Bulletin du 5 Décembre

28 novembre - 4 décembre 2016
RAPPORT THREAT INTELLIGENCE
PRINCIPALES FAILLES ET ATTAQUES

Le réseau de cybercriminels « Avalanche » a été démantelé par une opération de police, durant laquelle
800 000 serveurs ont été déconnectés, saisis ou rendus inaccessibles, et 5 individus ont été arrêtés.
« Avalanche » est utilisé pour diffuser de nombreuses campagnes de phishing et de logiciels
malveillants, en particulier des chevaux de Troie bancaires, et est considéré comme étant à l'origine de
la perte de centaines de millions de dollars à travers le monde entier depuis 2009.

Des chercheurs ont signalé que les récentes attaques ciblées sur l'Arabie Saoudite en novembre ont été
commises à l'aide d'une variante du logiciel malveillant Shamoon. Ce dernier efface le contenu des
disques. Il a déjà été utilisé durant une attaque en 2012 contre des entreprises d'énergie saoudiennes.
La campagne actuelle remplace le contenu des disques durs par la photo d'un réfugié de 3 ans qui est
décédé par noyade l'an dernier en essayant de s'enfuir de Syrie.
La blade Check Point Anti-Virus offre une protection contre cette menace (Worm.Win32.Disttrack).

Un nouveau rapport fournit des informations sur l'agresseur responsable de l'attaque du logiciel
rançonneur Mamba contre le métro MUNI de San Francisco qui a désactivé ses systèmes de paiement
durant la période de fêtes de Thanksgiving. Le rapport, constitué à partir de données découvertes dans
la boîte de messagerie piratée de l'agresseur, détaille ses méthodes de piratage et ses précédentes
campagnes.
Les blades Check Point IPS et Anti-Virus offrent une protection contre cette menace (Exécution de code à distance Apache
Commons Collections dans la plate-forme JBoss et WebSphere Server ; Exécution de code à distance bibliothèque Apache Commons
Java Collections dans WebLogic ; Trojan-ransom.Win32.Mamba).

Le botnet Mirai est en pleine expansion. Des chercheurs ont noté une infection massive de routeurs à
travers l'Allemagne. La variante actuelle de Mirai exploite une autre vulnérabilité que celui d'origine,
dans de nombreux routeurs qui laissent le port TCP 7547 ouvert.
Les blades Check Point IPS, Anti-Virus et Anti-Bot offrent une protection contre cette menace (Exécution de code à distance
sur routeurs Eir D1000 ; Botnet.Linux.Mirai ; Operator.Mirai).
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
1
28 novembre - 4 décembre 2016

Des pirates ont dérobé 31 millions de dollars sur des comptes de la banque centrale russe. Dans une
affaire potentiellement associée, la Russie a annoncé avoir bloqué une cyberattaque à grande échelle
menée par des services de renseignement étrangers contre de grandes banques, soi-disant destinée à
déstabiliser son système financier.
VULNÉRABILITÉS ET CORRECTIFS

Le Projet Tor a publié un correctif qui adresse une vulnérabilité zero-day permettant la
désanonymisation des utilisateurs de Tor. Mozilla a également publié une nouvelle version de Firefox
adressant la même vulnérabilité.
La blade Check Point IPS offre une protection contre cette menace (Exécution de code à distance sur animation SVG dans
Firefox (CVE-2016-9079)).

Google a corrigé 26 failles dans son navigateur Chrome, dont 12 sont critiques. 5 des failles sont liées à
des vulnérabilités XSS.

Des chercheurs d'Avast ont publié de nouveaux outils gratuits de déchiffrement pour certains logiciels
rançonneurs, y compris CrySiS, un logiciel rançonneur chiffrant entièrement de petits fichiers et
partiellement de gros fichiers (les rendant inutilisables dans les deux cas) par un chiffrement renforcé.
Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre cette menace (Trojan.Win32.Crysis.A).

PayPal a corrigé une vulnérabilité dans son mécanisme d'authentification OAuth, qui utilise des
applications fonctionnant avec l'API PayPal. La vulnérabilité permettrait à des pirates de contourner les
mécanismes actuels de validation et de recevoir les jetons OAuth d'autres applications.
RAPPORTS ET MENACES

Des chercheurs de Check Point ont publié un rapport décrivant Gooligan, une nouvelle campagne de
logiciel malveillant qui a frappé plus d'un million de comptes Google (plus à ce jour) sur des appareils
utilisant Android 4 et 5. Lors du téléchargement de dizaines d'applications infectées, Gooligan télécharge
également un rootkit permettant à l'agresseur d'accéder à des données stockées sur les plates-formes
de Google.
Les clients de Check Point Mobile Threat Prevention sont protégés contre cette menace.

Proteus, un nouveau botnet, a été découvert. Ce botnet est programmé en .NET et possède différentes
fonctionnalités, telles que l'enregistrement des frappes, l'extraction de monnaie virtuelle, un proxy et
l'installation de logiciels malveillants.
La blade Check Point Anti-Virus offre une protection contre cette menace (Trojan.Win32.Proteus).
Commentaires ou questions : [email protected]
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
|2