Cyber Threats Q1 2024 revealed: Cat-Phishing, Living Off the Land, Fake Invoices

Cat-phishing, using a popular Microsoft file transfer tool to become a network parasite, and bogus invoicing were among the notable techniques cybercriminals deployed in Q1 2024, per @HP Wolf Security Report. https://tinyurl.com/mpjd96xp

https://bit.ly/44QatUq - 📱Research at Black Hat Asia by Trend Micro has revealed a startling trend: millions of Android devices come pre-infected with malware before they even leave the factories. This is predominantly affecting lower-cost Android mobile devices, but other tech such as smartwatches and TVs are also impacted. This problem is due to outsourcing to original equipment manufacturers (OEMs), enabling malware implantation within the supply chain. #CyberSecurity #MobileMalware 🏭This isn't a new issue, with similar instances dating back to 2017, but the problem is escalating. Malware plugins, such as proxy plugins, allow criminals to rent infected devices, potentially gaining access to sensitive data like keystrokes, geographical location, and IP addresses. All of this is made possible at the early stages of the device lifecycle, likened to a tree absorbing liquid from the root. #MalwareThreat #CyberCrime 💰The proliferation of malware-infected devices became more prevalent as the price of mobile phone firmware dropped. Fierce competition led to firmware being distributed for free, often bundled with unwanted silent plugins. The most damaging plugins are those with a business model built around them, marketed openly on platforms like Facebook, YouTube, and blogs. #Firmware #InfoSec 🔍The objective of the malware is to steal or monetize information. Devices are turned into proxies used for data theft and click fraud. Users may unwittingly rent out their infected devices, allowing criminals to harvest data or use their phone as an exit node for a period of 1200 seconds. #DataTheft #CyberFraud 🌏Telemetry data estimates that millions of infected devices exist globally, predominantly in Southeast Asia and Eastern Europe. While the precise origin of these threats remains unspecified, China was mentioned several times during the presentation. It's important to note that most of the world's OEMs are based there. #GlobalThreat #CyberAttack 📲At least 10 vendors were found to harbor the malware, with potentially 40 more affected. Higher-end devices are less likely to be infected, suggesting that sticking to well-known brands may offer a degree of protection, though no guarantee. Companies like Samsung and Google have robust supply chain security, but for threat actors, the market remains lucrative.

Mobile malware, a kind of malware that specifically targets mobile devices, is one of the biggest dangers that mobile devices face today. For a beginner-friendly introduction into mobile malware, read our article

#MobileMalware : Réfléchissez bien avant de cliquer

En 2020, il y aura 11,6 milliards d’appareils mobiles connectés à internet. Cela représente une formidable opportunité pour les cybercriminels – ceux-ci ne manqueront pas de tirer une formidable manne financière du manque de culture sécurité des utilisateurs mobiles. Cet article s’inscrit dans le cadre des travaux en partenariat avec l’Europol/EC3 auxquels Orange participe.

Smartphone, notre outil du quotidien

Nos téléphones sont plus intelligents que jamais. Et aujourd’hui, les mobiles nous accompagnent au plus près de notre vie de tous les jours.

Il est 7h du matin, l’alarme sonne sur votre téléphone portable : vous l’éteignez immédiatement. En mangeant vos cornflakes, vous essayez de consulter vos emails professionnels depuis votre mobile ; vous êtes assez rapidement interrompu par votre fille qui vient vous voir pour vous demander comment était votre voyage au Japon. Vous lui montrez alors toutes les belles photos de temples que vous avez prise sur votre smartphone.

Dans le métro, vous vous rappelez que votre télévision est HS depuis quelques jours, et qu’il fallait que vous achetiez cette superbe TV ultra HD – un rapide coup d’œil à vos comptes bancaires depuis votre smartphone vous indique que vous avez les fonds suffisants. En marchant, vous faites la commande sur Amazon.

