La Cyberdirection nationale israélienne met en garde contre les courriels de phishing prétendant être des mises à jour de sécurité zero-day F5 BIG-IP qui déploient des essuie-glaces de données Windows et Linux.

La Cyberdirection nationale israélienne (INCD) agit en tant que CERT chargé de protéger le pays contre les cybermenaces et d’avertir les organisations et les citoyens des attaques connues.

Depuis octobre, Israël a été fortement ciblé par des hacktivistes pro-palestiniens et iraniens, qui ont mené des attaques de vol et d’effacement de données contre des organisations dans le pays.

En novembre, un nouvel essuie-glace de données appelé Bibi Wiper a été découvert qui ciblait à la fois les appareils Linux et Windows et aurait été créé par des hacktivistes pro-Hamas.

La fausse mise à jour F5 déploie l’essuie-glace
Hier, l’INCD a mis en garde contre une nouvelle attaque de phishing déployant des essuie-glaces de données par e-mails prétendant être un avertissement concernant une vulnérabilité zero-day dans les appareils F5 BIG-IP.

Un groupe d’hacktivistes pro-palestiniens nommé Handala a déclaré à Breachtrace qu’ils étaient responsables de l’attaque de phishing, déclarant qu’elle avait été déployée sur de nombreux réseaux israéliens. Breachtrace n’a pas été en mesure de confirmer ces affirmations de manière indépendante.

L’e-mail de phishing avertit que la vulnérabilité F5 BIG-IP zero-day est activement exploitée dans les attaques, exhortant les organisations israéliennes à télécharger et à installer une mise à jour de sécurité avant que leur réseau ne soit violé.

E-mail de phishing poussant une fausse mise à jour F5 BIG-IP

Pour les utilisateurs Windows, l’e-mail envoie un exécutable nommé F5UPDATER.exe [VirusTotal], et pour Linux, le fichier est un script shell nommé update.sh [VirusTotal].

Une fois lancées, les versions Windows et Linux tentent d’usurper l’identité d’une mise à jour de sécurité F5 en affichant le logo de l’entreprise à l’écran.

Par exemple, l’essuie-glace Windows affichera un petit écran portant le logo F5 qui prétend être un programme d’installation de mise à jour de sécurité.

Essuie-glace de données Windows se faisant passer pour une mise à jour de sécurité F5

Lorsque vous cliquez sur le bouton de mise à jour, l’essuie-glace envoie un message contenant les informations au-dessus de l’appareil à un canal Telegram et tente d’effacer toutes les données de l’ordinateur.

Cependant, dans les tests de Breachtrace , l’essuie-glace est un peu bogué, ne supprimant pas toutes les données sur un ordinateur.

L’essuie-glace Linux est un script shell qui télécharge d’abord les programmes nécessaires pour effacer l’ordinateur, qui sont xfsprogs, wipe et parted.

Routine d’effacement des données Linux wipers

Ces programmes sont d’abord utilisés pour supprimer tous les utilisateurs du système, puis utilisez la commande « effacer » pour supprimer les directions d’accueil associées.

L’essuie-glace tentera ensuite de supprimer tous les fichiers du système d’exploitation et les partitions sur le périphérique Linux. Une fois terminé, l’ordinateur Linux est redémarré pour que les modifications de partition prennent effet.

Comme l’essuie-glace Windows, la version Linux communiquera avec un canal Telegram pour fournir des informations sur l’appareil et les mises à jour d’état.

Les effaceurs de données sont devenus un énorme problème pour Israël, les hacktivistes les utilisant couramment dans des attaques destructrices pour perturber les opérations et l’économie d’Israël.

Comme toujours, la meilleure défense consiste uniquement à télécharger des fichiers à partir d’un courrier électronique s’ils proviennent d’une source fiable et confirmée. De plus, les mises à jour de sécurité ne doivent être téléchargées que directement à partir d’un fournisseur de matériel, et non de sites tiers.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *