Archives de catégorie : backdoor

backdoor, Bitcoin, Cybersécurité

BlueNoroff : la nouvelle menace contre les cryptomonnaies sur macOS

Le groupe nord-coréen BlueNoroff, spécialisé dans les cyberattaques ciblant les sociétés de cryptomonnaies, a lancé une campagne massive baptisée Hidden Risk. Utilisant un malware multi-étapes sophistiqué, ce groupe vise les systèmes macOS en exploitant un mécanisme de persistance indétectable par les dernières versions de l’OS.

BlueNoroff utilise des e-mails de phishing pour attirer ses victimes, exploitant l’intérêt croissant autour des actualités liées aux crypto-monnaies. Les messages se présentent comme des communications d’influenceurs reconnus, renforçant ainsi leur crédibilité aux yeux des destinataires. Chaque e-mail contient un lien soi-disant associé à un document PDF informatif sur les événements récents, mais qui redirige en réalité vers le domaine contrôlé par les attaquants, « delphidigital[.]org ».

Point clé : le phishing reste une des méthodes les plus efficaces pour infiltrer des systèmes et accéder à des données sensibles.

Les experts de SentinelLabs ont découvert que le malware déployé par BlueNoroff utilise un mécanisme de persistance novateur qui ne déclenche aucune alerte sur les dernières versions de macOS. Ce logiciel malveillant ouvre un shell distant sur les appareils compromis, permettant aux cybercriminels d’effectuer des actions à distance sans que l’utilisateur ne le soupçonne.

L’URL malveillante est configurée pour distribuer un document apparemment inoffensif sur le Bitcoin ETF, mais elle sert également à déployer un package d’application intitulé « Le risque caché derrière la nouvelle flambée des prix du Bitcoin« .

La première étape de l’attaque repose sur une application compte-gouttes signée et notariée avec un identifiant de développeur Apple légitime, « Avantis Regtech Private Limited (2S8XHJ7948)« , qui a été révoqué par Apple depuis. Une fois lancé, le programme télécharge un faux fichier PDF à partir d’un lien Google Drive, l’ouvrant dans une visionneuse standard pour occuper la victime, tandis qu’en arrière-plan, la charge utile principale est téléchargée depuis « matuaner[.]com ».

cette campagne s’appuie sur un document de recherche authentique de l’Université du Texas, soulignant le niveau de détail et de planification de l’attaque.

BlueNoroff, déjà connu pour ses vols de cryptomonnaies, met en œuvre des stratégies de plus en plus complexes, ciblant directement l’écosystème macOS qui, jusqu’ici, restait moins affecté par ce type d’attaques. Cette campagne met en lumière la nécessité pour les entreprises et les utilisateurs de rester vigilants et de renforcer leur sécurité.

Pour rester informé des dernières alertes de cybersécurité et des menaces, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de DataSecurityBreach.

backdoor, Cybersécurité

Augmentation des attaques de comptes Azure par pulvérisation de mots de passe depuis août 2023

Depuis août 2023, Microsoft a observé une intensification des attaques de pirates ciblant les comptes Azure en utilisant la technique de pulvérisation de mots de passe (brute force).

Ces attaques furtives, souvent couronnées de succès, sont associées au botnet CovertNetwork-1658, connu également sous les noms de xlogin et Quad7 (7777). Ce botnet est principalement composé de routeurs TP-Link SOHO infectés par des portes dérobées et fonctionnant comme relais.

La durée moyenne d’activité des nœuds de ce botnet est d’environ 90 jours. Les attaques par ‘brute force’, pulvérisation de mots de passe est un terme amusant pour traduire brute force, impliquent simultanément environ 8 000 adresses IP, et dans 80 % des cas, chaque adresse effectue une tentative de piratage par jour.

Pour installer une porte dérobée, les attaquants exploitent des vulnérabilités dont la nature exacte reste incertaine. Une fois l’exploit réalisé, l’appareil est configuré pour fonctionner comme proxy.

Les informations d’identification compromises par CovertNetwork-1658 sont ensuite utilisées pour lancer des attaques ciblées. Le piratage des comptes cloud Azure permet aux cybercriminels de progresser plus en profondeur dans le réseau, d’établir des points d’ancrage à l’aide de RAT (Remote Access Trojans) et de commencer à voler des données.

Cette activité est particulièrement prisée par un groupe de cybercriminels opérant en Amérique du Nord et en Europe, surveillé par Microsoft sous le nom de Storm-0940.

L’activité de CovertNetwork-1658 a toutefois diminué ces derniers mois, probablement en raison de l’attention accrue de la communauté de la sécurité de l’information, notamment à travers les publications Sekoia, par exemple, consacrées à Quad7.

Les opérateurs du botnet auraient décidé de mettre à jour leur infrastructure en modifiant leurs empreintes numériques pour échapper à la détection et revenir à une activité plus discrète.

Pendant ce temps, avec l’IA, chasse au 0Day

Les experts de GreyNoise ont identifié deux vulnérabilités zero-day dans les caméras réseau PTZ (panoramique/inclinable/zoom).

Ils ont été aidés en cela par un outil d’IA spécialement créé pour les besoins de la cyberintelligence. L’assistant intelligent intégré au système Honeypot de chasse aux menaces répondait clairement au trafic suspect. L’analyse a révélé qu’il s’agissait d’une tentative d’exploitation automatisée.

La vulnérabilité critique CVE-2024-8956 est causée par une mise en œuvre incorrecte des mécanismes d’authentification et permet l’accès aux noms d’utilisateur, aux mots de passe hachés (MD5), aux données de configuration et à d’autres informations confidentielles. La vulnérabilité CVE-2024-8957 ouvre la possibilité d’injection de commandes. Lorsqu’il est utilisé conjointement avec CVE-2024-8956, il vous permet de prendre le contrôle de la caméra à distance et sans authentification, de visualiser et d’arrêter le flux vidéo en temps réel, d’apporter des modifications et également de connecter l’appareil à un botnet DDoS.

Les problèmes concernent les caméras PTZ haute résolution avec des versions de micrologiciel inférieures à 6.3.40, en particulier pour les appareils de PTZOptics, Multicam Systems SAS et SMTAV Corporation basés sur des processeurs SoC Hisilicon Hi3516A. Ils sont souvent utilisés dans des installations critiques : production robotique, établissements médicaux, agences gouvernementales (par exemple, dans les salles d’audience), ainsi que pour des présentations en ligne et des vidéoconférences. (Greynoise)

Android, backdoor, Cybersécurité

Google signale de nouvelles vulnérabilités critiques dans Android

Google a alerté la communauté sur une exploitation active de la vulnérabilité CVE-2024-43093, découverte dans le framework Android. Cette vulnérabilité permet aux attaquants d’accéder de manière non autorisée aux répertoires sensibles « Android/data », « Android/obb » et « Android/sandbox » ainsi qu’à leurs sous-répertoires. Bien que les détails spécifiques des attaques n’aient pas encore été rendus publics, Google souligne que l’exploitation reste limitée à des cibles précises.

Outre cette vulnérabilité, Google a mis en lumière la CVE-2024-43047, une autre faille critique exploitée activement. Celle-ci est associée aux chipsets Qualcomm et résulte d’une erreur d’utilisation après libération (use-after-free) dans le processeur de signal numérique (DSP), menant potentiellement à une corruption de la mémoire. Cette vulnérabilité a été confirmée par les chercheurs de Google Project Zero ainsi que par Amnesty International le mois dernier.

Bien que Google n’ait pas encore clarifié si les deux vulnérabilités pouvaient être exploitées conjointement pour créer une chaîne d’attaques, la possibilité qu’elles soient utilisées à des fins d’espionnage ciblant des membres de la société civile est évoquée.

La vulnérabilité CVE-2024-43093 est la deuxième faille critique du framework Android activement exploitée cette année, suivant de près la CVE-2024-32896, corrigée cet été. Initialement, cette dernière affectait uniquement les appareils Pixel, mais il a été révélé plus tard qu’une plus large gamme d’appareils Android était concernée.

APT, backdoor, Cybersécurité

Les pirates nord-coréens utilisent une nouvelle variante de FASTCash pour cibler les distributeurs de billets

Une nouvelle menace émerge dans le monde de la cybersécurité alors que des pirates informatiques nord-coréens exploitent une variante Linux du malware FASTCash pour infiltrer les systèmes de commutation de paiement des institutions financières et effectuer des retraits d’espèces non autorisés aux distributeurs automatiques (DAB). Ce développement marque une extension des capacités de ce malware, initialement conçu pour les systèmes Windows et IBM AIX (Unix), désormais adapté aux distributions Linux, notamment Ubuntu 22.04 LTS.

Le malware FASTCash a été utilisé pour la première fois en 2016 pour voler des fonds à des institutions financières en Asie et en Afrique. Il permettait aux pirates de manipuler les systèmes bancaires et d’autoriser des retraits massifs et simultanés aux DAB. En 2017, FASTCash a permis le retrait simultané d’espèces dans 30 pays, suivi d’un incident similaire en 2018 dans 23 autres pays.

L’attaque repose sur l’exploitation des commutateurs de paiement, des systèmes centraux qui gèrent la communication entre les guichets automatiques, les terminaux de paiement (PoS) et les banques. En interférant avec les messages de transaction ISO8583, un protocole utilisé pour traiter les paiements par carte de crédit et de débit, les pirates peuvent modifier les réponses aux transactions et approuver des retraits d’argent, même lorsque le compte de la carte n’a pas suffisamment de fonds.

Variante Linux de FASTCash

Repérée pour la première fois en juin 2023 par le chercheur en sécurité HaxRob sur VirusTotal, cette variante Linux présente des similarités avec les versions Windows et AIX. Le malware se dissimule sous la forme d’une bibliothèque partagée, injectée dans un processus actif sur les serveurs de la banque à l’aide de l’appel système ptrace. Il se connecte ensuite aux fonctions réseau du système, permettant aux pirates de manipuler les messages de transaction.

Plus précisément, FASTCash intercepte les transactions refusées pour insuffisance de fonds, remplaçant les réponses de « rejet » par des réponses « approuvées ». Ces réponses modifiées permettent aux mules d’argent, travaillant en collaboration avec les pirates, de retirer des sommes importantes aux DAB, allant de 350 à 875 dollars.

Une menace furtive et en constante évolution

L’un des aspects les plus inquiétants de cette nouvelle variante Linux est sa capacité à contourner les mécanismes de sécurité des systèmes de détection de malware. Lorsqu’elle est apparue sur VirusTotal, elle n’a été détectée par aucune solution de sécurité, ce qui a permis aux pirates d’opérer sans être perturbés.

En plus de cette version Linux, une nouvelle version de FASTCash pour Windows a été repérée sur VirusTotal en septembre 2024, démontrant que les attaquants continuent d’améliorer et de diversifier leur arsenal pour cibler plusieurs systèmes d’exploitation.

Le malware FASTCash a longtemps été attribué au groupe de hackers nord-coréen Hidden Cobra, également connu sous le nom de Lazarus ou APT38. Ce groupe est soupçonné d’être responsable de vols massifs d’argent et de cyberattaques sophistiquées visant les institutions financières du monde entier, notamment un vol de plus de 1,3 milliard de dollars.

En 2020, le US Cyber Command a relancé les avertissements concernant la menace de FASTCash 2.0, signalant une intensification des activités de Lazarus. Par ailleurs, en 2021, des accusations ont été portées contre trois ressortissants nord-coréens impliqués dans ces stratagèmes, soulignant le lien entre ce groupe de cybercriminels et le gouvernement nord-coréen.

Le gouvernement américain a montré du doigt, en 2021, plusieurs pirates informatiques Nord-Coréens qui semblent être cachés derrière ces nouvelles cyberattaques. Le ministère américain de la Justice affichait alors deux citoyens nord-coréens associés au groupe de hackers Lazarus (alias Hidden Cobra, Dark Seoul et APT28). L’acte d’accusation s’étendait également aux accusations déposées en 2018 contre Park Jin Hyok (alias Jin Hyok Park et Pak Jin Hek), le pirate informatique nord-coréen qui serait responsable des attaques massives du ransomware WannaCry en 2017 contre la Banque centrale du Bangladesh en 2016 ou encore la société Sony (vengeance pour le fait que le studio ait sorti le film « The Interview »). Park se retrouvait alors fiché avec Jon Chang Hyok et Kim Il. Les malveillants auraient aussi créé une fausse société de cryptomonnaie et le token Marine Chain.

