Archives de catégorie : Virus

Actualités liées aux virus informatiques, malwares, adwares codes malveillants, trojan, keylogger, kit, shell …

La guerre est ouverte contre ShyLock

Un consortium composé d’éditeur d’antivirus, d’agences de répression, dot la police Française, et de plusieurs entreprises du secteur bancaire a choisi de renforcer la lutte contre les cyber-attaques utilisant le trojan Shylock en s’attaquant directement aux serveurs et domaines utilisés par les criminels. L’éditeur de solution de sécurité informatique Kaspersky Lab a fourni son service d’intelligence informatique pour traquer les menaces et les logiciels malveillants.

Les 8 et 9 juillet 2014, les agences de répression ont pris des mesures pour désorganiser le système dont dépend Shylock pour fonctionner efficacement. Elles ont agi notamment pour saisir des serveurs qui forment le système de commande et de contrôle du trojan, et prendre le contrôle des domaines qu’utilise Shylock pour la communication entre les ordinateurs infectés.

L’opération, coordonnée par l’Agence nationale contre le crime (NCA) du Royaume-Uni, a rassemblé des partenaires des agences de répression et des secteurs privés, y compris Europol, le FBI, BAE Systems Applied Intelligence, Dell SecureWorks et l’agence de renseignement et de sécurité du Royaume-Uni (GCHQ), afin de combattre ensemble la menace.

Des enquêtes ont été lancées depuis le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol à La Haye. Des enquêteurs du Royaume-Uni (NCA), des États-Unis (FBI), d’Italie, des Pays-Bas et de Turquie ont uni leurs forces pour coordonner l’opération dans leurs pays, de concert avec des homologues en Allemagne, en France et en Pologne. La coordination assurée par Europol a joué un rôle essentiel pour stopper les serveurs constituant le cœur des botnets, des logiciels malveillants et de l’architecture Shylock. Le CERT de l’UE a participé à l’action et diffusé des informations sur les domaines malveillants à ses confrères.

Lors de cette opération, des parties jusque-là inconnues de l’architecture de Shylock ont été découvertes, ce qui a permis de lancer immédiatement des actions de suivi et de les coordonner depuis le centre opérationnel de La Haye.

Shylock – nommé ainsi parce que son code contient des extraits du Marchand de Venise de Shakespeare – a infecté au moins 30 000 ordinateurs dans le monde exécutant Microsoft Windows. Des renseignements suggèrent que Shylock vise le Royaume-Uni plus que tout autre pays ; cependant, les États-Unis, l’Italie et la Turquie sont également dans le collimateur du code malveillant. On estime que les développeurs suspects sont basés dans d’autres pays.

Les victimes sont généralement infectées en cliquant sur des liens malveillants, puis amenées à leur insu à télécharger et exécuter le logiciel malveillant. Shylock cherche ensuite à accéder à des fonds détenus sur des comptes commerciaux ou de particuliers, et à les transférer aux contrôleurs criminels. Une opération qui a pu aider les cyber-investigateurs de première ligne, coordonnés par l’agence NCA du Royaume-Uni, et en présence sur place du FBI et de collègues d’Italie, de Turquie et des Pays-Bas, tout en établissant des liens virtuels vers des cyber-unités en Allemagne, en France et en Pologne.

« La NCA prend les devants en s’attaquant à une cyber-menace ciblant les entreprises et les particuliers dans le monde entier. Le but est de porter un coup violant à l’infrastructure de Shylock, et elle démontre comment nous utilisons des partenariats entre les divers secteurs, et outre les barrières nationales pour réduire la cybercriminalité » explique Andy Archibald, Deputy Director of the NCA’s National Cyber Crime Unit au Royaume-Uni.

Les campagnes de fraude bancaire ne sont plus des cas isolés. Nous avons assisté à une hausse considérable de ces types d’opérations malveillantes. Rien qu’en 2013, le nombre de cyber-attaques basées sur des logiciels malveillants conçus pour dérober des données financières a augmenté de 27,6 % pour atteindre les 28,4 millions.

