Bulletin du 13 Juin 2016

6 - 12 juin 2016
RAPPORT THREAT INTELLIGENCE
PRINCIPALES FAILLES ET ATTAQUES

Les voyageurs qui demandent un visa américain sont pris pour cible par une nouvelle campagne de
diffusion de logiciel malveillant via Skype. Les opérateurs de cette campagne se font passer pour des
responsables américains proposant d'aider les voyageurs à comprendre les exigences des visas, et
diffusent l'outil d'administration à distance Qarallax.

Des pirates nord-coréens ont dérobé plus de 42 000 dossiers internes d'entreprises privées et
d'organismes publics en Corée du Sud, dont Korean Air, et ont installé plus de 30 types de portes
dérobées dans les machines piratées afin de lancer des attaques supplémentaires.

Plus de 51 millions de comptes iMesh, qui fut un temps la troisième plus grande entreprise de partage
de musique et de vidéo aux États-Unis, ont été dérobés et sont actuellement proposés à la vente dans le
web profond. La base de données comprend les adresses email, les mots de passe chiffrés, les noms
d'utilisateur, la localisation et les adresses IP des utilisateurs, et plus encore.

Un pirate russe nommé Tessa88 a déclaré avoir obtenu des millions de comptes Twitter, comprenant les
adresses électroniques, les noms d'utilisateur et les mots de passe en texte clair. Une analyse de la base
de données révèle qu'elle contient 32 millions de comptes. On estime que les données ont été obtenues
par infection de logiciel malveillant et non via une faille.
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
1
6 - 12 juin 2016
VULNÉRABILITÉS ET CORRECTIFS

Des chercheurs de Check Point ont découvert une vulnérabilité dans les applications en ligne et mobile
Facebook Messenger, qui permet à un agresseur de modifier ou de supprimer tout message ou fichier
envoyé, de manipuler l'historique des messages, de remplacer un lien ou un fichier légitime par un lien
ou un fichier malveillant afin de diffuser des logiciels malveillants, et plus encore. La vulnérabilité a été
corrigée par l'équipe de sécurité de Facebook.

Une vulnérabilité zero-day d'escalade de privilèges locaux, soi-disant présente dans toutes les versions
Windows de 2000 à 10, est actuellement proposée à la vente par un pirate russe surnommé BuggiCorp,
dans un forum russe connu. La vulnérabilité est proposée au prix initial de 90 000 dollars.
RAPPORTS ET MENACES

Zcrypt, un logiciel rançonneur unique possédant des fonctionnalités similaires à celles d'un virus,
capable d'infecter des utilisateurs via des périphériques USB, a été analysé par des chercheurs de Check
Point. Le logiciel rançonneur corrompt et chiffre les fichiers de ses victimes pour les empêcher d'utiliser
des outils de récupération de données.
La blade Check Point SandBlast offre une protection contre cette menace.

Deux nouvelles techniques utilisées par des cybercriminels pour échapper à toute détection par analyse
en bac à sable ont récemment été observées. L'une de ces techniques compare le nombre de fichiers
dans la collection RecentFiles avec un seuil prédéfini, en considérant qu'un utilisateur standard de Word
a récemment accédé à plusieurs documents, tandis qu'un environnement virtuel ne comprend qu'un ou
deux documents ouverts après une nouvelle installation de Microsoft Office.

Des chercheurs ont examiné Lurk, un cheval de Troie bancaire qui cible des entreprises russes depuis
2012. Ses victimes sont principalement des entreprises de télécommunication, des institutions
financières et des médias de masse, et il est principalement diffusé par le kit d'exploitation de
vulnérabilités Angler.
Les blades Check Point IPS, Anti-Virus et Anti-Bot offrent une protection contre toutes les variantes connues de cette
menace (Page d'atterrissage du kit d'exploitation de vulnérabilités Angler ; Redirection du kit d'exploitation de vulnérabilités
Angler ; Trojan.Win32.Lurk; Trojan-Spy.Win32.Lurk).

Une nouvelle variante du cheval de Troie bancaire Vawtrak, proposé sous forme de service à des
cybercriminels, a été découverte. Elle prend en charge de nouvelles banques, et des pays tels que le
Japon, le Canada et le Royaume-Uni ont été ajouté à sa liste de cibles. Il comporte également des
niveaux d'obscurcissement renforcés pour échapper à toute détection.
Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre toutes les variantes connues de cette menace
(Trojan.Win32.Vawtrak ; Operator.Vawtrak ; Vawtrak ; Backdoor.Win32.Vawtrak).
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
|2
6 - 12 juin 2016

Le bot Marcher, un logiciel malveillant bancaire mobile utilisé pour dérober des identifiants de comptes
bancaires, a ajouté neuf grandes banques du Royaume-Uni à sa liste de cibles. Il comprend des
fonctionnalités de fraude mises à jour affichant un écran se superposant aux applications bancaires
lorsqu'elles sont lancées ou lorsque le navigateur web consulte des URL bancaires prédéfinies, ainsi
qu'un module détournant des SMS.
Les blades Check Point Anti-Virus et Anti-Bot offrent une protection contre toutes les variantes connues de cette menace
(Trojan.AndroidOS.Marcher ; Trojan-banker.AndroidOS.Marcher ; Operator.Marcher).
Commentaires ou questions : [email protected]
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
|3