A l’arrêt de bus, vous voilà connecté sur l’intranet de votre entreprise et votre note de frais est validée en deux temps, trois mouvements.

Et si demain tout s’arrêtait ?

Si un ransomware était installé sur votre mobile à votre insu, que risqueriez-vous ? Ce type de logiciels tient en otage votre smartphone et les données qu’il contient. Le cybercriminel vous demandera de payer une centaine d’euros pour débloquer le téléphone – en réalité, même si vous payez vous ne reverrez jamais vos photos du Japon.

Mais le ransomware n’est qu’une menace parmi tant d’autre. Si un malware était installé sur votre mobile, le cybercriminel pourrait vider votre compte bancaire, utiliser les photos de vos enfants et usurper leur identité sur internet, accéder à des données confidentielles issues de votre intranet, etc.

En ayant accès à vos emails professionnels, le cybercriminel pourrait utiliser votre identité pour diffuser d’autres malware auprès de vos collègues – vous serez alors le vecteur d’une attaque contre votre entreprise pouvant s’avérer redoutable : Epsilon a subi ce type d’attaque spear phishing et a perdu plus de $225 millions de dollars et 60 millions de données clients.

Perte financière, usurpation d’identité, vol ou perte de données personnelles, vol des données de votre entreprise, les malware mobiles sont bien plus dangereux que leurs équivalents sur nos ordinateurs de bureaux. Pourquoi ? Parce que nous n’avons pas les bons réflexes.

Orange et Europol se mobilisent donc dans une grande campagne de sensibilisation internationale,  #MobileMalware, pour renforcer la culture sécurité des utilisateurs mobile.

Commencez dès à présent à vous protéger

Orange, en partenariat avec Europol, vous propose une série de fiches pratiques couvrant une large variété de menaces liées à l’usage du téléphone mobile et aux malware sur mobile.

Plus d’informations sur le site de l’opération #MobileMalware, ainsi que sur le site du mois de la Cybersécurité organisé par Europol et l’ENISA.

Retrouvez toutes les infographies ici

#MobileMalware : Réfléchissez bien avant de cliquer was originally published on JDCHASTA SAS

Law enforcement agencies from 11 countries have joined forces to take down the #Android spyware "FluBot," which steals passwords, banking details and other sensitive data from infected smartphones. Read: https://t.co/ZZDhBWRzFh #cybersecurity #mobilemalware #mobilesecurity (via Twitter https://twitter.com/TheHackersNews/status/1531993590842281985)

via Twitter https://twitter.com/DAUApps

Protect your mobile device against web-based threats! 📱⚠️ Learn how with our infographic: https://t.co/vdji6c0T3d Find more advice on #MobileMalware on https://t.co/rb7YkMArlg #cybercrime #CyberSecurity http://pic.twitter.com/oNWRJ7y5UN— Europol (@Europol) November 21, 2017

http://twitter.com/AdamGrandt

@DaveMarcus said mobilemalware would rise in ’11 http://mcaf.ee/2mcs5 was he right? Read McAfee Q3 11 Threats Report http://mcaf.ee/hn0qm

Sécurité de la messagerie : vers un nouvel état de l'art ! – Episode 1

Depuis les diverses campagnes de ransomwares et la médiatisation des fraudes au président dans lesquelles le mail est un vecteur d’infection ou d’arnaque essentiel, les entreprises s’intéressent à nouveau à la sécurité de la messagerie. En complément des solutions existantes (IP réputation, anti-spam, antivirus sur signature, etc) des nouveautés ou des améliorations des fonctions existantes dessinent un nouvel état de l’art de la sécurité de la messagerie. Au moment où se tient le M3AAWG à Paris, je voulais faire un état des lieux de cet état de l’art.

Comme le sujet est vaste, j’y consacrerai deux articles. Je vais aborder dans ce premier billet les aspects de lutte contre la fraude et les mails forgés ainsi que la lutte contre les menaces avancées (APTs).