Le ministère américain de la Justice estime que ce système permettait aux utilisateurs d’acheter des options dans des navires maritimes, et que la Corée du Nord pouvait à terme avoir accès aux fonds des investisseurs et contourner les sanctions américaines.

backdoor, Cybersécurité

Un ingénieur découvre une porte dérobée dans des cartes sans contact d’un fabricant chinois

Quarkslab, une entreprise française spécialisée dans la cybersécurité offensive et défensive, a annoncé la découverte d’une porte dérobée présente dans des millions de cartes sans contact fabriquées par Shanghai Fudan Microelectronics Group Co. Ltd., un des principaux fabricants de puces en Chine. Les cartes concernées sont largement utilisées dans les transports publics et l’industrie hôtelière à travers le monde.

Les cartes MIFARE* sont une marque bien connue pour une large gamme de produits de circuits intégrés sans contact, produits et licenciés par NXP Semiconductors N.V. (NASDAQ: NXPI). Les circuits intégrés sans contact MIFARE ont une distance de lecture/écriture typique de 10 cm et sont utilisés dans plus de 750 villes, dans plus de 50 pays, et dans plus de 40 applications différentes à travers le monde, y compris les paiements sans contact, la billetterie de transport et le contrôle d’accès. La gamme de produits a rencontré un immense succès, avec plus de 12 milliards de cartes sans contact et à double interface vendues, selon le vendeur.

Dès 2010, plus de 3,7 milliards de cartes avaient été fabriquées et déployées à travers le monde.

Selon NXP en 2019, lors de son 25e anniversaire, plus de 1,2 milliard de personnes dans plus de 750 villes à travers le monde utilisaient quotidiennement des produits MIFARE.

La famille de cartes MIFARE Classic*, lancée à l’origine en 1994 par Philips Semiconductors (aujourd’hui NXP Semiconductors), est largement utilisée et a été soumise à de nombreuses attaques au fil des années. Les vulnérabilités de sécurité permettant des attaques dites « card-only » (attaques nécessitant l’accès à une carte mais pas au lecteur correspondant) sont particulièrement préoccupantes car elles peuvent permettre aux attaquants de cloner des cartes, ou de lire et de modifier leur contenu, simplement en se trouvant à proximité physique d’elles pendant quelques minutes. Au fil des années, de nouvelles versions de la famille MIFARE Classic* ont été développées pour contrer les différents types d’attaques découvertes par les chercheurs en sécurité.

En 2020, le FM11RF08S, une nouvelle variante de MIFARE Classic*, a été lancée par Shanghai Fudan Microelectronics, le principal fabricant chinois de puces « compatibles MIFARE » non licenciées. Cette variante comporte des contre-mesures spécifiques conçues pour déjouer toutes les attaques « card-only » connues et gagne progressivement des parts de marché à l’échelle mondiale. De nombreuses organisations utilisent ces cartes sans savoir qu’il s’agit de produits Fudan, car elles sont étiquetées MIFARE.

Lors de recherches en sécurité, Philippe Teuwen, chercheur en sécurité chez Quarkslab, a identifié des caractéristiques idiosyncratiques intéressantes des cartes FM11RF08S. Tout d’abord, il a découvert une attaque capable de casser les clés des cartes FM11RF08S en quelques minutes si elles sont réutilisées sur au moins trois secteurs ou trois cartes. Des recherches supplémentaires ont révélé une porte dérobée matérielle qui permet l’authentification avec une clé inconnue.

Il a ensuite utilisé cette nouvelle attaque pour obtenir (« craquer ») cette clé secrète et a découvert qu’elle est commune à toutes les cartes FM11RF08S existantes. Avec la connaissance de la porte dérobée et de sa clé, il a conçu une méthode pour casser toutes les clés d’une carte FM11RF08S en environ 15 minutes si les 32 clés sont diversifiées, beaucoup moins de temps si seulement quelques clés sont définies. Ensuite, il a trouvé une porte dérobée similaire, protégée par une autre clé, dans la génération précédente de cartes (FM11RF08). Après avoir également craqué cette seconde clé secrète, il a découvert que cette clé est commune à toutes les cartes FM11RF08, ainsi qu’à d’autres modèles du même fabricant (FM11RF32, FM1208-10), et même à certaines anciennes cartes de NXP Semiconductors N.V. (NASDAQ: NXPI) et d’Infineon Technologies AG (FSE: IFX / OTCQX: IFNNY).

« Les technologies de communication en champ proche (NFC) sont largement déployées dans le monde entier et ont de nombreuses utilisations aujourd’hui. Elles sont la pierre angulaire de certaines applications critiques telles que les transports publics, l’identification personnelle, le contrôle d’accès physique et les systèmes de paiement, et elles sont omniprésentes dans l’industrie hôtelière. Mais même des technologies matures qui ont été étudiées pendant des décennies et dont la sécurité a été améliorée au fil du temps peuvent être sujettes à des attaques ou à des manipulations par différents types d’acteurs malveillants« , a déclaré Fred Raynal, PDG de Quarkslab. « La découverte de Philippe réaffirme la nécessité pour les organisations de réaliser régulièrement des audits de sécurité approfondis des technologies sans contact qu’elles utilisent. Ce besoin est particulièrement aigu pour les organisations ayant des chaînes d’approvisionnement complexes, où les attaques sur la chaîne d’approvisionnement peuvent représenter une menace sérieuse dans leur modèle de menace.« 

Bien que, sans accès préalable à une carte affectée, la porte dérobée nécessite seulement quelques minutes de proximité physique avec la carte pour mener une attaque, une entité en position de réaliser une attaque sur la chaîne d’approvisionnement pourrait exécuter de telles attaques instantanément et à grande échelle.

Quarkslab a publié un résumé des conclusions sur le blog de l’entreprise. La nouvelle attaque et toutes les découvertes associées ont été révélées dans un article de recherche publié vendredi dernier, le 16 août, sur l’archive de cryptologie ePrint de l’International Association for Cryptologic Research (IACR).

Les outils associés ont été intégrés dans le projet open-source Proxmark3, permettant aux utilisateurs potentiellement affectés de tester leurs cartes.

backdoor, cyberattaque, Cybersécurité

Crise évitée de justesse : comment une cyberattaque sur Linux a failli bouleverser Internet

Les développeurs et les experts en sécurité informatique ont récemment été secoués par une tentative d’attaque contre la chaîne d’approvisionnement logicielle, ciblant l’utilitaire de compression XZ Utils, largement utilisé dans les systèmes d’exploitation Linux. Cette tentative d’infiltration a mis en lumière les vulnérabilités humaines qui sous-tendent les infrastructures de l’Internet.

La récente découverte d’une porte dérobée dans le logiciel XZ Utils, largement utilisé dans les systèmes d’exploitation Linux, a secoué la communauté open source. Ce logiciel, essentiel pour la compression de données, s’est retrouvé au cœur d’une attaque de chaîne d’approvisionnement qui aurait pu compromettre des millions de serveurs à travers le monde.

Cette opération de longue haleine semble être l’œuvre d’une agence de renseignement, bien que l’identité exacte des instigateurs reste inconnue. Le cas de Jia Tan est particulièrement préoccupant puisqu’il a profité de la vulnérabilité d’un développeur [CVE-2024-3094] surmené pour prendre le contrôle de XZ Utils.

L’affaire commence lorsque Andres Freund, un ingénieur chez Microsoft, débusque une anomalie dans un protocole réseau, menant à la découverte d’une des attaques de chaîne d’approvisionnement les plus élaborées à ce jour. Un développeur peu connu, Jia Tan, avait commencé dès février à intégrer discrètement un code malveillant dans XZ Utils. Profitant de la vulnérabilité humaine, notamment la fatigue du seul développeur mainteneur du projet, Tan réussit à s’implanter comme responsable du logiciel, augmentant ainsi ses capacités d’insertion de code malveillant.

Cette situation exposait une faille critique dans la gestion de projets open source : la dépendance excessive à des individus isolés pour la maintenance de logiciels cruciaux.

L’alerte a été donnée par l’Agence de cybersécurité et de sécurité des infrastructures, avec un avertissement spécifique de Red Hat. L’incident, originaire d’octobre 2021, a été découvert presque par hasard, soulignant l’importance de la vigilance et de la collaboration au sein de la communauté open source.

Ce cas rappelle que la sécurité des logiciels open source n’est pas seulement une question de technologie mais aussi de confiance et de collaboration humaine. Les contributions de Jia Tan à d’autres projets tels que libarchive, qui se sont retrouvées dans de nombreux dispositifs, soulèvent des questions sur l’ampleur de la menace.

Heureusement, l’incident a été découvert à temps, évitant une catastrophe majeure. Mais il sert de rappel alarmant que même les outils les plus fondamentaux et largement utilisés, comme XZ Utils, peuvent être des cibles de choix pour des opérations d’espionnage menées par des acteurs étatiques.

backdoor, Cybersécurité, Entreprise

Failles de sécurité dans les appareils NAS D-Link

Un chercheur en cybersécurité met au jour des failles de sécurité inquiétantes dans de nombreux appareils NAS D-Link. Ces vulnérabilités, actuellement non prises en charge par le fabricant, incluent des injections de commandes et des portes dérobées codées en dur.

Le problème a été identifié dans le script /cgi-bin/nas_sharing.cgi, spécifiquement dans son composant HTTP GET Request Handler. Ces failles de sécurité ont été répertoriées sous l’identifiant CVE-2024-3273.

Risques pour les utilisateurs

Le compte vulnérable, nommé « messagebus », possède un mot de passe vide, ce qui permet l’injection de commandes via le paramètre « system ». Si un attaquant parvient à exploiter ces deux failles, il peut potentiellement exécuter du code à distance sur l’appareil. Cette exploitation pourrait conduire à un accès non autorisé à des données sensibles, à la modification des paramètres système, voire à un déni de service (DoS).

Appareils concernés par les failles

Les appareils NAS D-Link suivants sont affectés par la vulnérabilité CVE-2024-3273 :

DNS-320L version 1.11, version 1.03.0904.2013, version 1.01.0702.2013
DNS-325 version 1.01
DNS-327L version 1.09, version 1.00.0409.2013
DNS-340L version 1.08

Une analyse du réseau a révélé plus de 92 000 stockages réseau D-Link vulnérables, soulignant ainsi l’ampleur du problème. Étant donné que D-Link a cessé de prendre en charge ces NAS, il est recommandé aux utilisateurs de remplacer les équipements obsolètes par des modèles plus récents et pris en charge. Cette mesure est essentielle pour garantir la sécurité des données et des systèmes. (Netsecfish)

backdoor, Cybersécurité, ransomware

Le ransomware : le plus actif des rançongiciel change de ton

Stop, le plus discret et pourtant le plus actif des rançongiciels au monde. Le code malveillant vient de connaître une mise à jour qui le rend encore plus agressif.

Stop, un code malveillant de la famille des ransomwares. Ce rançongiciel fait de très gros dégâts depuis 2018. Cet outil de prise d’otage est discret, et pourtant, il est le plus actif au monde.

STOP est distribué principalement via des offres groupées publicitaires et des sites suspects. Ces ressources font la publicité pour de faux cracks de logiciels, comme exemple pour Cubase, Photoshop, des antivirus et des logiciels gratuits. Logiciels groupés qui sont en réalité des offres groupées. Elles installent divers programmes indésirables et logiciels malveillants sur les machines des utilisateurs. L’un de ces logiciels malveillants est STOP.

Stop chiffre les fichiers, leur ajoute une nouvelle extension et place une demande de rançon sur la machine infectée (490$, puis le double après 72 heures). En 2019, Bleeping Computer proposait un outil pour se reprendre la main sur Stop.

Mais malheureusement, il existe actuellement près de 850 variantes de STOP connues des chercheur. Chiffre qui ne facilite pas la lutte contre ce microbe.

Parmi les extensions repérées : .STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .CAROTE, .DJVU, .COHAROS., .NOOD.

Nouvelle variante

Les chercheurs ont découvert une nouvelle variante du ransomware STOP qui utilise un mécanisme d’exécution en plusieurs étapes pour contourner les mesures de sécurité. Elle fait d’autant plus de dégâts que les victimes ne vont pas se plaindre. Ce malware attaque principalement les fans de contenus piratés, les visiteurs de sites suspects.