Avira ouvre un laboratoire de sécurité numérique

L’expert en sécurité Avira a annoncé aujourd’hui l’ouverture d’un nouveau laboratoire de Recherche et Développement sur la sécurité numérique à son siège américain de Burlingame.

Le nouveau R&D Digital Security Lab concevra et mettra au point les produits de sécurité de nouvelle génération de la société, et s’intéressera plus particulièrement aux questions de sécurité relatives au marché mobile à l’horizon 2-5 ans.

L’un des grands enjeux pour l’avenir de la sécurité sera la protection de l’utilisateur, quelle que soit la façon dont il choisira de se connecter à Internet. Nous continuerons d’assister au développement d’un paysage multi-support et multiplateforme vers « l’Internet du tout » qui est déjà en train de s’installer.

« Avira vit une époque palpitante, car nous sommes chargés d’imaginer ce que le monde du logiciel sera pour les consommateurs dans deux à cinq ans, et quelles seront les menaces pour la sécurité en ligne », a déclaré Leon Crutchley, directeur du R&D Digital Security Lab d’Avira. « Notre équipe mettra au point les concepts des logiciels de sécurité du futur, présentera les prototypes à l’équipe de direction pour qu’elle les évalue, puis travaillera en collaboration avec nos équipes de produit pour transformer les prototypes les mieux adaptés en produits de consommation et les lancer sur le marché. »

Le R&D Digital Security Lab d’Avira travaille actuellement sur des questions telles que l’identification et l’authentification des personnes, les communications et transactions en ligne, et la définition de la confidentialité en ligne. La fonction Identity Safeguard mise au point pour les applications mobiles iOS et Android destinées aux consommateurs, annoncée en avril, est le premier exemple du travail réalisé par le laboratoire.

Les cyber-attaques MiniDuke font leur retour en France

Des chercheurs découvrent que les implants MiniDuke mis à jour en 2013 n’ont pas disparu et sont même utilisés dans le cadre de cyber attaques actives ciblant les gouvernements et d’autres entités.

En outre, la nouvelle plate-forme MiniDuke, appelée BotGenStudio, pourrait non seulement être utilisée par des cybercriminels dans le cadre d’attaques ciblées, mais également par des forces de l’ordre et des criminels traditionnels. La nouvelle vague d’attaques enregistrée en 2014 est quelque peu différente de celle décelée en 2013.

Mode opératoire

La nouvelle backdoor principale de MiniDuke (appelé TinyBaron ou CosmicDuke) est codée grâce à un framework personnalisable appelé BotGenStudio. Il est suffisamment flexible pour activer ou désactiver des composants lorsque le bot est construit. Les composants peuvent être divisés en 3 groupes : persistance (le malware peut se lancer via Windows Task Scheduler), reconnaissance (le malware peut voler un grand nombre d’informations) et exfiltration (le malware dépose plusieurs connecteurs réseaux pour aspirer les données)

Typologie de cibles

Alors qu’en 2013 MiniDuke était utilisé pour cibler des entités gouvernementales, la nouvelle version CosmicDuke cible également les organisations diplomatiques, le secteur de l’énergie, les opérateurs télécoms, des prestataires dans l’armée mais également des individus impliqués dans la vente et le trafic de substance illicites (notamment des stéroïdes et des hormones).

Zones géographiques ciblées

Les utilisateurs des anciens serveurs MiniDuke ciblent la France, l’Australie, la Belgique, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne, l’Ukraine et les Etats-Unis. CosmicDuke est plutôt intéressé par la Grande Bretagne, les Etats Unis, la Géorgie, la Russie, le Kazakhstan, l’Inde, le Belarus, Chypre, l’Ukraine et la Lituanie.