Lutte contre la fraude et les mails forgés

La lutte contre la fraude et les mails forgés est un des domaines les plus complexes à adresser. Ces fraudes rapportant beaucoup d’argent, les pirates vont prendre le temps de crédibiliser leurs actions en collant au plus près aux process de l’entreprise et en créant (forgeant) des mails en fonction des cibles. En raison de leur sophistication, mélange de technique et d’ingénierie sociale, les attaques passent souvent sous le radar des anti-spams traditionnels. Pour lutter contre ce fléau de nouvelles solutions émergent en plus de la mise en place de process stricts et de solutions de chiffrement / signature électronique des messages.

Parmi les solutions pour lutter contre le spear-phishing les relais doivent comporter des mécanismes de détection des messages cherchant à imiter des adresses légitimes. L��analyse doit se faire sur l’ensemble des champs (From, Sender…) pour détecter les tentatives de fraudes. L’analyse doit également prendre en compte la façon dont les adresses du domaine protégé sont construites. Si la norme est : prénom.nom @nom-de-domaine, tout mail formaté de la façon initiale suivante prénom.nom @nom-de-domane devra être considéré comme suspect. La partie gauche n’est pas standard et la partie droite de l’adresse est clairement une tentative d’imitation du nom de domaine (même s’il a été déposé et existe réellement). Certaines solutions permettent même de définir une liste de VIPs à protéger spécifiquement. On pense bien sûr aux responsables de l’entreprise, mais dans le cas des fraudes au président toute personne susceptible d’effectuer des virements devrait être spécifiquement protégée.

Dans le domaine de la lutte contre le phishing, il est essentiel de détecter les sites web malicieux cherchant à capturer des informations personnelles. Il est donc essentiel que les relais soient capables d’examiner les liens URLs contenus dans les messages pour s’assurer que l’utilisateur n’est pas incité à visiter un site web contrefait. A cette analyse d’URL, on peut également ajouter un mécanisme de réécriture des URLs pour rediriger les utilisateurs vers un proxy au moment du clic. En effet lors de l’analyse, l’URL peut être considérée comme légitime mais ne plus l’être quelques heures plus tard au moment où l’utilisateur cherche à accéder au site. Il faut donc coupler une analyse initiale à une analyse en temps réel au travers d’un proxy. Ces solutions existent déjà chez certains éditeurs, mais devraient se généraliser rapidement.

Aujourd’hui un moteur d’analyse des URLs contenues dans les messages et un mécanisme de détection de fausses adresses mail sont donc indispensables.

Lutte contre les APTs

Les campagnes d’infection par les ransomwares ont montré la nécessité de doter les relais sécurisés de protections avancées contre les menaces. La demande croissante pour du Sandboxing pour tester les pièces jointes des mails en est la preuve. Le but de la Sandbox est de simuler un comportement humain dans un espace de travail virtualisé pour examiner le comportement de la pièce jointe potentiellement malicieuse. Son efficacité dépendra souvent du temps d’analyse et de sa capacité à contrer les techniques d’évasion mise en place par les pirates.

Le routage d’un mail étant un processus asynchrone : il est plus aisé, et plus légitime, de placer une Sandbox en coupure du flux SMTP que pour d’autres protocoles. Il est également plus facile de retenir un mail le temps d’analyser une pièce jointe suspecte que de retenir un fichier téléchargé depuis un site web ! Cependant, l’utilisation d’une Sandbox en coupure du flux est à double tranchant. Un réglage trop strict va générer un nombre important de faux positifs et nécessité un traitement manuel important. Un réglage trop permissif va laisser passer des menaces dangereuses pour les utilisateurs. Si l’on part du principe qu’une Sandbox est une s��curité additionnelle par rapport à l’anti-spam et l’anti-virus traditionnels, il me semble logique de ne pas mettre le curseur trop haut du moins dans une première phase de déploiement pour éviter de consacrer trop de temps à l’analyse des alertes. En revanche si la Sandbox est dotée d’un moteur de ré-analyse des pièces jointes, c’est un vrai plus.