Depuis son introduction en 2018, le blog ZATAZ alertait de sa présence excessive dans les ordinateurs d’internautes, le ransomware est resté pratiquement inchangé et de nouvelles versions sont principalement publiées pour résoudre des problèmes critiques. Cependant, les experts de SonicWall ont découvert une nouvelle version de STOP, qui pourrait toucher un grand nombre de personnes.

Le malware télécharge d’abord un fichier DLL supposément sans rapport (msim32.dll), peut-être comme un faux-positif. Il implémente également une série de longues boucles temporisées qui peuvent aider à contourner les protections basées sur le temps. STOP utilise ensuite des appels d’API dynamiques sur la pile pour allouer l’espace mémoire requis pour les autorisations de lecture/écriture et d’exécution, ce qui rend la détection encore plus difficile. Le malware utilise des appels API pour diverses opérations, notamment l’obtention d’instantanés des processus en cours d’exécution afin de comprendre dans quel environnement il s’exécute. À l’étape suivante, le ransomware intercepte les processus légitimes et y injecte sa charge utile pour s’exécuter silencieusement en mémoire. Cela se fait via une série d’appels API soigneusement conçus qui manipulent la mémoire du processus et contrôlent le flux.

Une fois la charge utile finale exécutée, une série d’actions sont effectuées visant à la sécuriser dans le système, à modifier l’ACL (afin que les utilisateurs n’aient pas la possibilité de supprimer des fichiers importants et des répertoires de logiciels malveillants) et également à créer une tâche planifiée pour exécuter la charge utile toutes les cinq minutes.

backdoor, Cybersécurité, Mise à jour

GhostRace : la menace fantôme pour Intel, AMD, ARM et IBM

Un groupe de chercheurs a développé une nouvelle attaque appelée GhostRace capable de provoquer des fuites de données sur les processeurs modernes de chez Intel, AMD, ARM et IBM.

Les experts d’IBM et de l’Université libre d’Amsterdam décrivent GhostRace (CVE-2024-2193) comme une condition de concurrence spéculative (SRC). Cette attaque vous permet d’extraire de la mémoire des informations potentiellement sensibles, telles que des mots de passe et des clés de chiffrement. Cependant, pour mener à bien l’attaque, un accès physique ou privilégié à la machine cible sera nécessaire, ce qui signifie qu’exploiter ce problème en pratique est une tâche très difficile.

Le rapport d’expert indique qu’une condition de concurrence critique se produit lorsque plusieurs threads tentent simultanément d’accéder à une ressource partagée, ce qui peut conduire à des vulnérabilités pouvant être exploitées de diverses manières, notamment l’exécution de code arbitraire, le contournement de sécurité et l’extraction de données.

Pour éviter que de telles situations ne se produisent, les systèmes d’exploitation modernes utilisent des primitives de synchronisation, mais l’analyse des chercheurs a montré que les conditions de concurrence peuvent être combinées avec une exécution particuliére.

« Notre principale conclusion est que toutes les primitives de synchronisation courantes implémentées à l’aide de branches conditionnelles peuvent être contournées microarchitecturalement sur des chemins spéculatifs à l’aide de l’ attaque Spectre v1 (CVE-2017-5753), provoquant une condition de concurrence spéculative dans toutes les zones critiques sans race (SRC). ce qui permettra aux attaquants d’extraire des informations du logiciel cible« , ont expliqué les chercheurs dans un article de blog .

GhostRace : la menace fantôme pour Intel, AMD, ARM et IBM

Afin de mener une attaque et de « gagner » la course, l’exécution du processus victime doit être interrompue au bon moment et maintenue afin que l’attaquant puisse effectuer ce que les chercheurs appellent un SCUAF (Speculative Concurrent Use-After-Free). ) attaque.

Pour cela, les scientifiques ont utilisé une nouvelle technique d’attaque appelée Inter-Process Interrupt (IPI) Storming, qui consiste à faire déborder le cœur du processeur du processus cible. En conséquence, ils ont démontré une attaque SCUAF sur le noyau Linux, qui a entraîné une fuite d’informations de la mémoire du noyau à une vitesse de 12 kilo-octets par seconde.

Bien que l’étude se soit concentrée sur les architectures x86 et Linux, les experts ont déclaré que les produits d’autres fabricants, ainsi que les logiciels autres que Linux, étaient sensibles à l’attaque.

« En général, tout logiciel est vulnérable au SRC, par exemple un système d’exploitation, un hyperviseur, etc., qui implémente des primitives de synchronisation via des branches conditionnelles sans aucune instruction de sérialisation et s’exécute sur n’importe quelle microarchitecture (par exemple, x86, ARM, RISC). -V, etc.), ce qui permet d’exécuter des branches conditionnelles de manière spéculative« , expliquent les chercheurs.

Les ingénieurs d’Intel, AMD, Arm et IBM ont été informés du problème GhostRace fin 2023 et ont, à leur tour, signalé la vulnérabilité aux fabricants de systèmes d’exploitation et d’hyperviseurs.

AMD a publié cette semaine un avis informant ses clients que les conseils précédents sur la protection contre les attaques Spectre devraient également aider à prévenir les attaques GhostRace.

Les développeurs de l’ hyperviseur Xen ont également émis un avertissement correspondant et développé un mécanisme de protection. Bien qu’ils aient confirmé que techniquement toutes les versions de Xen sont affectées par le problème GhostRace, le projet n’utilise pas de gadgets vulnérables à GhostRace, et l’équipe de sécurité de Xen ne pense pas qu’il y ait un besoin urgent de prendre des mesures, donc les mesures de protection sont désactivés par défaut.

Les développeurs Linux ont implémenté une fonctionnalité de limitation de débit IPI qui devrait protéger contre le problème associé IPI Storming (Inter-Process Interrupt Storming) (CVE-2024-26602), mais n’ont pas encore pris de mesures supplémentaires en raison de problèmes de performances potentiels.

En plus de leur article de blog et de leur livre blanc, les chercheurs ont déjà publié un exploit PoC pour GhostRace, des scripts conçus pour analyser le noyau Linux à la recherche de gadgets SCUAF et une liste de gadgets problématiques déjà identifiés. (pdf)

backdoor, Cybersécurité, Microsoft

Midnight blizzard : cyberattaque d’envergure contre Microsoft

Dans le paysage numérique actuel, les cyberattaques représentent une menace constante pour les entreprises et les organisations à travers le monde. Récemment, Microsoft a révélé avoir été la cible de Midnight Blizzard, un groupe de cyber espionnage lié au Kremlin.

Également connu sous les noms de APT29 et Cozy Bear, Midnight Blizzard a fait son apparition dans le paysage cybernétique en janvier 2024, lorsque Microsoft a signalé une attaque APT (Advanced Persistent Threat) ciblant les adresses électroniques de ses dirigeants et employés. La situation s’est aggravée lorsque Microsoft a découvert que des informations volées au sein de ses systèmes étaient utilisées pour accéder de manière non autorisée à ses réseaux.

Le groupe de pirates aurait réussi à infiltrer des référentiels contenant du code source ainsi que certains systèmes internes de l’entreprise. Heureusement, selon les informations actuelles, les systèmes d’interaction avec les clients semblent avoir été épargnés.

La réaction de microsoft face à l’attaque

Face à cette menace, Microsoft a rapidement entrepris une enquête approfondie pour évaluer l’ampleur du cyber incident et ses potentielles répercussions. L’entreprise surveille également de près l’utilisation des informations compromises dans le but de prévenir toute attaque ultérieure. Microsoft a souligné que les attaques menées par Midnight Blizzard se distinguent par l’ampleur des ressources déployées, la coordination et la détermination des cybercriminels, utilisant les données volées pour identifier de nouvelles cibles potentielles. Voilà qui expliquerait, peut-être, le nombre de 0day mis en vente, ces dernières semaines et révélées par ZATAZ.

Dans son billet de blog, Microsoft a mis en lumière les mesures de sécurité prises pour contrer les menaces posées par des acteurs de cyber espionnage de niveau gouvernemental comme Midnight Blizzard. Ces mesures reflètent l’engagement de l’entreprise à protéger ses infrastructures critiques et la sécurité de ses clients. En mettant l’accent sur la prévention, la détection et la réponse rapide aux incidents, Microsoft cherche à minimiser l’impact de telles attaques sur ses opérations et à garantir la continuité de ses services.

backdoor, Cybersécurité

Une attaque de phishing innovante met en péril la sécurité des comptes des propriétaires de voiture Tesla ?

Une attaque de phishing innovante met en péril la sécurité des comptes des propriétaires de voiture Tesla ?

Récemment, Talal Haj Bakry et Tommy Mysk, experts en cybersécurité, ont mis en lumière une méthode de phishing particulièrement préoccupante qui cible les propriétaires de véhicules Tesla. Grâce à l’utilisation d’un dispositif Flipper Zero, les chercheurs ont démontré qu’il est possible de compromettre un compte Tesla, permettant ainsi de déverrouiller et potentiellement voler un véhicule. Cette vulnérabilité persiste même après la mise à jour vers la dernière version de l’application Tesla (4.30.6) et du firmware (version 11.1 2024.2.7).

https://twitter.com/mysk_co/status/1765783975056851004

Le processus d’attaque détaillé

L’exploit décrit par Bakry et Mysk repose sur la création d’un faux réseau Wi-Fi nommé « Tesla Guest », simulant ceux fréquemment trouvés dans les centres de service Tesla. En se connectant à ce réseau, les victimes sont redirigées vers une page de connexion imitant celle de Tesla, où leurs identifiants sont capturés par l’attaquant. L’étape suivante du processus consiste à obtenir un mot de passe à usage unique (OTP) nécessaire pour contourner l’authentification à deux facteurs, permettant à l’attaquant de se connecter à l’application Tesla et d’accéder à la localisation du véhicule en temps réel.

Les implications de l’attaque

Le succès de cette attaque repose sur la possibilité d’ajouter une nouvelle clé de téléphone au compte Tesla compromis, une opération qui ne requiert pas la présence physique de l’attaquant à l’intérieur du véhicule, mais seulement à proximité immédiate. Cette méthode expose les propriétaires de Tesla à un risque accru, d’autant plus que l’ajout d’une nouvelle clé n’engendre aucune notification ni alerte via l’application ou sur le tableau de bord du véhicule.

Recommandations de sécurité

Face à cette menace, qu’il faut tout de même modérer [il faut de nombreuses interactions] les chercheurs suggèrent que l’ajout d’une nouvelle clé de téléphone devrait exiger une authentification supplémentaire, telle que la présentation d’une clé de carte Tesla physique. Cette mesure renforcerait considérablement la sécurité, ajoutant une couche d’authentification pour le nouvel appareil.

Malgré la remise en question de cette procédure par Tesla, qui considère le comportement observé comme normal, il est clair que des mesures supplémentaires doivent être envisagées pour protéger les propriétaires de Tesla contre ces attaques de phishing de plus en plus sophistiquées.

backdoor, Cybersécurité, Wordpress

Méfiez-vous des fausses notifications et plugins malveillants

La sécurité des sites Web WordPress est une préoccupation majeure pour de nombreux administrateurs. Récemment, une nouvelle menace a émergé sous la forme de fausses notifications de sécurité prétendant qu’une vulnérabilité dangereuse.

Répertoriée sous l‘ID CVE-2023-45124, affecte votre site. Mais méfiez vous, car cette menace n’est rien d’autre qu’une tentative sournoise d’infecter votre site avec un plugin malveillant.

Comment fonctionne cette attaque ? Les utilisateurs de WordPress reçoivent des e-mails qui semblent provenir de WordPress lui-même, alertant sur une vulnérabilité critique d’exécution de code à distance (RCE) détectée sur leur site. La peur de la sécurité incite les administrateurs à agir rapidement, et la solution semble simple : installer un plugin qui prétend résoudre le problème de sécurité.

Cependant, c’est là que réside le piège. En cliquant sur le bouton « Télécharger le plugin », les utilisateurs sont redirigés vers une page qui ressemble étonnamment au site officiel de WordPress, « wordpress.com ». La page affiche fièrement un nombre impressionnant de 500 000 téléchargements du plugin, ainsi que des avis d’utilisateurs élogieux. Toutefois, il s’agissait d’une fausse page reprenant la page officielle : « en-gb-wordpress[.]org » [la page officielle en-gb.wordpress.org], un subterfuge bien élaboré.