Rythme de travail classique

Les cybercriminels semblent travailler selon un rythme de travail classique du lundi au vendredi, même s’il leur arrive de travailler le week-end également. Leurs horaires de travail sont également classiques : de 7h à 20h CET (mais la majeur partie du travail est réalisée entre 7h et 17h). (Kaspersky)

Fraude bancaire : une histoire de Luuuk

Les experts de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab ont découvert les preuves d’une attaque ciblée contre les clients d’une grande banque européenne. Selon les fichiers journaux du serveur utilisé par les auteurs de l’attaque, il semblerait qu’en l’espace d’à peine une semaine, des cybercriminels aient dérobé plus d’un demi-million d’euros sur des comptes au sein de l’établissement bancaire. Les premiers signes de cette campagne de fraude ont été détectés le 20 janvier 2014 lorsque les experts de Kaspersky Lab ont repéré un serveur de commande et de contrôle (C&C) sur le réseau. Le tableau de bord du serveur a révélé l’existence d’un cheval de Troie destiné à siphonner les comptes des clients de la banque.

Sur le serveur, les experts ont également trouvé des journaux de transaction, détaillant les montants prélevés et les comptes piratés. Au total, ce sont plus de 190 victimes qui pourraient être recensées, la plupart résidant en Italie et en Turquie. Selon ces informations, les sommes volées sur chaque compte vont de 1 700 à 39 000 euros. La campagne durait depuis au moins une semaine au moment de la découverte du serveur C&C, ayant commencé au plus tard le 13 janvier 2014. A ce moment-là, plus de 500 000 euros avaient été dérobés. Deux jours après cette découverte par l’équipe GReAT, les cybercriminels avaient fait disparaître toute trace qui aurait permis de remonter jusqu’à eux. Cependant, les experts estiment que cela est probablement lié à des modifications de l’infrastructure technique employée par cette campagne malveillante, dénommée The Luuuk, plutôt qu’à son interruption.

« Peu après la détection de ce serveur C&C, nous avons contacté les services de sécurité de la banque et les pouvoirs publics, en leur remettant tous les éléments en notre possession », précise Vicente Diaz, chercheur principal en sécurité chez Kaspersky Lab.

Outils malveillants employés
Dans le cas de The Luuuk, les experts ont des raisons de penser que d’importantes données financières ont été interceptées automatiquement et que des transactions frauduleuses ont été exécutées dès que les victimes se sont connectées à leurs comptes bancaires en ligne. « Sur le serveur C&C, nous n’avons trouvé aucune information indiquant quel programme malveillant spécifique a été utilisé dans cette campagne. Cependant, de nombreuses variantes existantes de Zeus (Citadel, SpyEye, IceIX, etc.) possèdent la capacité nécessaire. Nous pensons donc que le malware employé en l’occurrence pourrait être une variante de Zeus injectant du code Web sophistiqué chez ses victimes », explique Vicente Diaz.

Techniques de détournement de fonds
L’argent volé a été transféré sur les comptes des escrocs de manière assez inhabituelle. Nos experts ont remarqué une originalité dans l’organisation des « mules », c’est-à-dire des comparses qui reçoivent une partie du butin sur des comptes spécialement créés à cet effet et retirent l’argent à des distributeurs. Il s’avère que plusieurs groupes distincts de « mules » se sont vus chargés du transfert de différents montants, l’un étant responsable des sommes de 40 000 à 50 000 euros, un autre de 15 000 à 20 000 et un troisième de 2 000 euros au maximum. « Ces écarts dans les montants confiés aux différentes mules pourraient refléter divers degrés de confiance dans chacune. Nous savons que les membres de ces réseaux dupent souvent leurs complices et disparaissent avec l’argent retiré. Les instigateurs de The Luuuk peuvent donc se couvrir contre ce risque en constituant différents groupes plus ou moins fiables et en leur confiant des sommes plus ou moins élevées », conclut Vicente Diaz. Le serveur C&C lié à The Luuuk a été fermé peu après le début de l’enquête. Cependant, le niveau de complexité de cette opération de type MITB (man in the browser) laisse supposer que les auteurs de l’attaque vont continuer à rechercher de nouvelles victimes.

