Avec un accent particulier sur les applications mobiles et les appareils connectés et non gérés, ce VMX Labs Cybersecurity Threat Roundup est compilé par les chercheurs en cybersécurité et les data scientists de Verimatrix. Il comprend des liens vers les avis de menaces les plus importants du mois dernier, des informations sur les vulnérabilités et les correctifs, ainsi que des liens vers des rapports de renseignement récents.

Informations sur les menaces

  • Assaut publicitaire Bluetooth est une attaque par déni de service qui n'utilise qu'un dispositif de piratage Flipper Zero pour envoyer de fausses fenêtres pop-up d'alerte sur les iPhones en continu. pour envoyer en continu de fausses fenêtres pop-up d'alerte de périphérique Bluetooth aux iPhones.. Elle peut être utilisée dans un scénario d'attaque très ciblé pour empêcher quelqu'un d'utiliser son iPhone jusqu'à ce qu'il trouve le moyen de désactiver complètement le Bluetooth.
  • EvilBamboo est une menace persistante avancée (APT) basée en Chine qui utilise généralement trois spywares Android dans ses opérations : BADBAZAAR, BADSIGNAL et BADSOLAR. De nombreux éléments montrent que l'acteur de la menace peut également distribuer des applications iOS malveillantes à ses cibles via l'App Store d'Apple.
  • Les mods Telegram malveillants sont de plus en plus utilisés par les cybercriminels pour distribuer des logiciels malveillants.. Dans le dernier incident en date, des chercheurs ont trouvé un logiciel espion dans un mod Telegramdistribué via Google Play Store, qui vole les messages des victimes, les pièces jointes à ces messages et les contacts.
  • La Triade de l'hameçonnage est un acteur chinois spécialisé dans le smishing. Dans sa dernière campagne, il utilise exclusivement iMessage pour voler des informations personnelles identifiables (PII) et des identifiants de paiement à des utilisateurs d'iPhone aux États-Unis. Cela s'explique probablement par le fait que les gens font davantage confiance au service iMessage qu'au courrier électronique ou aux SMS.
  • Transparent Tribe est une menace persistante avancée (APT) basée au Pakistan qui qui utilise le logiciel espion CapraRAT pour cibler des personnalités politiques et militaires de la région. militaires de la région. La découverte récente de deux applications trojanisées se faisant passer pour des applications YouTube et d'une application de persona de chaîne YouTube indique que l'acteur de la menace a commencé à attirer ses cibles avec des thèmes YouTube.
  • L'attaque WiKI-Eve est une nouvelle attaque de canal latéral permettant d'écouter les frappes sur l'écran d'un smartphone, par exemple pour voler un code pendant que la victime le saisit sur une application de paiement mobile.L'attaque WiKI-Eve est une nouvelle attaque par canal latéral qui permet d'écouter les frappes sur l'écran d'un smartphone, par exemple pour voler un code pendant que la victime le saisit dans une application de paiement mobile. Elle s'appuie sur une fonctionnalité Wi-Fi moderne, la transmission en clair d'informations de retour de formation de faisceau (BFI), entre le smartphone et le point d'accès, afin d'optimiser l'efficacité de la transmission du signal. Dans l'attaque WiKI-Eve, BFI est surveillé par un autre dispositif Wi-Fi, qui extrait la position de l'antenne du smartphone à partir des BFI en clair, lesquelles sont ensuite traitées et traduites en valeurs numériques.
  • Xénomorphe Le logiciel malveillant bancaire Android s'étend aux États-Unis. On observe que plus de 30 applications bancaires américaines et plusieurs applications de portefeuilles de crypto-monnaies ont été ajoutées à la liste des cibles lors de la dernière campagne. Ses principales capacités d'attaque sont des superpositions et un système de transfert automatisé avancé (ATS) activé par l'abus de service d'accessibilité.
  • Zanubis Logiciel malveillant bancaire Android cible plus de 40 banques et applications de services financiers au Pérou. Il abuse du service d'accessibilité d'Android pour lancer l'enregistrement du clavier ou de l'écran afin de voler les informations d'identification de l'utilisateur.

Vulnérabilités et correctifs

  • Les mises à jour de sécurité d'Android pour le mois de septembre (2023-09-01 et 2023-09-05) ont corrigé 32 vulnérabilités, dont un jour zéro (CVE-2023-35674) activement exploité dans la nature. activement exploitée dans la nature. Le niveau de correctif de sécurité 2023-09-05 ou plus récent résout tous ces problèmes.
  • BLASTPASSDes chercheurs de Citizen Lab ont révélé l'existence d'une chaîne d'exploitation en zéro clic permettant de déployer le célèbre logiciel espion Pegasus de NSO Group sur les iPhones mis à jour (iOS 16.6). Apple a corrigé les vulnérabilités activement exploitées CVE-2023-41064 et CVE-2023-41061 dans la version iOS 16.6.1. Bien que la prise en charge de l'iOS 15 ait pris fin il y a un an, Apple a publié la version iOS 15.7.9 pour se protéger contre cette menace.
  • Une faille critique (CVE-2023-4863) a été découverte dans la bibliothèque WebP. On pense qu'elle est activement exploitée dans la nature. Elle a été corrigée dans une version d'urgence (version 1.3.2). Google a tenté d'augmenter le score de gravité de cette vulnérabilité de 8,8 à un maximum de 10,0 par la suite. Les applications mobiles construites avec la bibliothèque libwebp (par exemple, le framework Flutter) devraient envisager une mise à jour de sécurité.
  • Le groupe d'analyse des menaces (TAG) de Google et Citizen Lab ont découvert une chaîne d'exploitation zero-day ciblant les iPhones pour déployer le célèbre logiciel espion Predator. Tous les problèmes (CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) ont été résolus par Apple dans les versions iOS 17.0.1 et iOS 16.7.

Rapports de renseignement