Après avoir installé le plugin, il crée un administrateur caché, baptisé « wpsecuritypatch« , et commence à envoyer des informations sensibles à un Serveur de Commande et Contrôle (C2). Le code malveillant est ensuite téléchargé et stocké sur le site, mettant potentiellement en danger l’intégrité de votre site Web.

Ce plugin malveillant est équipé de fonctionnalités redoutables, telles que la gestion de fichiers, un client SQL, une console PHP et un terminal de ligne de commande. De plus, il fournit aux attaquants des informations détaillées sur le serveur compromis, ce qui leur donne un contrôle considérable sur votre site.

Ce qui rend cette menace particulièrement sournoise, c’est que le plugin ne s’affiche pas dans la liste des plugins installés, le cachant ainsi aux yeux des administrateurs. Cette dissimulation rend sa détection et sa suppression difficiles.

Alors, quel est l’objectif final de ce plugin malveillant ? Pour l’instant, il demeure un mystère, mais les experts en sécurité émettent des hypothèses inquiétantes. Il pourrait être utilisé pour injecter de la publicité sur des sites compromis, rediriger les visiteurs vers des destinations malveillantes, voler des informations confidentielles ou même faire chanter les propriétaires de sites en menaçant de divulguer le contenu de leur base de données.

Heureusement, des experts en sécurité WordPress tels que Wordfence et PatchStack ont pris des mesures pour alerter la communauté. Ils ont publié des avertissements sur leurs sites Web pour sensibiliser les administrateurs et les utilisateurs à cette menace grandissante.

Alors, que pouvez-vous faire pour protéger votre site WordPress ? Tout d’abord, soyez extrêmement prudent lors de l’installation de plugins inconnus. Assurez-vous de les télécharger à partir de sources fiables uniquement. De plus, soyez vigilant face à tout e-mail suspect prétendant provenir de WordPress.

backdoor, Cybersécurité, Téléphonie

LE PARLEMENT EUROPÉEN CRITIQUE L’INACTION SUR LES LOGICIELS ESPIONS

Dans une résolution adoptée majoritairement (424 voix pour, 108 contre, et 23 abstentions), les législateurs ont ouvertement critiqué la Commission européenne pour son manque d’action contre les abus liés aux logiciels espions. Cette démarche intervient dans un contexte de plus en plus inquiet concernant la surveillance numérique au sein de l’Union Européenne (UE).

Le vote est le fruit d’un examen minutieux mené par la Commission d’enquête sur l’utilisation de Pegasus et d’autres logiciels espions de surveillance (PEGA). Cette enquête parlementaire a révélé des pratiques alarmantes d’abus de surveillance par des acteurs étatiques.

Une réponse timide de la commission

La Commission a initialement argumenté qu’elle ne pouvait empiéter sur les responsabilités de sécurité des États membres. Sophie In’t Veld, rapporteure de PEGA, a critiqué cette position, soulignant que les autorités nationales étaient elles-mêmes impliquées dans ces abus. Face à l’ampleur du problème, une association d’organisations de défense des libertés civiles et des droits de l’homme plaide pour une interdiction totale des logiciels espions dans l’UE. Les députés envisagent de lancer une deuxième enquête en 2023 pour approfondir cette question.

Des mesures pour protéger les journalistes

En septembre dernier, la Commission a proposé une législation visant à protéger les journalistes contre le ciblage par des logiciels espions. Toutefois, cette initiative fait face à de vives contestations du Conseil européen, qui cherche à réduire le niveau de protection des journalistes. Le Conseil européen a émis une position de négociation qui pourrait limiter la capacité de la Cour de justice de l’UE d’intervenir contre les États membres accusés d’espionner des journalistes.

Cette loi, en cours de négociation, est critiquée par des groupes de la société civile, qui la considèrent comme trop « édulcorée » pour être efficace.

backdoor, Cybersécurité, Espionnae

APPLE AVERTIT LES ARMÉNIENS DE TENTATIVES DE PIRATAGE SOUTENUES PAR L’ÉTAT

Récemment, Apple a envoyé des alertes à ses clients en Arménie, les informant que leurs téléphones sont ciblés par des pirates informatiques soutenus par un État.

Le logiciel d’espionnage Pegasus est-il caché derrière l’alerte lancée par Apple, au début du mois de novembre, à l’encontre de plusieurs personnalités Arméniennes ? CyberHUB, une organisation arménienne de droits numériques qui enquête sur ces incidents, a observé une augmentation constante des infections par logiciels espions dans le pays au cours des deux dernières années. De nombreuses infections seraient liées au gouvernement azerbaïdjanais, connu pour son histoire conflictuelle avec l’Arménie, en particulier concernant la région contestée du Haut-Karabakh.

« Dans le cas de l’Arménie, ces avertissements signifient que le téléphone a été infecté par le logiciel espion Pegasus« , a déclaré Samvel Martirosyan, co-fondateur de CyberHUB, faisant référence à l’outil de surveillance développé par la firme israélienne NSO Group et vendu à des gouvernements du monde entier. NSO Group qui a demandé, il y a quelques jours, une demande de réunion avec la Maison Blanche pour expliquer l’importance de son outil lors du conflit entre Israël et le Hamas. Une entrevue, demandée par l’avocat de l’entreprise, qui indique d’ailleurs un élément important : le gouvernement israélien semble cautionner et utiliser Pegasus.

Bien qu’Apple n’ait pas précisé le logiciel espion utilisé ni identifié les responsables du piratage, il existe certaines preuves que la dernière vague d’infections a utilisé Pegasus, selon Natalia Krapiva, conseillère juridique et technologique chez Access Now, une organisation à but non lucratif pour les droits numériques. Cependant, elle souligne qu’il est difficile de le savoir avec certitude tant que l’enquête est en cours. Martirosyan a indiqué que le logiciel espion a probablement été installé sur ordre du gouvernement azerbaïdjanais. Pendant la guerre entre l’Arménie et l’Azerbaïdjan en 2020, le logiciel espion Pegasus a été utilisé pour cibler des journalistes, des militants, des fonctionnaires gouvernementaux et des civils arméniens. Bien que l’identité des pirates derrière ces attaques reste floue, des chercheurs suggèrent que l’Azerbaïdjan est l’un des suspects potentiels.

Le Citizen Lab de l’Université de Toronto a identifié au moins deux opérateurs présumés de Pegasus en Azerbaïdjan qui ont ciblé des individus à l’intérieur comme à l’extérieur du pays. Krapiva est également d’avis que « le suspect probable est l’Azerbaïdjan », en raison de son histoire avec Pegasus et de ses liens étroits avec Israël. Les tensions entre l’Arménie et l’Azerbaïdjan sont élevées et ont atteint un point critique en septembre lorsque l’Azerbaïdjan a lancé une offensive militaire à grande échelle au Haut-Karabakh, violant ainsi un accord de cessez-le-feu de 2020.

CyberHUB, qui enquête sur les infections par Pegasus depuis deux ans, a signalé que le nombre de piratages augmente en Arménie. Cependant, l’étendue réelle de ces piratages est difficile à déterminer, car de nombreuses victimes préfèrent ne pas rendre leurs cas publics, selon Krapiva. Elle ajoute que les utilisateurs d’Android ne reçoivent pas du tout de telles notifications. La plupart des infections surviennent lors d’escalades entre l’Arménie et l’Azerbaïdjan. Les cibles en Arménie ont inclus des politiciens de haut rang, des représentants de la société civile, des militants, des journalistes et des rédacteurs.

En septembre, l’Assemblée parlementaire du Conseil de l’Europe a qualifié l’utilisation du logiciel espion Pegasus par plusieurs pays de la région de potentiellement illégale.

Précision : Une version précédente de cet article indiquait que Pegasus avait été utilisé pour cibler des militants en Russie — il a en fait été spécifiquement utilisé contre une journaliste russe lors de son voyage en Allemagne, et elle a reçu la notification en Lettonie.

backdoor, Cybersécurité, IOT, Téléphonie

Temu, Epik, Etc. ces applications qui aspirent vos données personnelles

Vous avez toujours rêvé de vous voir figurer dans un annuaire à l’américaine des années 90, avec votre portrait aux côtés de Backstreet Boys et Spice Girls ? Vous adorez acheter des produits chinois ? Les applications Epik et TEMU cachent des collecteurs de données que vous ne pourrez plus maitriser !

Epik, une application d’intelligence, une « IA » qui vous offre la possibilité de donner à votre photo une touche rétro des années 90. Derrière cette « pseudo » expérience nostalgique, des questions juridiques et éthiques se posent. À l’instar d’applications telles que Faceapp, qui permet de visualiser son visage vieilli, ou des filtres Snapchat de transformation masculine/féminine, l’application EPIK – AI Photo Editor, une filiale de la société sud-coréenne Snow Corporation, propose de créer une soixantaine d’images inspirées des années 1990 à partir de 8 à 12 de vos photos personnelles, incluant des tenues et coiffures rétro.

Les résultats de cette application semblent séduire un grand nombre d’utilisateurs, ce qui lui a valu une place parmi les applications les plus populaires sur l’App Store d’Apple, dans la catégorie Photos et vidéos. Sur le Play Store de Google, elle a déjà été téléchargée plus de 50 millions de fois. Un certain nombre de Youtubeur et « vedettes » ont diffusé des posts et autres vidéos vantant l’outil. A se demander, d’ailleurs, si nous n’avons pas là de la promotion cachée, ou du simple « p*te à clic » mettant en danger les données des viewers ainsi attirés.

Soyons clairs, les préoccupations liées à la sécurité et à la confidentialité des données via Epik doivent se poser. Pour générer ces images, l’application utilise la technologie de reconnaissance faciale, collectant ainsi des données biométriques et d’autres informations sensibles. La politique de confidentialité de l’application fournit très peu d’informations et de garanties concernant la protection des données personnelles. Autant dire que le RGPD, alors qu’ils doivent le suivre dans la mesure ou l’application est utilisée par des Européens, n’est pas vraiment cité dans le mode d’emploi. L’application a été développée en Corée du Sud, les lois encadrant les données biométriques y sont moins contraignantes. Il suffit d’ailleurs de lire ce mode d’emploi pour découvrir que l’application collecte pratiquement toutes les données disponibles, y compris des informations sur les autres photos stockées sur votre téléphone.

Bref, à votre de fournir votre visage au diable, le diable n’aura plus besoin de vous pour vous damner !

Application TEMU : logiciel espion possible

En avril 2023, l’application de commerce électronique d’origine chinoise [siège social aux USA], TEMU [concurrent de Wish, AliExpress et d’Amazon], a fait son entrée au Canada, puis en France et a rapidement gagné en popularité. Une société qui a déversé des millions de dollars en publicités sur le sol Américain [lors du Super bowl, entre autre].

Cependant, selon une enquête menée par la société américaine Grizzly Research, qui analyse les plus grandes sociétés cotées du monde, il pourrait y avoir des raisons de s’inquiéter quant à son utilisation. En seulement quelques semaines, TEMU est devenue l’une des applications les plus téléchargées en France, avec une tendance similaire observée aux États-Unis suite à une publicité diffusée lors du Super Bowl. Contrairement à ses concurrents, chinois ou américains, TEMU a réussi à attirer un public inattendu, en particulier parmi les personnes de plus de 40 ans, dont la part du chiffre d’affaires est 65 % supérieure à la moyenne des autres vendeurs Cependant, Grizzly Research a soulevé des préoccupations sérieuses concernant l’application. Selon leurs analyses, TEMU semble comporter des fonctions cachées qui permettent une exfiltration massive de données personnelles des utilisateurs, sans leur consentement explicite.

L’application a un accès pratiquement illimité à toutes les données stockées sur les smartphones des utilisateurs. Comme j’ai pu l’expliquer sur l’antenne de BFM TV ou dans le journal Le Point, les données peuvent, ensuite, être exploitées à de multiples fins [espionnage, marketing agressif, Etc.]. La réputation de TEMU et son succès commercial ne doivent pas occulter les inquiétudes quant à la sécurité et à la confidentialité des données. Il est crucial que les utilisateurs restent vigilants et conscients des risques potentiels associés à l’utilisation de cette application, en particulier en ce qui concerne la protection de leurs informations personnelles.

