Ce fut une semaine de bannière pour les cybercriminels et un défi pour les défenseurs. Des centaines d’organisations ont vu des acteurs de menace exploiter les défauts critiques dans leurs serveurs Microsoft SharePoint, avec des pirates plus malveillants s’accumuler et des attaques toujours en cours.
Pendant ce temps, seulement deux mois après un major de retrait du FBI, les opérations de Lumma malware-en un service semblent non seulement s’être complètement rétablies, mais sont plus furtives et plus efficaces que jamais. Et le Trojan bancaire coyote innovant a brisé un nouveau terrain technique en arminant les fonctionnalités d’accessibilité des fenêtres contre les utilisateurs.
Ensemble, ces histoires mettent en évidence l’opportunisme, l’adaptabilité, la résilience et l’ingéniosité des cyber-états d’aujourd’hui – et l’importance critique des contre-mesures, telles que des correctifs rapides et une formation fréquente de sensibilisation à la sécurité.
En savoir plus sur une semaine mouvementée dans la cybercriminalité.
Les attaques SharePoint en cours ont frappé des centaines de clients Microsoft
Les clients de Microsoft avec des serveurs SharePoint sur site sont confrontés à une vague massive de cyberattaques en cours qui ont commencé début juillet et ont augmenté la semaine dernière.
Les intrusions exploitent une chaîne d’outils doublée de chaîne d’attaque, une séquence combinant l’injection de code à distance et les défauts de l’usurpation du réseau. Les attaquants auraient utilisé les vulnérabilités pour compromettre des centaines de clients SharePoint dans le monde, notamment la National Nuclear Security Administration américaine et le ministère de la Sécurité intérieure.
Selon Microsoft, trois acteurs de la menace de l’État-nation chinois ont été parmi les premiers à initier des attaques d’outils début juillet. Plus récemment, l’un des groupes a également commencé à utiliser la séquence de vulnérabilité dans les attaques en cours de ransomware.
Microsoft a publié une mise à jour de sécurité hors bande d’urgence le 19 juillet. Le patch couvre l’édition d’abonnement SharePoint, SharePoint 2019 et SharePoint 2016. Les chercheurs ont averti que davantage d’acteurs de menace pourraient rejoindre la campagne d’attaque en cours, ce qui rend les correctifs immédiats essentiels pour tous les clients de SharePoint.
Les vulnérabilités n’affectent pas la version Microsoft 365 de SharePoint Online.
Lisez l’histoire complète de David Jones sur la plongée sur la cybersécurité.
Lumma Stealer Malware revient après le retrait du FBI
Le célèbre malware Lumma – qui vise à voler des informations sensibles, telles que les informations d’identification et les informations de portefeuille de crypto-monnaie – a rapidement refait surface après son retrait du FBI en mai. Trend Micro Researchers a déclaré que l’activité des acteurs de Lumma Threat semblait être revenue à des niveaux normaux entre juin et juillet, bien que leurs tactiques soient devenues furtives et plus discrètes.
Auparavant, les opérateurs de Lumma comptaient fortement sur l’infrastructure de CloudFlare pour cacher leurs domaines malveillants. Maintenant, cependant, ils se tournent de plus en plus vers des prestataires qui sont moins redevables aux forces de l’ordre américaines, comme la Sélectel basée en Russie.
Les méthodes de distribution de Lumma évoluent également, avec des attaques récentes utilisant de faux logiciels fissurés, des campagnes ClickFix avec des pages CAPTCHA trompeuses, des référentiels GitHub générés par AI-Githed et des campagnes de médias sociaux sur YouTube et Facebook.
Lisez l’histoire complète d’Elizabeth Montalbano sur Dark Reading.
Coyote innove en exploitant l’automatisation de l’interface utilisateur de Windows
Le Trojan Coyote bancaire, actif en Amérique latine depuis février 2024, a lancé une nouvelle méthode d’attaque en exploitant le cadre d’automatisation de l’interface utilisateur Windows pour voler des informations d’identification bancaires. Cela marque la première instance connue de malware abusant cette fonction d’accessibilité légitime conçue pour aider les personnes handicapées à interagir avec les systèmes Windows.
Actif principalement au Brésil, Coyote a ciblé les utilisateurs de 75 banques et échanges de crypto-monnaie. Le malware gagne un accès initial via des fichiers LNK malveillants dans les e-mails de phishing, puis surveille l’activité du navigateur pour les sites Web bancaires.
Le coyote est particulièrement dangereux en raison de sa capacité à fonctionner hors ligne et à utiliser l’automatisation de l’interface utilisateur pour extraire des informations sensibles des onglets du navigateur d’une manière plus fiable que les méthodes traditionnelles. Il illustre la façon dont les techniques des attaquants continuent d’évoluer pour dépasser les mesures de sécurité.
Lisez l’histoire complète de Jai Vijayan sur Dark Reading.
Note de l’éditeur: Un éditeur a utilisé des outils d’IA pour aider à la génération de ce mémoire. Nos éditeurs experts examinent et modifient toujours le contenu avant de publier.
Alissa Irei est la rédactrice en chef du site de la recherche de recherche d’Informa Techtarget.