Le principe de fonctionnement est simple : la solution garde trace de toute pièce jointe qui a été analysée et délivrée à l’utilisateur. Si après ré analyse du fichier celui-ci est considéré comme malveillant (par exemple, la charge virale ne se déclenchant que plusieurs jours après la délivrance) l’administrateur est notifié qu’une pièce jointe infectée a été délivrée à un utilisateur.

L’administrateur pourra prendre les actions correctives nécessaires pour supprimer la pièce jointe malveillante.

Dans la lutte contre les menaces avancées, une Sandbox directement intégrée au relais, capable de retenir les mails durant l’analyse et surtout dotée d’une analyse en continue est indispensable pour limiter les risques d’infection.

Les fonctions décrites ci-dessus existent déjà chez certains éditeurs ou sont en cours de développement et sont pour moi la norme aujourd’hui. Mais ne sont pas les seules. Dans un prochain article, j’aborderai la partie utilisation des DNS et l’apport des CASBs dans la sécurité du mail. Bien entendu si vous pensez que votre protection n’est pas à l’état de l’art et si vous recevez un mail suspect, que ce soit sur votre boite mail ou votre téléphone, réfléchissez avant de cliquer !

Philippe Macia

Pour aller plus loin

Les cryptowares deviendront-ils le facteur majeur de pertes de données en 2016

#MobileMalware : Réfléchissez bien avant de cliquer

Cryptowares et ransomwares : quelques évolutions

Sécurité de la messagerie : vers un nouvel état de l'art ! – Episode 1 was originally published on JDCHASTA SAS

Sécurité de la messagerie : vers un nouvel état de l'art ! – Episode 2

Dans la première partie de cet état de l’art de la sécurité de la messagerie j’avais évoqué les aspects les aspects de lutte contre la fraude et les mails forgés ainsi que la lutte contre les menaces avancées (APTs).

Dans ce second article je traiterai du rôle du DNS comme outil essentiel dans la sécurité de la messagerie et je développerai l’intérêt des fonctions de CASBs qui commencent à devenir essentielles dans certaines architectures. Je terminerai par la liste des fonctions essentielles que doit comporter un relais sécurisé moderne.

DNS et sécurité de la messagerie

Les fonctions de sécurité des noms de domaine est un sujet déjà ancien. Si SPF, Sender ID et DKIM sont maintenant bien connus, DMARC ne l’est pas encore assez à mon goût. Je profite donc de cet article pour rappeler combien leur implémentation est importante et repose sur les DNS.

Bien sûr tout relais sécurisé bien configurée implémente depuis longtemps une résolution inverse des noms de domaines des expéditeurs. Ce qui est plus nouveau en revanche c’est l’utilisation de plus en plus répandue de la surveillance des noms de domaines proches des noms de domaines que l’on sécurise pour tenter de détecter en amont toute tentative de fraude. Par exemple dans le cas où le relais protège le domaine tartanpion.com, les relais vont identifier et rejeter les messages provenant de noms de domaines proches du domaine légitime comme par exemple [email protected] ou tartanpi0n.com en se basant sur les informations fournies par les DNS.

Enfin l’utilisation des DNS est clef dans la détection des menaces liées au spam. En effet à partir d’un enregistrement DNS frauduleux il sera particulièrement intéressant pour les entreprises de pouvoir établir la cartographie des autres domaines utilisés par le même pirate. Ainsi en identifiant un domaine de spam il sera possible de détecter et bloquer tous les domaines déposés par la même personne ou entité et bloquer pro activement des domaines encore non signalés comme malveillants.

On ouvre ici de nouvelles perspectives de lutte contre la fraude que j’évoquais dans le précédent article en utilisant les DNS et non un algorithme interne. Les deux solutions ont bien sûr vocation à se compléter.