Bref, deux cas d’applications qui doivent inquiéter. Les avantages commerciaux, le côté « FUN » et la facilité d’utilisation ne doivent pas primer sur la sécurité en ligne.

backdoor, Cybersécurité

Loi chinoise sur la cybersécurité : le ver est dans le Pitaya ?

Depuis 2021, la Chine a mis en place une nouvelle loi obligeant toutes les entreprises technologiques opérant sur son territoire à signaler les vulnérabilités de leurs systèmes aux autorités gouvernementales. Cette initiative, censée renforcer la sécurité nationale, soulève des inquiétudes quant à la manière dont les données sont gérées et utilisées.

Dans un récent rapport publié par l’Atlantic Council, il est révélé que cette loi, en apparence bien intentionnée, présente des implications importantes pour la sécurité en ligne et les relations internationales. La Chine avait précédemment utilisé la CNVD (National Vulnerability Database), une base de données nationale destinée à signaler les vulnérabilités des logiciels, pour protéger le pays contre les cyberattaques. Cependant, la nouvelle loi va plus loin en imposant un délai strict de 48 heures pour signaler toute vulnérabilité découverte.

Conformément à cette loi, les entreprises technologiques doivent signaler les failles à travers une plate-forme en ligne du ministère chinois de l’industrie et de la technologie de l’information. De là, les vulnérabilités sont ajoutées à la Cybersecurity Threat Intelligence Sharing Platform, une base de données qui, selon le rapport de l’Atlantic Council, pourrait être utilisée à des fins potentiellement malveillantes.

L’Atlantic Council met en lumière le fait que les données de cette plate-forme sont également partagées avec d’autres instances gouvernementales en Chine, certaines étant associées à des campagnes d’espionnage et de cyberattaques passées. Cette situation suscite des préoccupations quant à l’utilisation des vulnérabilités signalées, suggérant que certaines d’entre elles pourraient être exploitées pour des activités de piratage.

En plus de signaler les vulnérabilités, la loi exige également que les entreprises enregistrent des informations détaillées sur les produits contenant des vulnérabilités, telles que le nom, le modèle et la version. Les chercheurs de l’Atlantic Council ont constaté que le portail en ligne utilisé pour signaler les vulnérabilités comporte des champs de remplissage obligatoires, obligeant ainsi les entreprises à fournir des détails sur les erreurs du code source, voire à ajouter des vidéos démontrant la nature du bug et son emplacement.

Selon Dakota Cary, chercheuse au Global China Hub de l’Atlantic Council, cette nouvelle loi a suscité des préoccupations dès son annonce. Elle souligne qu’il existe un chevauchement notable entre les individus responsables de ces rapports et ceux qui mènent des opérations de piratage offensives.

Cependant, l’Atlantic Council admet que toutes les entreprises technologiques ne suivront pas nécessairement la loi chinoise de la même manière. Certaines entreprises pourraient ne pas être pleinement conscientes de ce que leurs responsables locaux transmettent aux autorités gouvernementales. L’impact de ce rapport sur les relations internationales entre la Chine et l’Occident reste à déterminer, mais il pourrait potentiellement influencer les décisions politiques futures concernant la technologie chinoise et les cyberattaques.

Cette nouvelle loi chinoise sur la cybersécurité soulève des questions cruciales sur la protection des données, la sécurité en ligne et les relations internationales, et elle continuera à susciter un débat animé dans les années à venir. Dans la foulée, la justice américaine vient de se pencher sur une nouvelle puce produite par la société Huawei. Un processeur de 7 nanomètres.

Une puce intégrée dans le nouveau fleuron de la marque chinoise, le Huawei Mate 60 Pro et Pro +. « Coquine » la société Huawei a lancé son nouveau téléphone au moment de la visite de la secrétaire américaine au commerce, Gina Raimondo, en Chine. (AC)

backdoor, Cybersécurité

Emotet revient, Lokibot persiste, DarkGate exploite

Un rapport dévoile les méthodes d’infection des familles de logiciels malveillants DarkGate, Emotet et LokiBot. En plus des méthodes de chiffrement unique en leur genre de DarkGate et le retour en force d’Emotet, les exploits de LokiBot se poursuivent, illustrant l’évolution constante du paysage des menaces cyber.

En juin 2023, des chercheurs ont découvert un nouveau loader baptisé DarkGate, doté d’un éventail de fonctionnalités dépassant les capacités habituelles des loaders. Parmi elles, on retrouve un VNC caché, un proxy inverse et des capacités de blocage de Windows Defender, de piratage de l’historique du navigateur infecté, de gestion des fichiers et de vol de jetons Discord.

Le fonctionnement de DarkGate implique une chaîne d’infection en quatre étapes, conçues de manière sophistiquée pour aboutir au chargement de DarkGate. Ce chargeur se distingue par sa façon unique de chiffrer les chaînes de caractères avec des clés personnalisées et une version originale de l’encodage Base64, utilisant un jeu de caractères spécial.

Dans son rapport, la société Kaspersky s’est penchée sur l’activité d’Emotet, un botnet notoire qui a récemment refait surface après avoir été démantelé en 2021. Dans cette nouvelle campagne, les victimes sont amenées à ouvrir, involontairement, un fichier OneNote malveillant qui déclenche l’exécution d’un VBScript caché et déguisé. Le script tente ensuite de télécharger la charge utile malveillante à partir de différents sites web jusqu’à ce qu’il réussisse à s’infiltrer dans le système. Une fois à l’intérieur, Emotet place une bibliothèque de liens dynamiques (DLL) dans le répertoire temporaire, puis l’exécute.

Cette DLL contient des instructions cachées (shellcode), ainsi que des fonctions d’importation chiffrées. En déchiffrant habilement un fichier spécifique à partir de sa section de ressources, Emotet prend le dessus sur le système et parvient à exécuter sa charge utile malveillante.

Une campagne d’hameçonnage ciblant des compagnies de cargos a tenté d’infiltrer les entreprises avec le malware LokiBot. LokiBot est un infostealer identifié pour la première fois en 2016 et conçu pour dérober des identifiants à partir de diverses applications, notamment via des navigateurs et des clients FTP. Les mails de hameçonnage utilisés dans la campagne contenaient un document Excel en pièce jointe invitant les utilisateurs à autoriser les macros.

Les attaquants ont exploité une vulnérabilité connue (CVE-2017-0199) de Microsoft Office, conduisant au téléchargement d’un document RTF. Ce document RTF exploite ensuite une autre vulnérabilité (CVE-2017-11882) pour distribuer et exécuter le logiciel malveillant LokiBot.

backdoor, Cybersécurité, ID, Identité numérique

Threads : fausse application aux couleurs du Twitter de META

Le 5 juillet 2023, l’application Threads, concurrente directe de Twitter développée par Meta, a été lancée aux Etats-Unis et a atteint en quatre jours plus de 100 millions d’utilisateurs, dépassant de loin les précédents records établis par ChatGPT et TikTok. Son indisponibilité actuelle en Europe a encouragé des développeurs malveillants à créer une application jumelle portant quasiment le même nom « Threads for Insta » sur l’Apple Store.

Créée par l’entreprise SocialKit LTD, qui avait déjà créé une fausse application ChatGPT, l’application Threads for Insta reprend les codes graphiques d’Instagram, réseau social auquel la vraie application Threads est liée. Son logo ressemble fortement à celui d’Instagram et incite l’utilisateur à penser qu’il s’agit de l’application légitime. Cette application jumelle est déjà classée à la 5ème place en nombre de téléchargements sur l’Apple Store, et numéro 1 dans la rubrique des réseaux sociaux !

Autre information clé, l’application Threads for Insta indique utiliser de l’intelligence artificielle pour émettre des « threads » alors que l’application officielle ne propose pas cette fonctionnalité.

Quel danger pour les utilisateurs ?

Contrairement à la véritable application Threads, cette supercherie n’est pas gratuite : seule la période d’essai l’est et son utilisation, une fois celle-ci expirée, est payante. Si l’utilisateur n’annule pas son inscription, il sera facturé 2,99 euros par semaine, ou 29,99 euros par mois, ou bien 89,99 euros par an. Pour l’instant, aucune cyberattaque n’a été reportée suite à l’utilisation de cette application. Cependant, les utilisateurs doivent rester vigilants pour ne pas tomber dans le piège d’un hackeur.

Comment être sûr de télécharger la véritable application Threads ?

L’application n’est pour l’instant pas disponible en Europe et aucune date de sortie n’a été annoncée. Toute application dont le lancement a eu un fort impact médiatique est sujette à des tentatives d’usurpation à des fins commerciales (comme c’est le cas ici de Threads for Insta), de collection de données personnelles (revendues par la suite sur le darknet), ou dans le pire des cas, de vol de coordonnées bancaires ou d’informations permettant de lancer une campagne de phishing (ou hameçonnage, technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité).

« Afin de ne pas se faire piéger, l’utilisateur devra tout d’abord rechercher le site officiel de l’entreprise qui, lui, comportera un lien vers l’Apple Store pour effectuer le téléchargement de l’application. confirme à DataSecurityBreach.fr Cassie Leroux, Directrice Produit chez Mailinblack. Il pourra également vérifier assidûment le logo de l’application, les captures d’écran disponibles sur l’Apple Store, ainsi que les conditions générales de vente et d’utilisation.« 

backdoor, Cybersécurité

Le cheval de Troie WISE REMOTE : un infostealer, RAT, bot DDoS et ransomware réunis

Le monde de la cybercriminalité ne cesse d’évoluer avec l’apparition de nouveaux malwares sophistiqués. Le dernier en date, WISE REMOTE, a été récemment mis en lumière par les experts en cybersécurité de CYFIRMA. Conçu comme un service malveillant (MaaS, Malware-as-a-Service) disponible sur le darknet, il se distingue par sa capacité à se transformer en infostealer, RAT, bot DDoS et ransomware. En quelques semaines seulement, plus de 1000 victimes ont été touchées. Cette menace multifonctionnelle, particulièrement visée sur les systèmes Windows, suscite une préoccupation majeure dans le monde de la cybersécurité.

Aussi sinistre que polyvalent, WISE REMOTE est un malware particulièrement pernicieux découvert récemment sur des forums de pirates informatiques [preuve qu’ils ne sont pas si pro que ça, NDR]. Il est constamment amélioré par ses développeurs qui en assurent la promotion à travers des preuves d’efficacité diffusées sur Discord et Telegram.

Cet infostealer, dont le code est écrit en Go, est également compatible avec les langages de programmation C++, C# et Python, ce qui démontre son niveau d’adaptabilité.

Il s’attaque principalement aux systèmes d’exploitation Windows, notamment les versions 8, 10 et 11. Pour se soustraire aux systèmes de détection d’antivirus, WISE REMOTE utilise une panoplie d’astuces ingénieuses, et chiffré toutes les communications avec son serveur C2 basé en Suisse.

Couteau Suisse de la malveillance

Il s’agit d’un véritable ‘couteau suisse’ du malware, qui sait à la fois collecter des informations système, créer un shell inversé, télécharger et exécuter des fichiers supplémentaires, extraire des informations sensibles des navigateurs, voler des données de portefeuilles de cryptomonnaie, interagir avec des sites web sans consentement, capturer des écrans, et même modifier des journaux système pour masquer son activité malveillante.

Grâce à son tableau de bord sophistiqué, l’opérateur de WISE REMOTE peut surveiller jusqu’à 10 000 ordinateurs infectés simultanément et donner des instructions générales, notamment pour déclencher une attaque DDoS.

À l’heure actuelle, WISE REMOTE Stealer dispose des fonctionnalités suivantes :

Collecte d’informations système et création d’un shell inversé ;
Téléchargement et exécution de fichiers supplémentaires ;
Extraction d’informations à partir des navigateurs (mots de passe enregistrés, cookies, données de cartes bancaires, favoris, historique de navigation, liste des extensions) ;
Vol de données à partir de portefeuilles de cryptomonnaie ;
Ouverture de sites web et interaction avec eux sans le consentement de la victime ;
Capture d’écran ;
Téléchargement de fichiers dans le dossier AppData ;
Création et personnalisation d’agents malveillants ou de modules pour mener des attaques ciblées ;
Modification des journaux système, suppression d’enregistrements pour masquer l’activité malveillante.
Le tableau de bord permet de surveiller jusqu’à 10 000 ordinateurs infectés. L’opérateur a également la possibilité de donner des instructions générales, par exemple, pour effectuer une attaque DDoS ou d’autres actions malveillantes.

