorn-ransomwarecovid-19-contact-tracing-app/156069/
https://twitter.com/JAMESWT_MHT/status/1264828072001495041

 

Attaque : Des cybercriminels copient l’application de traçage numérique indienne « Aarogya Setu » pour distribuer des spywares
Procédé : Application malveillante
Cible : Grand public en Inde
Date de publication : 20/05/2020
Description : Des chercheurs de SonicWall Labs soulignent que la fausse application se superpose à l’originale dans le dossier des ressources. Une technique utilisée pour faire croire à l’utilisateur qu’il a installé « Aarogya Setu », le logo et le nom reprenant les caractéristiques de l’originale. En cas de suppression, l’application malveillante reste présente sur l’appareil. Une fois installé, ce logiciel espion peut passer des appels téléphoniques, enregistrer du son, envoyer des SMS et enregistrer des vidéos à partir de l’appareil photo.
Lien(s) :
https://securitynews.sonicwall.com/xmlpost/fake-aarogya-setu-android-apps-harbor-spyware-capabilities/

 

Fraudes

Attaque : Des cybercriminels imitent l’Organisation mondiale de la santé (OMS) afin de voler des données personnelles
Procédé : Phishing
Surface/Application : Site web frauduleux
Date de publication : 28/05/2020
Description : Selon l’équipe Threat Analysis Group (TAG) de Google, de nombreux comptes Gmail ont été créés en usurpant l’identité de l’OMS. Les cybercriminels ont envoyé des e-mails incitant les cibles à s’inscrire pour recevoir des notifications directes de l’OMS afin de rester informés des annonces liées au COVID-19 et à se connecter à de faux sites web ressemblant à celui de l’OMS. Ces sites incitent les victimes potentielles à renseigner leurs identifiants de compte Google et, parfois, à donner d’autres informations personnelles.
Lien(s) :
https://blog.google/threat-analysis-group/updates-about-government-backed-hacking-and-disinformation

 

Attaque : Une campagne de phishing ayant pour thème le COVID-19 vise le service anglais TV Licensing afin de voler des données personnelles
Procédé : Phishing
Surface/Application : Sites web frauduleux
Date de publication : 27/05/2020
Description : Le centre national de signalement des fraudes et d’incidents liés à la cybercriminalité britannique « Action Fraud » a enregistré 260 signalements liés à une escroquerie à la taxe audiovisuelle.  De faux e-mails estampillés “Offre personnalisée COVID19” prétendant provenir du groupe TV Licensing affirment que le prélèvement automatique du destinataire a échoué et qu’il doit s’en acquitter afin d’éviter des poursuites judiciaires. Les messages contiennent des liens vers des sites web frauduleux conçus pour voler des données personnelles et financières.
Lien(s) :
https://www.actionfraud.police.uk/news/260-reports-of-coronavirus-related-tv-licensing-emails-so-far-this-month

 

Attaque : Une fake news prétend que StopCovid s’installe automatiquement sur les smartphones
Procédé : Désinformation
Surface/Application : Réseaux sociaux
Date de publication : 01/06/2020
Description : De nombreux sites Internet prétendent que le gouvernement aurait installé l’application StopCovid sur les appareils iOS et Android sans le consentement des utilisateurs et avant son déploiement officiel. Il s’agit en réalité de nouveaux réglages de confidentialité correspondant à la mise à jour de ces appareils dans le cadre du déploiement de l’API « Exposure Notification » de Google et Apple permettant le fonctionnement du Bluetooth en arrière-plan. Le gouvernement français a refusé d’utiliser cette API et a développé une solution alternative.
Lien(s) : https://www.presse-citron.net/attention-a-cette-fake-news-qui-dit-que-stopcovid-sinstalle-seul-sur-votre-smartphone/ 

 

Ressources utiles

Type de ressources : Base de données « Malware Bazaar » permettant de recenser les logiciels malveillants liés au COVID-19
Cible : Technophiles/Entreprises
Date de publication : Mise à jour continue
Description : En utilisant des mots clés référencés tels que « COVID-19 », il est possible de savoir quels logiciels malveillants sont distribués dans les campagnes de phishing associées. Cette base de données fournit également des fiches techniques et un graphique d’observations quotidien des malwares.
Lien(s) : https://bazaar.abuse.ch/browse/tag/COVID-19/

 