Des applis Google Play voleuses de données bancaires

Lookout a repéré cette semaine dans le Google Play store une application de banque en ligne clonée, conçue pour subtiliser les identifiants des utilisateurs, mais étrangement sans les mots de passe.

Nous avons aussitôt alerté Google qui a dans la foulée supprimé l’application concernée. Nous tenons à préciser que tous les utilisateurs de Lookout sont protégés contre cette menace. Le programme malveillant incriminé, baptisé « BankMirage », ciblait les clients de la banque israélienne Mizrahi. Les auteurs ont ainsi ajouté une sorte de surcouche à l’application légitime, proposant ensuite leur création de nouveau sur le Google Play store en la faisant passer pour celle de l’établissement bancaire.

Le mode de fonctionnement est simple : dès que la victime lance l’application, le programme malveillant charge le formulaire de connexion, à savoir une page html intégrée à l’application et créée pour dérober l’identifiant de la personne dès qu’elle le saisit. Il s’agit donc d’une tentative de hameçonnage (phishing) des données personnelles. Ce programme a toutefois une étrange particularité : il récupère uniquement l’identifiant de connexion de l’utilisateur. Ses auteurs ont inséré un commentaire dans le code qui commande de collecter uniquement cet élément, et pas le mot de passe.

Une fois l’identifiant récupéré et stocké, l’application envoie un message à l’utilisateur victime pour lui signaler l’échec de sa tentative de connexion. Il est invité à ce moment-là à réinstaller la « vraie » application légitime de la banque sur le Play Store.

Les programmes malveillants qui se font passer pour des applications de banque en ligne comptent parmi les plus dangereux, dans la mesure où ils s’intéressent à des données particulièrement sensibles. Ce type de programme est très présent dans l’Union européenne, dans les pays de la région Asie-Pacifique, et dans une moindre mesure aux Etats-Unis. Nous avons déjà repéré des programmes de banque en ligne créés en Corée qui, au lieu de se glisser dans le catalogue de Google Play, se font carrément passer pour l’application Google Play Store elle-même.

« PlayBanker » en est un exemple : il se fait passer pour Google Play et envoie des alertes aux utilisateurs victimes pour les pousser à télécharger des applications de banque en ligne pirates. Une autre variante, « BankUn », vérifie pour sa part au préalable la présence des huit plus grandes applications légitimes des banques en ligne coréennes, pour les remplacer ensuite par des versions pirates.

Il est hélas difficile pour un utilisateur de se prémunir d’une application de ce type parvenant à se faire référencer dans le Google Play store ; les moyens de protection classiques ne suffisent pas. Comme par exemple le fait de vérifier que le développeur de l’application est digne de confiance, ou de s’assurer que la case « Sources inconnues » (dans les paramètres système du téléphone) n’est pas cochée afin de bloquer l’installation furtive d’applications téléchargées à son insu.

Mieux vaut faire preuve de bon sens : la présence de deux versions apparemment identiques d’une même application peut signifier que l’une d’elles est illégitime. Pour être protégé à 100% contre ce type de menace, la meilleure solution consiste à installer sur le téléphone une solution de sécurité telle que Lookout, qui analyse systématiquement toutes les applications téléchargées.

Un outil Ransomware Removal supprime Simplocker

L’éditeur de solution de sécurité informatique AVAST annonce la sortie d’avast! Ransomware Removal, une nouvelle application gratuite qui élimine les logiciels de rançon Android et déchiffre les fichiers verrouillés et pris en otages.