L’intégration de certaines fonctions des CASBs  

J’ai consacré une série d’articles aux CASBs et à leur utilisation. Dans le cadre de la messagerie deux cas d’usage de ces solutions me paraissent particulièrement intéressants par leur capacité à traiter les données at rest via les connecteurs d’APIs vers les messageries cloud.

Dans le cadre de la lutte contre les APTs, décrit dans le précédent article, les relais sécurisés sont en train d’intégrer rapidement des fonctions de CASBs pour améliorer encore la remédiation. En effet si la Sandbox liée au relais laisse passer un fichier infecté qui est repéré a posteriori par une contre analyse il est particulièrement intéressant que le relais puisse aller détruire le message infecté au moyen des APIs. Bien sûr ceci n’est valable aujourd’hui que pour les messageries cloud mais de type MS365 mais c’est déjà une grande avancée en matière de sécurité. On peut penser que des APIs apparaitront bientôt qui permettront les mêmes usages sur des messageries non cloud.

Autre fonction intéressante des CASBs : le contrôle des données enregistrées pour éviter la diffusion de fichiers confidentiels. Les CASBs vont permettre de bloquer l’envoi par mail de fichiers stockés en contrôlant la conformité des fichiers à la politique de sécurité de l’entreprise mais également les droits accordés aux utilisateurs. A mon sens fonctions de CASB et fonctions de DLP vont fusionner à plus ou moins court terme.

En résumé

Pour moi vous êtes à l’état de l’art de la sécurité de votre messagerie si vous disposez :

D’un système de réputation multicritères allant plus loin que les RBL (Real time Block List),

D’un anti spam capable d’analyser ce que le message cherche à vous faire faire ou, en d’autres termes, doté de capacité d’analyse comportementale ;

D’une fonction de détection du spear-phishing par détection des adresses mails forgées,

D’un moteur d’analyse des URLs capable de d’analyser non seulement l’URLs lors de la délivrance du message mais également lors du clic de l’utilisateur en réécrivant l’URL pour le rediriger vers un proxy cloud. Comme je l’évoquais l’an dernier, une protection email efficace est maintenant forcément adossée à un filtrage web performant ;

D’une protection contre les menaces avancées à l’aide d’une Sandbox alliée à une capacité de contre analyse rétrospective des fichiers ayant transité par la solution ;

De la capacité d’implémenter facilement SPF, DKIM et DMARC ;

De fonctions de CASB qui vous permettront de contrôler à posteriori les données déjà stockées dans votre messagerie soit pour éliminer une menace soit pour contrôler la diffusion d’informations sensibles.

De la possibilité à communiquer en TLS avec tout type de messagerie

Tout cela s’accompagne bien sûr :

d’une interface ergonomique avec possibilité de déléguer l’administration en fonction des besoins ;

d’un reporting configurable ;

d’une capacité à s’interfacer avec des outils de SIEM (export des logs en Syslog ou tout format standard du marché) ;

quarantaine multilingue

plug in pour les principaux clients de messagerie

Et si en plus de tout cela votre relais vous permet aussi, même si c’est moins fondamental à mes yeux, de :

lutter contre le Graymail ;

mettre en œuvre une solution de DLP (Data Leakage Prevention) ;

chiffrer des mails sortant ;

parler le STIX and TAXII avec vos autres équipements de sécurité ;

Alors je dirais que votre relais sécurisé de messagerie est à l’état de l’art et que vous êtes correctement protégé !

Philippe

Pour aller plus loin

Sécurité de la messagerie : vers un nouvel état de l’art ! – Episode 1 Les cryptowares deviendront-ils le facteur majeur de pertes de données en 2016 #MobileMalware : Réfléchissez bien avant de cliquer Cryptowares et ransomwares : quelques évolutions

Sécurité de la messagerie : vers un nouvel état de l'art ! – Episode 2 was originally published on JDCHASTA SAS