Aujourd'hui dans le TOP 3 des nouvelles de Jet CSIRT - piratage de l'entrepreneur Apple, du cheval de Troie ToxicEye et nouvelles vulnérabilités 1-Click dans Telegram, OpenOffice et d'autres logiciels. Les trois principales actualités ont été recueillies par Andrey Maslov, analyste Jet CSIRT chez Jet Infosystems. En savoir plus sous la coupe.
Les opérateurs du ransomware REvil ont eu accès à la documentation technique d'Apple et les
opérateurs de REvil ont affirmé avoir réussi à pirater l'entrepreneur d'Apple, la société taïwanaise Quanta Computer. Quanta Computer est l'une des rares entreprises à assembler des produits Apple sur la base des schémas et des conceptions qui leur sont fournis. Ces stratagèmes et conceptions ont été piratés en possession de cybercriminels.
Les opérateurs REvil ont publié un message sur leur site Web exigeant de payer 50 millions de dollars pour les données volées d'ici le 27 avril. Sinon, les criminels menacent de libérer des dizaines de projets et de plans volés dans le domaine public. Pour le moment, le site Web des cybercriminels a publié 21 captures d'écran avec des dessins MacBook. Les criminels promettent de publier de nouvelles données chaque jour jusqu'à ce que la rançon soit payée.
Telegram est utilisé par les cybercriminels pour contrôler le cheval de Troie ToxicEye
Les chercheurs ont déclaré que les cybercriminels utilisent de plus en plus Telegram comme système C&C prêt à l'emploi dans leurs attaques. En particulier, le messager est utilisé en conjonction avec un nouveau type de Trojan RAT ToxicEye.
Premièrement, les cybercriminels créent un compte et un bot spécial dans le messager, l'associent à un cheval de Troie, qui, à son tour, est distribué par courrier indésirable. Lorsqu'une victime ouvre une pièce jointe malveillante, le cheval de Troie se déploie sur l'hôte, lançant une série d'exploits.
Une fois installé sur l'ordinateur de la victime, ToxicEye le connecte au C&C de l'attaquant. En conséquence, les criminels ont la possibilité de contrôler l'ordinateur infecté à l'aide de commandes transmises via Telegram.
Vulnérabilités en un clic identifiées dans des logiciels populaires
Les chercheurs en cybersécurité Positive Security ont trouvé des vulnérabilités dans Telegram, Nextcloud, VLC, Libre- / OpenOffice, Bitcoin / Dogecoin Wallets et Wireshark. Ces vulnérabilités sont liées au comportement des systèmes d'exploitation lors du traitement des URL.
Les experts ont identifié deux principaux vecteurs d'exploitation des vulnérabilités. Le premier est lorsque les applications ouvrent une URL qui pointe vers un fichier exécutable malveillant (.desktop, .jar, .exe, etc.) situé sur une ressource de fichier accessible via Internet (nfs, webdav, smb, etc.). La seconde concerne une vulnérabilité dans le gestionnaire d'URL d'une application ouverte.