Avec la nouvelle application pour smartphones et tablettes Android, AVAST propose une solution rapide et gratuite à la menace Simplocker détectée début juin. Simplocker est un nouveau virus Android qui chiffre les photos, les vidéos et les documents stockés sur les smartphones et les tablettes, et exige ensuite un paiement pour les déchiffrer. « Simplocker bloque l’accès aux fichiers stockés sur des appareils mobiles. Sans notre outil gratuit de suppression de logiciel de rançon, les utilisateurs infectés doivent payer 21 $ pour récupérer l’accès à leurs fichiers personnels, déclare à Data Security Breach Ondrej Vlcek, directeur technique d’AVAST Software. Même si nous voyons une croissance exponentielle des logiciels de rançon sur les appareils mobiles, la plupart des menaces de chiffrement des fichiers personnels sont fictives. Simplocker étant le premier logiciel de rançon qui chiffre véritablement ces fichiers, nous avons développé un outil gratuit pour que les utilisateurs puissent les restaurer. »

Toute personne infectée par Simplocker ou tout autre type de logiciel de rançon peut télécharger l’outil gratuit avast! Ransomware Removal en visitant la version web du Google Play Store et en installant ensuite l’application à distance sur son appareil infecté. Une fois celle-ci installée, l’utilisateur peut lancer facilement l’application et éliminer la menace. L’outil analysera ensuite l’appareil, supprimera le virus et déchiffrera les fichiers de l’utilisateur.

Programme espion d’usine dans un clone Android

Les experts de l’éditeur de solutions de sécurité G DATA ont analysé un smartphone livré en sortie d’usine avec un programme espion. Le code malveillant est déguisé en service Google Play Store et fait partie des programmes préinstallés. Ainsi équipé, le smartphone envoie les données personnelles de l’utilisateur à son insu vers un serveur situé en Chine. La prise de contrôle à distance de l’appareil peut être totale. Le modèle concerné est le N9500 fabriqué par l’entreprise chinoise Star. Ce clone d’un modèle connu est vendu sur des plateformes en ligne entre 130 et 165 euros.

Les caractéristiques techniques du N9500 de Star sont attrayantes. Un smartphone Quad-Core, au design inspiré d’une grande marque, livré avec plusieurs accessoires (deux batteries, deux coques…) et pour un tarif compris entre 130 et 165 euros ! Mais opter pour le Star N9500 c’est aussi accepter le programme-espion intégré ! Christian Geschkat, chef produit des solutions de sécurité mobiles G DATA, explique : « Les possibilités qu’offre ce programme d’espionnage sont presque illimitées. Les cybercriminels peuvent tout simplement prendre le contrôle du smartphone ».

Cheval de Troie d’usine
L’analyse du système montre qu‘un faux service Google Play Store intègre le cheval de Troie Android.Trojan.Uupay.D. La fonction d’espionnage est invisible pour l’utilisateur. L’unique information accessible à l’utilisateur est l’icone Google Play Store, présent dans les applications en cours d’exécution, tout le reste est masqué. Le programme communique également avec un serveur situé en Chine. « Difficile de savoir qui réceptionne les données et les utilise » précise Christian Geschckat. Afin de garantir un bon fonctionnement au code malveillant, les mises à jour de sécurité Android sont aussi bloquées.

Désinstallation impossible
Ce programme, camouflé derrière l’application Google Play Store falsifiée,  a été préinstallé dans le système et ne peut donc pas être désinstallé par l’utilisateur. Ce smartphone représente donc un danger pour ses utilisateurs. Les criminels peuvent y installer automatiquement des applications, par lesquelles tous les abus sont permis : localisation, écoutes et enregistrements, achats, escroquerie en ligne, envoi de SMS surtaxés.

Les smartphones et tablettes en ligne de mire des criminels
La diffusion croissante de smartphones et tablettes n’est pas passée inaperçue aux yeux des criminels. L’année passée, plus de 1,2 million de nouveaux programmes malveillants sont apparus et la tendance ne fait que de s’accroître. La découverte d’un code malveillant préinstallé dans un clone démontre que les cybercriminels innovent dans de nouvelles méthodes d’infection à grande échelle et invite à la plus grande prudence quant à l’achat de clones.

