Contenu connexe Plus de Blandine Delaporte (20) Rapport Threat Intelligence Check Point du 18 avril 20161. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non-confidentiels
1
11 - 17 AVRIL 2015
PRINCIPALES FAILLES ET ATTAQUES
Un cheval de Troie de porte dérobée appelé Dripion a été découvert. Il a été utilisé par le groupe de
cyberespions Budminer avec le téléchargeur de logiciels malveillants Blugger lors d'une campagne
ciblant des utilisateurs taïwanais et japonais.
Une nouvelle variante du cheval de Troie de vol de données QBOT a été récemment découverte. Elle
intègre du code polymorphique et a infecté plus de 54 000 ordinateurs de différentes entreprises. Ce
logiciel malveillant est également diffusé par le kit d'exploitation de vulnérabilités Rig.
Les blades Check Point IPS, Anti-Virus et Anti-Bot offrent une protection contre toutes les variantes connues de cette
menace (Backdoor.Win32.Qbot ; Operator.Qbot ; Trojan.MSIL.Kryptik ; Page d'atterrissage du kit d'exploitation de vulnérabilités
Rig ; Redirection du kit d'exploitation de vulnérabilités Rig).
Le ministère italien du Développement économique a révoqué la licence de Hacking Team, l'équipe
d'interception et de surveillance basée en Italie, afin de l'empêcher de vendre son système de contrôle
à distance en dehors de l'Union européenne, où se situe la plupart des clients de l'entreprise.
VULNÉRABILITÉS ET CORRECTIFS
Microsoft a publié un correctif pour la vulnérabilité de Windows OLE récemment annoncée (CVE-2016-
0153). La faille, probablement causée par une faute de frappe dans le code, permettrait à un agresseur
d'exécuter du code à distance via un document Word conçu à cet effet.
La blade Check Point IPS offre une protection contre l'exploitation de cette vulnérabilité (Exécution de code à distance dans
Windows OLE (MS16-044 : CVE-2016-0153)).
Dans le cadre de la dernière mise à jour de sécurité pour Android, Google a corrigé une vulnérabilité de
déni de service dans la bibliothèque Android Minikin (CVE-2016-2414). Un agresseur local exploitant
cette faille pourrait être en mesure de bloquer temporairement l'accès à un appareil Android affecté.
RAPPORT THREAT INTELLIGENCE
2. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non-confidentiels
| 2
11 - 17 avril 2016
Check point a émis une alerte mettant en garde contre la vulnérabilité Badlock, une faille d'élévation de
privilèges existant dans Microsoft Windows et la suite d'interopérabilité Samba pour Linux et UNIX. En
exploitant cette faille, un agresseur pourrait accéder à des ressources réservées.
La blade Check Point IPS offre une protection contre l'exploitation de cette vulnérabilité (Rétrogradation d'authentification
RPC dans Microsoft Windows (MS16-047)).
RAPPORTS ET MENACES
Des chercheurs ont découvert que des cybercriminels avaient exploité le service d'alertes de Google, qui
parcoure Internet à la recherche des toutes dernières actualités sur des sujets choisis par les
utilisateurs, en intégrant des mots-clés et des noms populaires dans des pages web illégitimes,
notamment à des fins de phishing et d'affichage de publicités malveillantes.
Des chercheurs de Check Point ont analysé les différentes réincarnations de la famille de logiciels
malveillants Kovter, un logiciel malveillant très répandu d'abord observé en 2013 sous la forme d'un
logiciel rançonneur, puis en 2014-2015 sous la forme d'un outil de fraude au clic, et enfin récemment de
nouveau sous forme de logiciel rançonneur avec un mécanisme de chiffrement assez simple.
La blade Check Point Anti-Virus offre une protection contre cette menace (Trojan.Win32.Kovter).
En décembre 2015, des appareils mobiles ont été utilisés pour diffuser des configurations DNS
malveillants à des routeurs personnels, à l'aide d'attaques de dictionnaire JavaScript et d'exploitations
cachées dans des sites web malveillants.
La blade Check Point IPS offrira une protection contre l'exploitation de cette vulnérabilité dans sa prochaine mise à jour
(Porte de service d'accès non autorisé ZTE F460/F660).
Un nouveau vecteur de menace pour les appareils mobiles iOS surnommé Su-A-Cyder a été présenté
durant la conférence Black Hat 2016 en Asie. Le vecteur exploite la nouvelle politique d'Apple
permettant l'installation d'applications faites maison sur des appareils non jailbreakés, et précise que
toute application légitime peut désormais être remplacée par une version modifiée et malveillante qui
ne sera pas détectée comme étant malveillante par les services de sécurité.
Un nouveau logiciel rançonneur surnommé Jigsaw a été découvert. Ce logiciel rançonneur chiffre non
seulement les fichiers d'un poste infecté, mais supprime également 1 000 fichiers après chaque
redémarrage. Les fichiers chiffrés peuvent être déchiffrés à l'aide de cet outil en ligne.
Les auteurs du kit d'exploitation de vulnérabilités Blackhole arrêtés en octobre 2013, ont été
condamnés à des peines de 5 ans et demi à 8 ans de prison ou de camp de travail.