Le malware est écrit en Go, bien que les développeurs utilisent également C++, C# et Python. WISE REMOTE vise principalement les systèmes Windows (versions 8, 10 et 11). Diverses astuces sont utilisées pour contourner les antivirus, et les communications avec le serveur C2 (basé en Suisse) sont chiffrées.

Les modules côté client sont importés via le cloud, les données volées sont enregistrées sur le disque (dans le dossier /temp) et effacées après l’envoi. Le builder fourni aux abonnés permet de personnaliser les icônes (adaptées aux méthodes de distribution du malware choisies et à la chaîne d’infection) ; les versions finales pèsent généralement moins de 100 Ko.

backdoor, Cybersécurité

LetCall : un logiciel pirate qui dirige vers un centre d’appel malveillant !

Le code malveillant LetCall intercepte les appels téléphoniques des clients de banques afin de les diriger vers des centres d’appels pirates !

Les experts de ThreatFabric ont étudié la boîte à outils Letscall, qui est utilisée pour le phishing vocal en Corée du Sud. Une caractéristique intéressante de ces attaques est que si la victime essaie d’appeler la banque, le logiciel malveillant intercepte son appel et redirige la victime vers un centre d’appels pirate. En 2022, une attaque similaire avait été detectée. Elle avait été baptisée FakeCalls. Une fois installé, LetCal redirige les appels des victimes vers un centre d’appel contrôlé par des pirates. Là, des opérateurs spécialement formés, se faisant passer pour de vrais employés de banque, peuvent récupérer, sans mal, des informations confidentielles de victimes sans méfiance.

Le groupe derrière Letscall comprend des développeurs Android, des concepteurs, des développeurs d’interface et de backend, et des opérateurs de centres d’appels spécialisés dans les attaques vocales et l’ingénierie sociale. Les experts décrivent Letscall comme un logiciel espion multifonctionnel ou RAT (cheval de Troie d’accès à distance, « cheval de Troie d’accès à distance »). Les victimes téléchargent LetsCall via un site qui imitait la page officielle Google Play Store. L’une des applications a des messages vocaux pré-enregistrés permettant de « discuter » avec le client qui essaie d’appeler sa banque ! (TF)

backdoor, Cybersécurité, Fuite de données

Fuite de données : le gouvernement Suisse s’inquiète !

Le gouvernement suisse a récemment averti la population que des données opérationnelles gouvernementales pourraient avoir été compromises lors d’une attaque visant une société informatique. Cette attaque, revendiquée par le groupe de rançongiciels Play, a visé Xplain, une société suisse fournissant des services à plusieurs agences fédérales du pays.

Selon le gouvernement suisse, les données opérationnelles de l’administration fédérale pourraient également avoir été affectées par cette attaque de rançongiciels. Des données volées ont été publiées sur le darknet, suscitant des inquiétudes quant à la sécurité des informations sensibles. Les agences gouvernementales concernées sont actuellement en train de déterminer l’ampleur de l’impact et les unités spécifiques touchées. Bien que des détails plus précis sur les types de données volées et leur contenu n’aient pas été divulgués, il est crucial de comprendre si des informations personnelles de citoyens ou d’employés gouvernementaux ont été compromises.

Suite à cette attaque de rançongiciels, Xplain a immédiatement informé le Centre national de cybersécurité (NCSC) et a signalé l’infraction pénale à la police cantonale de Berne. Le NCSC travaille en étroite collaboration avec Xplain et les procureurs pour résoudre cette affaire et assurer la sécurité des données gouvernementales. Jusqu’à présent, aucune preuve n’indique que les pirates ont tenté d’accéder aux systèmes fédéraux pendant leur attaque contre Xplain.

Concentration des risques et leçons à tirer

Les autorités suisses ont critiqué la décision d’autoriser plusieurs agences gouvernementales à utiliser le même fournisseur informatique, soulignant qu’une certaine concentration des risques est compensée par une meilleure rentabilité. Cependant, ils soulignent également que le nombre limité d’entreprises capables de fournir les services requis rend difficile l’adoption d’une approche plus diversifiée. Il est crucial de noter que l’utilisation de plusieurs fournisseurs entraîne des interfaces et des échanges de données supplémentaires, augmentant potentiellement le risque d’incidents de sécurité. Cette situation souligne l’importance de mettre en place des mesures de sécurité robustes et de revoir les politiques de gestion des fournisseurs pour réduire les vulnérabilités potentielles.

L’attaque de rançongiciels en Suisse non liée à une récente attaque DDoS contre le parlement

En plus de l’attaque de rançongiciels qui a compromis des données gouvernementales en Suisse, le gouvernement a également tenu à clarifier que cette attaque n’était pas liée à une récente attaque par déni de service distribué (DDoS) contre le parlement du pays. Les autorités suisses ont attribué cette attaque DDoS au groupe de piratage NoName, qui a émergé après l’invasion de l’Ukraine par la Russie et a ciblé les gouvernements de plusieurs pays européens avec des centaines d’attaques DDoS.

Confirmation de l’attaque DDoS contre les sites web gouvernementaux

Dans une déclaration distincte, le gouvernement suisse a confirmé que plusieurs sites web de l’administration fédérale ont été mis hors ligne en raison de l’attaque DDoS. Cependant, les spécialistes de l’administration fédérale ont rapidement détecté cette attaque et sont en train de prendre des mesures pour rétablir l’accessibilité des sites web et des applications affectés dans les plus brefs délais. Il est crucial de garantir la disponibilité et la sécurité des systèmes gouvernementaux pour maintenir les services essentiels et préserver la confiance des citoyens.

backdoor, Cybersécurité

Kimsuky, le code malveillant made un Corée du Nord

Les États-Unis et la Corée du Sud avertissent sur les méthodes d’espionnage du groupe de piratage nord-coréen Kimsuky, alias Thallium.

Dans un récent avertissement conjoint, les agences de renseignement des États-Unis et de la Corée du Sud ont décrit les méthodes d’espionnage employées par Kimsuky, un groupe de piratage nord-coréen notoire. Ce groupe cible principalement les groupes de réflexion, les universités et les médias dans le but de recueillir des renseignements. Selon l’avis publié jeudi, les pirates de Kimsuky utilisent des tactiques d’usurpation d’identité, se faisant passer pour des sources fiables afin de gagner la confiance de leurs cibles et d’obtenir des informations sur les événements géopolitiques, les stratégies de politique étrangère et les efforts diplomatiques des pays considérés comme une menace pour le régime nord-coréen.

Ces informations leur permettent également de créer des e-mails de phishing plus crédibles et plus percutants.

Il convient de noter que ce n’est pas la première fois que les États-Unis et leurs alliés mettent en garde contre les activités de Kimsuky, connu également sous les noms de TA406 et Thallium. Le groupe est actif depuis 2012 et cible principalement les diplomates, les organisations non gouvernementales, les groupes de réflexion et les experts en questions liées à la péninsule coréenne.

Kimsuky est contrôlé par le Bureau général de reconnaissance

Les agences de renseignement et les chercheurs en cybersécurité affirment que Kimsuky est contrôlé par le Bureau général de reconnaissance (RGB), l’organisation de renseignement militaire nord-coréenne, qui a été sanctionné par le Conseil de sécurité des Nations unies.

En réponse aux récentes activités de la Corée du Nord, la Corée du Sud a imposé de nouvelles sanctions aux membres présumés de Kimsuky, les accusant d’être impliqués dans le récent échec de lancement d’un satellite espion par la Corée du Nord. Selon le ministère sud-coréen, Kimsuky aurait participé, directement ou indirectement, au développement de satellites nord-coréens en volant des technologies avancées liées au développement d’armes, aux satellites et à l’espace.

La Corée du Nord a rejeté les critiques émanant des États-Unis et d’autres pays concernant son programme spatial, affirmant son droit souverain à l’exploration spatiale.

Les pirates de Kimsuky utilisent souvent des attaques de harponnage pour obtenir un premier accès à leurs cibles. Ils se font passer pour de vrais journalistes, universitaires ou chercheurs de groupes de réflexion ayant des liens crédibles avec les cercles politiques nord-coréens. Leur objectif est de s’introduire illégalement dans les documents, les recherches et les communications privées de leurs victimes.

Les renseignements obtenus grâce à ces opérations seraient d’une importance capitale pour la Corée du Nord

Les campagnes d’usurpation d’identité, telles que celles menées par Kimsuk y, sont dangereuses car certaines cibles peuvent sous-estimer la menace posée par ces attaques. Soit elles ne considèrent pas leurs recherches et leurs communications comme sensibles, soit elles ne sont pas conscientes de la manière dont ces efforts alimentent la stratégie plus large du régime nord-coréen en matière de cyberespionnage, a souligné l’avis.

Les opérations de harponnage de Kimsuky commencent généralement par une recherche et une préparation approfondies. Les pirates utilisent des informations disponibles publiquement pour identifier des cibles potentielles, puis adaptent leurs personnages en ligne afin de paraître plus réalistes et attrayants pour leurs victimes. Ils créent également des adresses e-mail qui ressemblent à celles de personnes réelles ou à des services Internet et sites de médias courants.

Les agences de renseignement qui ont publié le rapport estiment que la sensibilisation accrue à de telles campagnes et une connaissance de base en matière de cybersécurité pourraient réduire l’efficacité des opérations de harponnage menées par Kimsuky.

Les États-Unis encouragent les victimes à signaler les activités suspectes, y compris celles liées aux présumés pirates nord-coréens. Dans ce contexte, le programme de récompenses pour la justice du Département d’État peut accorder une récompense pouvant atteindre 5 millions de dollars en échange d’informations pertinentes.

La menace persistante posée par les activités de piratage d’État de Kimsuky souligne l’importance de la coopération internationale en matière de cybersécurité et de la vigilance continue des gouvernements, des institutions académiques et des médias. Alors que les groupes de piratage étatiques continuent d’évoluer et de perfectionner leurs techniques, il est essentiel de renforcer les mesures de protection et de sensibilisation pour faire face à cette menace croissante dans le cyberespace.

Kimsuky alias TA406 / Thallium

Ce groupe nord-coréen de menaces persistantes avancées (APT), est aussi connu sous le nom de TA406. En mars 2023 une nouvelle campagne de spearphishing ciblant des experts de la péninsule coréenne, selon les avertissements émis par les agences gouvernementales allemandes et sud-coréennes. La campagne utilise deux méthodes d’attaque : l’infection des téléphones Android via une application malveillante sur Google Play et l’utilisation d’une extension malveillante du navigateur web Chromium. A l’époque, l’avis conjoint publié par l’Agence allemande de protection constitutionnelle et le Service national de renseignement de la République de Corée décrivait une campagne très ciblée axée sur des victimes connues. Les agences de renseignement sud-coréennes estiment que cette attaque visait principalement les experts de la péninsule coréenne et de la Corée du Nord. Cependant, étant donné que les techniques utilisées peuvent être universellement appliquées, elles pouvaient également être utilisées par des groupes de réflexion en affaires étrangères et en sécurité du monde entier, ainsi que par des individus non spécifiés.

Comme lors de précédentes campagnes, Kimsuky utilise des attaques de spearphishing pour obtenir un accès initial en se faisant passer pour des administrateurs de portails et des connaissances. Dans certains cas, les e-mails incitent à l’installation d’une extension malveillante sur les navigateurs basés sur Chromium, qui est automatiquement activée. Lorsque les victimes ouvrent Gmail, le programme vole leurs e-mails, qui sont envoyés à un serveur appartenant aux attaquants.

Dans une autre attaque, les acteurs de Kimsuky ajoutaient une application malveillante à la console Google Play pour des « tests internes » et donnaient la permission à une personne ciblée d’y accéder. Après avoir obtenu les identifiants de connexion lors d’une attaque de spearphishing, ils téléchargaient l’application via le compte de la victime, qui est ensuite synchronisée sur leur smartphone Android. Selon l’avis, les acteurs ont volé à la fois des e-mails et des données stockées dans le cloud.