Microsoft Office et Java têtes de turc des pirates

L’outil de Microsoft, Office et l’application JAVA sont à la tête de la liste des logiciels les plus attaqués au cours du premier quadrimestre de 2014.

Avira, éditeur de solutions de sécurité informatique précise que l’utilisation des iFrames sur les sites internet figure pour la première fois en avril comme l’une des méthodes d’attaque les plus employées. La multinationale allemande experte en sécurité a rassemblé les principaux paramètres établis par les menaces et vulnérabilités de malwares depuis le début de l’année, à l’échelle internationale. Au cours de quatre premiers mois de l’année, Microsoft Internet Explorer, Java et Flash ont été les cibles les plus frappées par les malwares et les méthodes les plus utilisées pour infecter aussi bien les utilisateurs que dispositifs ont été le Spam par email, les vulnérabilités 0-Days, le logiciel TOR (The Onion Router) que de nombreux malwares utilisent comme système de communication et les iFrames des sites internet.

Cette dernière méthode s’est imposée avec force au cours du mois d’avril, alors qu’elle n’avait pas fait son apparition auparavant. Avira effectue une analyse pour déterminer les familles de malwares dominantes recueillies par différents systèmes qui analysent plus de 400 000 nouveaux modèles de malwares en moyenne par jour, et plus de 630 000 sites. Le classement d’Avira ne contient pas de modèles rares de malware. Comme ce type de virus fausserait l’ensemble de statistiques des virus “In the Wild”, seules les familles de malware les plus répandues sont prises en compte.

1.       APPL/DomaIQ.Gen
2.       HTLM/Rce.Gen
3.       IS/Seedabutor.E8.9
4.       APPL/Bechiro.B
5.       HTLM/iFrame.era

L’antivirus français nouvelle génération à 5 euros

La société AxBx, éditeur du logiciel antivirus français VirusKeeper, propose actuellement la version 2014 de son antivirus à seulement 5 euros.

Cette offre promotionnelle baptisée « 5 euros pendant 50 jours » est valable du 4 juin 2014 au 24 Juillet 2014. Elle permet aux particuliers de s’équiper d’un antivirus de dernière génération et made in france pour seulement 5 euros. La licence est valable pour 3 PCs pendant 1 an. Cette opération permet aux particuliers de remplacer un antivirus ancien, périmé ou une version gratuite bridée.

En France, plus d’un particulier sur deux n’est pas protégé correctement parce qu’il utilise un antivirus périmé, techniquement dépassé ou une version gratuite limitée. Les sav, centres de maintenance micro et les « helpers » du web confirment ce constat puisque chaque jour, des centaines de PC finissent en réparation    parce que l’antivirus était défaillant.

Les conséquences d’une infection ou d’une attaque sont souvent dramatiques : perte des fichiers personnels (emails, photos, musique, documents), vol des identifiants (login/mot de passe de compte email) ou plus grave vol des identifiants bancaires. Les particuliers estiment par ailleurs que les antivirus payants, dont le prix moyen se situe entre 30 et 60 euros, sont trop chers.

La société AxBx, éditeur français spécialisé dans les logiciels de sécurité, propose aux particuliers de s’équiper à moindre coût de la dernière version 2014 du logiciel antivirus VirusKeeper. L’antivirus VirusKeeper, lancé en 2005, compte à ce jour plus de 20 millions d’utilisateurs dans le monde. VirusKeeper est le seul antivirus Français ; il a été conçu, développé par AxBx. VirusKeeper se distingue notamment par son excellent taux de détection des nouvelles formes de menaces. Face à des menaces encore inconnues (virus, chevaux de Troie, spyware), les antivirus classiques à base de scanner ont des taux de détection inférieurs à 30%. L’analyse comportementale de VirusKeeper permet d’atteindre des taux de détection qui dépassent les 90%.

