Le FBI démantèle le logiciel malveillant QakBot et saisit 8,6 millions de dollars
Un effort coordonné des forces de l’ordre sous le nom de code “Operation Duck Hunt” a mis à terme QakBot, une célèbre famille de logiciels malveillants pour Windows. Ce malware aurait compromis plus de 700 000 ordinateurs dans le monde. À cette fin, le ministère américain de la justice (DoJ) a déclaré la saisi de plus de 8,6 millions de dollars en crypto-monnaie en guise de profits illicites. L’exercice transfrontalier a impliqué la participation de plusieurs pays européens ainsi que ainsi que l’assistance technique de la société Zscaler.
Vulnérabilités critiques concernant VMware Aria Operations
VMware a publié des mises à jour logicielles pour corriger deux vulnérabilités dans Vmware Aria permettant d’être exploitées pour contourner l’authentification et obtenir une exécution de code à distance. La faiblesse la plus grave, nommée CVE-2023-34039 (score CVSS : 9.8), concerne le contournement de l’authentification résultant d’un manque de génération de clé cryptographique unique. Un acteur malveillant disposant d’un accès réseau à Aria Operations peut contourner l’authentification SSH et accéder au logiciel en ligne de commande. La seconde faiblesse, moins importante (CVE-2023-20890) permettrait la lecture et l’écriture de fichiers arbitraires.
Fuite de données de la société Kroll à travers une attaque de type “SIM Swapping”
Le fournisseur de solutions de conseil financier et de gestion des risques Kroll a révélé vendredi que l’un de ses employés avait été victime d’une attaque de type “SIM swapping” très sophistiquée. Un attaquant a réussi a faire activer une nouvelle carte SIM au nom de l’employé afin de l’utiliser contre lui. Cet accès a permis à l’attaquant d’accéder à certains fichiers contenant des informations personnelles sur les demandeurs de faillite dans les affaires BlockFi, FTX et Genesis.
Des paquets npm malveillants visent à cibler les développeurs afin de dérober du code source
Un acteur inconnu utilise des paquets npm malveillants pour cibler les développeurs dans le but de voler le code source et les fichiers de configuration des machines des victimes. L’acteur malveillant est déjà connu depuis 2021 pour des activités similaires. Les paquets, de par leur conception, sont configurés pour s’exécuter immédiatement après l’installation au moyen d’une méthode post-installation défini dans le fichier package.json. Il déclenche le lancement d’un fichier preinstall.js permettabnt de capturer les métadonnées du système et récolter le code source ainsi que les secrets de certains répertoires.