Une alerte d’octobre 2020 de l’Agence américaine de cybersécurité et d’infrastructure décrivait déjà Kimsuky comme étant « probablement chargé par le régime nord-coréen d’une mission mondiale de collecte de renseignements ». Dans certains cas, les pirates se faisaient passer pour des journalistes sud-coréens pour accéder à leurs cibles.

backdoor, Cybersécurité

32 modules complémentaires malveillants frappent 75 millions d’appareils depuis le Chrome Web Store

Google a supprimé 32 extensions malveillantes du Chrome Web Store qui usurpaient les résultats de recherche et montraient des publicités intrusives aux utilisateurs. Le nombre total de téléchargements de ces addons est de 75 millions.

Pour confondre les gens, les auteurs des extensions Chrome leur ont ajouté des fonctionnalités légitimes. Dans le même temps, la charge malveillante se cachait dans le code obscurci.

Palant, un chercheur en cybersécurité, a étudié un addon appelé PDF Toolbox (deux millions de téléchargements depuis la boutique officielle) et est arrivé à la conclusion qu’il contenait du code déguisé en wrapper d’API d’extension légitime.

Comme Palant l’a expliqué , le code malveillant a permis au domaine serasearchtop[.]com d’injecter du code JavaScript arbitraire dans n’importe quel site visité par l’utilisateur cible.

En d’autres termes, toute une gamme d’actions était ouverte aux attaquants : de l’injection de publicité dans les pages Web au vol d’informations confidentielles.

Palant a précisé que le but de cet add-on (PDF Toolbox) restait un mystère pour lui, puisqu’il était incapable d’attendre une activité malveillante de sa part.

Néanmoins, l’expert a remarqué que l’extension a commencé à fonctionner 24 heures après l’installation, ce qui indique indirectement une fonctionnalité suspecte.

Des dizaines de millions de téléchargements !

Il y a quelques jours, Palant a publié un nouveau post indiquant qu’il avait pu identifier le même code dans 18 autres extensions Chrome avec un total de 55 millions de téléchargements.

Parmi eux se trouvaient : Autoskip pour Youtube – 9 millions d’utilisateurs actifs ; Soundboost – 6,9 millions d’utilisateurs actifs ; Bloc Crystal Ad – 6,8 millions d’utilisateurs actifs ; VPN dynamique – 5,6 millions d’utilisateurs actifs ; Clipboard Helper – 3,5 millions d’utilisateurs actifs ; Maxi Refresher – 3,5 millions d’utilisateurs actifs.

Au moment de la rédaction du message de Palant, tous les modules complémentaires mentionnés sont distribués gratuitement via le Chrome Web Store officiel.

Après un certain temps, le spécialiste a également identifié deux autres variantes de code suspect : l’une était déguisée en Mozilla WebExtension API Polyfill, l’autre était la bibliothèque Day.js.

Les deux codes ont implémenté le même mécanisme d’injection de code JavaScript, où le domaine serasearchtop[.]com a été utilisé.

Un certain nombre d’utilisateurs de ces extensions se sont plaints de redirections et de piratage de recherche. La société tchèque d’antivirus Avast a également signalé la découverte de modules complémentaires malveillants, avec un total de 75 millions de téléchargements. Selon le rapport des experts , ces extensions ont également intercepté et modifié les résultats de recherche.

backdoor, Cybersécurité

L’outil « Terminator » dévoilé : une menace sournoise pour les antivirus ?

Un programme universel prétendument « légal » cache une attaque pirate de type BYOVD et cible les systèmes de sécurité. Il est vendu 300 $.

Sur le forum Ramp, une plate-forme spécialisée dans la malveillance numérique, une découverte inquiétante a été faite : l’outil « Terminator » promu par un individu se faisant appeler Spyboy, se présente comme une solution universelle et « légale » pour désactiver n’importe quel antivirus ou solution EDR. Cependant, il a été révélé que ce programme miracle dissimule une attaque BYOVD (Bring Your Own Vulnerable Driver), mettant en évidence une faille de sécurité présente dans le pilote zam64.sys de Zemana.

Cette vulnérabilité permet l’exécution de commandes en mode kernel, qui sont utilisées pour arrêter les processus des antivirus.

L’auteur de cette attaque sournoise a pris soin d’éviter toute responsabilité légale en ne vendant pas séparément le logiciel pour certaines solutions EDR, telles que Sophos et CrowdStrike. De plus, un avertissement préalable interdit explicitement l’utilisation de rançongiciels et de logiciels de blocage, exonérant ainsi l’auteur de toute responsabilité. C’est du moins ce qu’il pense !

Terminator ne coute que 300 $

L’outil « Terminator » propose 24 plates-formes différentes, et son prix est étonnamment abordable : 300 dollars chacune ou 3 000 dollars pour le package complet. Cette tarification agressive pourrait potentiellement attirer l’attention de cybercriminels mal intentionnés en quête d’un moyen efficace de contourner les systèmes de sécurité.

Cependant, il est important de noter que pour lancer cette attaque, l’utilisateur malveillant doit disposer de privilèges d’administrateur sur l’ordinateur cible. De plus, il doit réussir à tromper la victime afin qu’elle autorise la demande de contrôle de compte d’utilisateur (UAC). Ces conditions rendent l’attaque plus difficile à exécuter, mais pas impossible pour les cybercriminels expérimentés.

Dans un article publié sur Reddit, l’expert a déclaré que « Terminator » se contente de détourner un pilote légitime et signé, zamguard64.sys ou zam64.sys, au niveau du noyau. Ce pilote est ensuite copié dans le répertoire C:\Windows\System32\ avec un nom aléatoire de 4 à 10 caractères. Une fois chargé avec les droits du noyau, le pilote modifié par « Terminator » est utilisé pour arrêter les processus antivirus au niveau de l’utilisateur.

L’ampleur de la menace posée par « Terminator » est préoccupante, d’autant plus que seuls quelques moteurs antivirus ont été capables de détecter cette menace lorsqu’elle a été soumise à l’analyse de VirusTotal.

Pour contrer cette attaque, des experts en sécurité recommandent l’utilisation de règles YARA et Sigma pour détecter le pilote vulnérable utilisé par « Terminator ». Les règles YARA et Sigma fournies par la communauté de la cybersécurité peuvent être consultées et utilisées pour renforcer la détection de cette menace. Elles sont disponibles sur les liens suivants :

YARA Rules : Lien vers les règles YARA. Sigma Rules : Lien vers les règles Sigma et Lien vers les noms des pilotes vulnérables.

La découverte de cet outil sur un forum de hackers russophones a suscité une inquiétude accrue au sein de la communauté de la cybersécurité. Bien que des entreprises comme CrowdStrike aient rapidement déclaré qu’il s’agissait simplement d’une autre implémentation du concept BYOVD, il est indéniable que « Terminator » représente une menace potentielle pour les systèmes de sécurité.

Les utilisateurs doivent rester vigilants et prendre des mesures de précaution pour se protéger contre de telles attaques. Il est essentiel de maintenir les systèmes d’exploitation et les logiciels de sécurité à jour, d’utiliser des mots de passe forts et de ne pas autoriser des demandes UAC douteuses. De plus, il est recommandé d’adopter une approche multicouche en matière de sécurité, en combinant des solutions antivirus, EDR et XDR pour une meilleure protection contre les menaces.

backdoor, Cybersécurité

Le virus qui fait disjoncter les réseaux électriques

Un nouveau malware potentiellement lié à la Russie serait capable de causer des dommages physiques aux réseaux électriques. En décembre 2021, un utilisateur russe a téléchargé ce logiciel malveillant sur le service d’analyse antivirus de Google, VirusTotal.

Baptisé CosmicEnergy par Mandiant, ce malware présente des similitudes avec Industroyer, utilisé par la Russie pour attaquer l’infrastructure énergétique de l’Ukraine en 2016 et 2022. Les chercheurs ont également découvert un commentaire dans le code du malware le reliant à un projet nommé « Solar Polygon » organisé par Rostelecom, la plus grande entreprise de télécommunications russe, dans le but de former des spécialistes de la cybersécurité.

En septembre 2022, Les autorités Russes avaient annoncé une dépense de 1,9 milliard de roubles (22 millions d’euros) pour la création et le développement en Russie du « National cyber training ground » pour la formation et l’éducation de spécialistes dans le domaine de la sécurité de l’information. Le projet est mis en œuvre par Rostelecom. Dans le cadre du cyberpolygone, des scénarios étaient annoncés pour les secteurs bancaire, pétrolier et énergétique, et il est prévu d’étendre le polygone aux réseaux de raffinage du pétrole et de communication dorsale.

Bien que les chercheurs n’aient pas encore suffisamment de preuves pour déterminer l’origine et les intentions précises de CosmicEnergy, cette découverte est préoccupante, car les pirates pourraient réutiliser ce logiciel malveillant pour cibler les infrastructures critiques existantes.

CosmicEnergy vise un protocole de communication couramment utilisé dans l’industrie de l’énergie électrique en Europe, au Moyen-Orient et en Asie. Ce protocole facilite l’échange de données entre les centres de contrôle et les appareils, y compris les unités terminales distantes (RTU) essentielles à l’exploitation et au contrôle des systèmes de transmission et de distribution électriques.

Le malware dispose de deux outils de perturbation, PieHop (écrit en Python) et LightWork (écrit en C++), utilisés pour mener des attaques. Bien que l’échantillon de PieHop analysé contienne des erreurs, celles-ci pourraient être corrigées facilement par les pirates s’ils décidaient de le déployer.

CosmicEnergy fait partie d’une lignée de malwares industriels tels qu’Industroyer, Triton et Incontroller, qui exploitent des protocoles non sécurisés de l’industrie. Ces logiciels malveillants peuvent être réutilisés et cibler plusieurs victimes, profitant des faiblesses de conception des environnements industriels. De plus, la disponibilité de projets open source implémentant ces protocoles facilite la tâche des pirates.

La découverte de ce malware présente une menace immédiate pour les organisations concernées, car les environnements industriels non sécurisés sont peu susceptibles d’être corrigés rapidement, soulignent les chercheurs. (Mandiant)

backdoor, Cybersécurité

Les pirates d’Evasive Panda utilisent des mises à jour d’applications légitimes pour diffuser des malwares

Le groupe Evasive Panda, opérant dans la sphère sinophone, utilise des mises à jour d’applications légitimes pour diffuser des malwares. Des utilisateurs d’une ONG internationale en Chine continentale ont été visés par ces malwares, distribués via des mises à jour de logiciels développés par des entreprises chinoises. Cette activité a été attribuée avec une quasi-certitude au groupe Evasive Panda, qui utilise la porte dérobée MgBot à des fins de cyberespionnage.

Des chercheurs ont découvert une campagne menée par Evasive Panda, au cours de laquelle des canaux de mise à jour d’applications légitimes chinoises ont été détournés pour distribuer le programme d’installation du malware MgBot, la principale porte dérobée de cyber espionnage utilisée par le groupe. Les utilisateurs chinois des provinces de Gansu, Guangdong et Jiangsu ont été ciblés par cette activité malveillante, qui a débuté en 2020 selon la télémétrie d’ESET. La plupart des victimes sont des membres d’une organisation non gouvernementale internationale.

En janvier 2022, il a été découvert que lors des mises à jour d’une application chinoise légitime, la porte dérobée MgBot d’Evasive Panda était également téléchargée. Des actions malveillantes similaires s’étaient déjà produites en 2020 avec plusieurs autres applications légitimes développées par des entreprises chinoises.

Evasive Panda utilise la porte dérobée personnalisée MgBot, qui a connu peu d’évolutions depuis sa découverte en 2014. À notre connaissance, aucun autre groupe n’a utilisé cette porte dérobée. Par conséquent, nous attribuons avec quasi-certitude cette activité à Evasive Panda. Au cours de notre enquête, nous avons découvert que lors des mises à jour automatiques, plusieurs composants logiciels d’applications légitimes téléchargeaient également les programmes d’installation de la porte dérobée MgBot à partir d’URL et d’adresses IP légitimes.

Lors de l’analyse des méthodes utilisées par les attaquants pour diffuser des malwares via des mises à jour légitimes, les chercheurs d’ESET ont identifié deux scénarios distincts : des compromissions de la chaîne d’approvisionnement et des attaques « adversary-in-the-middle » (AitM).