Type de ressources : L’ONU lance l’initiative « Verified » pour lutter contre la désinformation liée au COVID-19
Cible : Grand public
Date de publication : 21/05/2020
Description : « Verified » a pour objectif de diffuser des informations précises sur la crise du COVID-19. Orientée autour de trois grandes thématiques, la science, la solidarité et les solutions, cette initiative vise également à encourager le partage des contenus fiables dont la véracité sera vérifiée par le Département des communications mondiales de l’ONU. Les acteurs de l’initiative « Verified » travailleront également en partenariat avec les médias sociaux.
Lien(s) : https://news.un.org/fr/story/2020/05/1069342
https://www.shareverified.com/fr

 

Autres actualités

Pays : France
Sujet : L’application de suivi des contacts StopCovid est disponible sur l’Apple Store et Google Play
Date de publication : 02/06/2020
Description : Basée sur le Bluetooth, cette application permet d’être prévenu après avoir été en contact avec une personne testée positive au COVID-19. Elle ne récolte aucune donnée personnelle ou de localisation. Chaque utilisateur dispose d’un identifiant unique conservé sous forme chiffrée sur un serveur central. Le gouvernement met également à disposition des entités publiques et privées un kit de communication sur l’application.
Lien(s) : https://www.economie.gouv.fr/appli-stop-covid-disponible

 

Pays : France
Sujet : L’équipe du projet StopCovid lance un bug bounty afin de détecter des failles sur l’application
Date de publication : 26/05/2020
Description : En partenariat avec la plateforme YesWeHack, le programme de bug bounty sur StopCovid a été ouvert dans un premier temps à une vingtaine de hackers européens. Ils ont eu plusieurs jours afin de tester l’application. Le programme a ensuite été ouvert à plus de 15 000 hackers inscrits sur la plateforme. YesWeHack se chargera de remonter les vulnérabilités découvertes à l’équipe du projet StopCovid qui pourra travailler sur leur correction. Pour rappel, l’ANSSI avait déjà mené plusieurs audits de sécurité sur l’application.
Lien(s) :
https://cyberguerre.numerama.com/5301-des-hackers-seront-payes-2-000-e-par-faille-trouvee-sur-stopcovid-a-quoi-sert-un-tel-programme.html
https://www.lepoint.fr/high-tech-internet/des-hackeurs-recrutes-pour-tester-la-plateforme-stopcovid-31-05-2020-2377637_47.php#

 

Pays : International
Sujet : 22 pays adoptent l’API développée par Google et Apple dans la lutte contre le COVID-19
Date de publication : 27/05/2020
Description : La plupart des pays européens ont commencé à adopter cette API, à l’image de l’Italie et la Suisse, avec le lancement respectif “d’Immuni” et “SwissCovid”. Ces applications ont été conçues pour suivre et avertir les utilisateurs qui ont été en contact avec une personne dont le test de dépistage au COVID-19 s’est révélé positif. Pour leur part, la France et le Royaume-Uni ont préféré développer leurs propres applications.
Lien(s) : https://9to5mac.com/2020/05/25/adopted-apple-google-api/
https://www.engadget.com/italy-coronavirus-contact-tracing-app-apple-google-covid-19-212811596.html

 

Pays : Qatar
Sujet : L’aéroport de Doha-Hamad s’équipe de nouvelles technologies pour faire face au COVID-19
Date de publication : 19/05/2020
Description : Afin d’assurer la sécurité des passagers et des employés, l’aéroport de Doha-Hamad va notamment s’équiper de casques de détection thermique, capables de mesurer la température corporelle sans contact et de robots autonomes désinfectants chargés de nettoyer les zones les plus fréquentées.
Lien(s) :
https://www.internationalairportreview.com/news/117582/hia-hamad-airport-preparations-post-covid19/

 

Pays : Japon
Sujet : Un hôpital universitaire de Tokyo expérimente la réalité augmentée comme solution d’apprentissage de nouvelles techniques médicales à l’heure du COVID-19
Date de publication : 01/06/2020
Description : En vue d’améliorer la sécurité médicale face à la pandémie du COVID-19, le Tokyo Women’s Medical University possède une salle de traitement de nouvelle génération : le Smart Cyber Operation Theater (SCOT). Une caméra capable d’enregistrer et de transmettre des vidéos en résolution 8K y a été installée pour filmer des opérations. L’université a l’intention de partager ces flux enregistrés lors de futures conférences et dans les cours d’enseignement médical.
Lien(s) :
https://www.zdnet.com/article/tokyo-hospital-uses-vr-to-livestream-surgery-for-education-research-in-a-covid-19-world/

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :
#1
#2 
#3
#4
#5
#6
#7
#8
#9
#10
#11