Étant donné le caractère ciblé des attaques, nous supposons que les pirates ont compromis les serveurs de mise à jour de QQ afin d’introduire un mécanisme permettant d’identifier les utilisateurs ciblés, de diffuser le malware, de filtrer les utilisateurs non ciblés et de leur fournir des mises à jour légitimes. Nous avons en effet enregistré des cas où des mises à jour légitimes ont été téléchargées via ces protocoles détournés. D’autre part, les attaques de type AitM ne seraient possibles que si les attaquants étaient en mesure de compromettre des appareils vulnérables tels que des routeurs ou des passerelles, et d’accéder à l’infrastructure des fournisseurs d’accès Internet.

La conception modulaire de MgBot lui permet d’étendre ses fonctionnalités en recevant et en déployant des modules sur les machines compromises. Cette porte dérobée est capable d’enregistrer les frappes au clavier, de voler des fichiers, des identifiants, ainsi que des contenus provenant des applications de messagerie QQ et WeChat de Tencent. Elle est également capable de capturer des flux audio et de copier le texte du presse-papiers.

Evasive Panda, également connu sous les noms de BRONZE HIGHLAND et Daggerfly, est un groupe de pirates sinophones actif depuis au moins 2012. Les recherches d’ESET ont révélé que ce groupe mène des opérations de cyberespionnage ciblant des individus en Chine continentale, à Hong Kong, à Macao et au Nigéria. Une victime de cette campagne se trouvait au Nigéria et a été infectée via le logiciel chinois Mail Master de NetEase.

APT, backdoor, Cybersécurité

Le FBI a annoncé avoir neutralisé un virus du FSB

Le Bureau fédéral d’enquête des États-Unis annonce la neutralisation d’un code malveillant du nom de Snake. Le malware serait une arme numérique du FSB, le service de sécurité russe.

Dernièrement, une l’alerte lancée dans un blackmarket russe de la tentative du service de renseignement russe FSB d’intercepter des informations du pirate auteur de stealer (logiciel voleur de données), Titan Stealer, affichait les nombreux fronts cyber de ce service de renseignement russe.

Le Département de la Justice explique comment le FBI venait de mettre fin à la vie de Snake, un présumé code malveillant exploité par le FSB. Selon le Bureau Fédéral d’Investigation, Snake aurait exploité un réseau P2P pour les basses besognes de ses exploitants. Selon le communiqué officiel de l’agence, la gestion de ce réseau était assurée par le « Centre 16 » du Service fédéral de sécurité russe (FSB). Snake est connu sous un autre nom, Turla.

Le FBI estime que cette division a utilisé différentes versions du malware Snake pendant près de 20 ans pour voler des documents confidentiels provenant de centaines de systèmes informatiques dans au moins 50 pays membres de l’OTAN.

Lors de l’opération baptisée Medusa [le même nom qu’un groupe de pirates utilisateurs de ransomwares], le malware a été désactivé sur les appareils compromis faisant partie du réseau unifié à l’aide de l’outil Perseus développé par le FBI. Le processus impliquait un contact physique avec les ordinateurs infectés. Des appareils provenant d’autres pays ont également été découverts dans le réseau, et les autorités américaines ont envoyé toutes les recommandations nécessaires à leur égard.

« Le ministère de la Justice, en collaboration avec nos partenaires internationaux, a démantelé un réseau mondial d’ordinateurs infectés par des malwares utilisés par le gouvernement russe pendant près de deux décennies pour mener des cyber espionnages, y compris contre nos alliés de l’OTAN« , a déclaré le procureur général des États-Unis, Merrick Garland. Nous continuerons à renforcer notre défense collective contre les efforts de déstabilisation de la Russie, visant à compromettre la sécurité des États-Unis et de nos alliés ».

Le DOJ affirme que le gouvernement américain « contrôlait des agents du FSB » affectés à l’utilisation de Turla. Ces agents auraient mené des opérations quotidiennes en utilisant Snake à partir d’une institution du FSB à Ryazan. Le virus lui-même est qualifié de « logiciel malveillant à long terme le plus complexe du FSB pour le cyber espionnage ».

Snake permet à ses opérateurs de déployer à distance des outils malveillants supplémentaires pour étendre les fonctionnalités du logiciel afin de détecter et de voler des informations confidentielles et des documents stockés sur un appareil spécifique. Un voleur 2.0 comme Titan Stealer.

De plus, le réseau mondial d’ordinateurs compromis par Snake fonctionne comme un réseau P2P caché, utilisant des protocoles de communication spéciaux conçus pour rendre l’identification, la surveillance et la collecte de données difficiles pour les services de renseignement occidentaux et d’autres services de renseignement radio. Après le vol de données, une routage en cascade est utilisé pour les livrer aux opérateurs à Ryazan.

backdoor, Cybersécurité, Téléphonie

Des millions de smartphone à petit prix infectés par du code malveillant

Selon des spécialistes présents lors de l’événement Black Hat Asia, des développeurs peu scrupuleux ont réussi à infecter des millions de smartphones Android avec des micrologiciels malveillants avant même que les appareils ne soient mis en vente.

Des experts ont souligné, lors du rendez-vous Black Hat Asia, que cela affectait principalement les modèles d’appareils Android moins chers. Le problème réside dans l’externalisation, qui permet aux acteurs de la chaîne de production, tels que les développeurs de micrologiciels, d’introduire clandestinement du code malveillant.

Les spécialistes de Trend Micro ont qualifié ce problème de « croissant » pour les utilisateurs et les entreprises. Fedor Yarochkin de Trend Micro explique la situation de la manière suivante : « Quel est le moyen le plus simple d’infecter des millions d’appareils mobiles ? Faites-le à l’usine. Cela peut être comparé à un arbre qui absorbe un liquide : si vous apportez l’infection à la racine, elle se propagera partout, y compris chaque branche et chaque feuille.« 

Selon Yarochkin, cette pré-installation de logiciels malveillants a commencé à se répandre après la baisse des prix des smartphones. La concurrence entre les développeurs de micrologiciels est devenue si intense qu’ils ne pouvaient plus demander des sommes importantes pour leurs produits.

Cependant, il n’y a rien de gratuit dans cette situation. Par conséquent, les développeurs ont commencé à introduire des plug-ins appelés « silencieux« . L’équipe de recherche de Trend Micro a étudié plus d’une douzaine d’images de micrologiciels et a découvert plus de 80 de ces plug-ins. Leur fonction est de voler des données et de fournir certaines informations, ce qui aide les développeurs à générer des revenus. Les logiciels malveillants préinstallés en usine transforment les appareils mobiles en proxy utilisés pour voler des SMS et accéder aux comptes de réseaux sociaux. Ils facilitent également la fraude au clic.

50 fournisseurs de téléphones montrés du doigt !

Les experts ont souligné qu’ils ont pu détecter des logiciels malveillants préinstallés sur les téléphones d’au moins dix fournisseurs, et il est présumé qu’environ 40 autres fabricants pourraient être confrontés à une situation similaire. L’équipe de Yarochkin recommande aux utilisateurs de choisir des smartphones Android de marques connues (donc plus chers) afin de ne pas être victimes de logiciels malveillants préinstallés.

Cette situation est principalement observée sur les modèles d’appareils Android moins chers. Les acteurs de la chaîne de production, tels que les développeurs de micrologiciels, exploitent l’externalisation pour introduire clandestinement du code malveillant. Ces logiciels malveillants préinstallés en usine transforment les smartphones en outils de vol de données, d’accès aux comptes de réseaux sociaux et de fraude au clic. ZATAZ vous alertait de cette situation concernant des claviers d’ordinateurs, ainsi que les boîtiers vidéos vendus sur des plateformes telles qu’Amazon ou AliBaba.

Bien qu’aucun appareil ne soit totalement immunisé contre les menaces, investir dans un smartphone de meilleure qualité peut réduire le risque d’infection par des logiciels malveillants préinstallés. Il est également important de prendre d’autres mesures de sécurité pour protéger son appareil. Les utilisateurs doivent être prudents lors du téléchargement et de l’installation d’applications, en vérifiant leur source et en lisant les avis des utilisateurs. Il est recommandé de garder son système d’exploitation et ses applications à jour en installant régulièrement les mises à jour de sécurité fournies par le fabricant. De plus, l’utilisation d’une solution antivirus fiable sur son appareil peut contribuer à détecter et à bloquer les logiciels malveillants.

Android, backdoor, Cybersécurité, Mise à jour

Fleckpe, le nouveau malware Android au 600 000 victimes

Un nouveau logiciel malveillant du nom de FleckPe aurait déjà infiltré plus de 620 000 appareils Android.

Des experts ont identifié un nouveau malware appelé Fleckpe. Il aurait infiltré plus de 620 000 appareils Android via le Google Play Store. Ce malware, se faisant passer pour un logiciel légitime, a pour objectif de générer des paiements non autorisés et d’inscrire les utilisateurs à des services payants.

Les contributeurs de Fleckpe gagnent de l’argent en prélevant un pourcentage des frais d’abonnement mensuels ou uniques des propriétaires d’Android qui ont été infectés.

Les experts de la société Kaspersky notent que le logiciel malveillant est actif depuis 2022, mais qu’il n’a été détecté que récemment. Les chercheurs ont identifié 11 applications transformées en cheval de Troie dans le Google Play Store se faisant passer pour des éditeurs d’images, des photothèques, des fonds d’écran, etc.

Toutes ces applications ont été supprimées de la boutique officielle. Cependant, les attaquants pourraient héberger d’autres programmes qui n’ont pas encore été détectés. Lorsque Fleckpe est lancé, il décode une charge utile cachée contenant du code malveillant et communique avec un serveur de commande et de contrôle (C&C) pour envoyer des données sur l’appareil infecté.

Les développeurs ont récemment modifié la bibliothèque native pour déplacer le code d’abonnement, laissant la charge utile pour interagir avec les notifications et modifier l’affichage des pages Web.

backdoor, Cybersécurité

Piratage : emplois via LinkedIn, attention danger !

Des hackers nord-coréens visent des spécialistes de la cybersécurité en leur proposant des emplois via LinkedIn.

Des experts ont remarqué que les pirates nord-coréens ont concentré leur attention sur les spécialistes de la sécurité de l’information. Les attaquants tentent d’infecter les chercheurs avec des logiciels malveillants dans l’espoir d’infiltrer les réseaux des entreprises pour lesquelles les cibles travaillent.

La première campagne date de juin 2022. Elle ciblait une entreprise technologique américaine. Ensuite, les pirates ont tenté d’infecter la cible avec trois nouvelles familles de logiciels malveillants (Touchmove, Sideshow et Touchshift).

Peu de temps après, il y a eu une série d’attaques contre les médias américains et européens par le groupe UNC2970. Une cyber attaque reliée par la société Mandiant à la Corée du Nord. Pour ces attaques, l’UNC2970 a utilisé des courriers électronique d’hameçonnage déguisés en offres d’emploi dans le but de contraindre leurs cibles à installer le logiciel malveillant.

Changement de tactique

Les chercheurs affirment que l’UNC2970 a récemment changé de tactique et est désormais passé de l’utilisation de phishing à l’utilisation de faux comptes LinkedIn prétendument détenus par les Ressources Humaines (RH). De tels récits imitent soigneusement l’identité de personnes réelles afin de tromper les victimes et d’augmenter les chances de succès de l’attaque.

Après avoir contacté la victime et lui avoir fait une « offre d’emploi intéressante », les attaquants tentent de transférer la conversation sur WhatsApp, puis utilisent soit le messager lui-même, soit un courriel pour livrer le logiciel piégé. Mandiant a appelée l’outil malveillant Plankwalk.

Plankwalk et d’autres logiciels malveillants du groupe utilisent principalement des macros dans Microsoft Word. Lorsque le document est ouvert et que les macros sont activées, la machine cible télécharge et exécute la charge utile malveillante à partir des serveurs des pirates (principalement des sites WordPress piratés).

En conséquence, une archive ZIP est livrée à la machine cible, qui contient, entre autres, une version malveillante de l’application de bureau à distance TightVNC (LIDSHIFT). L’un des documents utilisés usurpe l’identité du journal New York Times.

Etonnante méthode, donc, de penser que des spécialistes de la cybersécurité vont cliquer sur des fichiers inconnus ! (Mendiant)