Contrairement aux solutions antivirus habituelles qui se basent essentiellement sur des listes de virus connus, VirusKeeper identifie les programmes malveillants par analyse comportementale. Le moteur d’analyse exclusif de VirusKeeper est ainsi en mesure de détecter les menaces rapidement sans attendre les mises à jour. De plus, VirusKeeper consomme très peu de ressources et ne ralentit pas l’ordinateur.

Simplocker, un piége pour Android

Les experts savaient depuis un moment que les cybercriminels tenteraient de  s’attaquer à la flotte mobile, une cible très en vogue dans un monde. Il faut dire aussi que le nombre d’utilisateurs de smartphone frôle les 7 milliards en 2014 (Source : Union internationale des télécommunications).

Tout le monde ou presque est donc susceptible d’être victime des attaques cybercriminelles. Les ingénieurs de chez ESET ont repéré le week-end dernier un rançonlogiciel capable de chiffrer les fichiers sur Androïd. C’est le second code malveillant de ce type que detecte l’éditeur d’antivirus. Le piégé a été baptisé Simplocker.

Le logiciel malveillant scanne la carte SD du terminal mobile à la recherche des fichiers aux format variés, considérés comme important car pouvant sauvegarder des données sensibles : jpeg, png, bmp, jpg, gif, doc, docx, pdf, txt, avi, mkv, 3gp et mp4. Les documents sont chiffrés en AES-256. Le pirate réclame de l’argent pour fournir le mot de passe qui déchiffrera les fichiers.

Simplocker n’a été detecté, pour le moment, qu’en Russie. La rançon demandée, 16€, doit être payée en hryvnias (monnaie Ukrainienne) via MoneXy. Le piége est caché dans des applications Android non diffusées via Google Play. En 2010, FakePlayer, un autre code malveillant pour Android avait lui aussi été detécté dans ces deux régions (Russie/Ukraine). Là ou cela devient encore plus interessant est que le système de contrôle (C&C) de SimpleLocker exploite un domaine du réseau TOR (oignon). Bilan, il reste anonyme et permet de contrôler le piége en toute sécurité.

Facebook et F-Secure s’associent

Tout le monde partage des informations via les réseaux sociaux, plus que sur tout autre support. Mais avec les réseaux sociaux, les exploits sur des comptes personnels ainsi que des comptes d’entreprises font souvent les gros titres : il est donc temps de protéger les identités numériques des consommateurs avec de nouvelles méthodes. F-Secure et Facebook se sont associés pour aider les utilisateurs du plus grand réseau social au monde à sécuriser leurs données en ligne.

Facebook va offrir un scan de malware directement basé dans le navigateur comme service gratuit. Le service sera disponible pour les utilisateurs de Facebook dont le compte a été temporairement gelé en raison d’une activité suspecte provoquée par une infection potentielle de malware. Les malwares ou les logiciels indésirables sur un ordinateur ou un appareil mobile peuvent perturber les performances du dispositif, voler des informations personnelles mais également accéder au système. Ils peuvent duper les utilisateurs de Facebook et leurs amis en affichant des liens malveillants ou des spams qui semblent provenir du compte d’un utilisateur légitime.

« Aider les gens à rester en sécurité sur Facebook constitue une grande partie de notre travail. Nous sommes heureux de pouvoir ajouter la force de la technologie anti-virus de F-Secure à nos systèmes déjà existants pour bloquer et éliminer les logiciels malveillants », déclare Chetan Gowda, Software Engineer chez Facebook. « La croissance spectaculaire au niveau mondial de Facebook a considérablement changé la façon dont les gens interagissent avec leurs amis et leur famille », déclare Olivier Quiniou, Directeur de F-Secure France. « La popularité soudaine de Facebook en a fait une cible majeure pour les cybercriminels. Nous sommes heureux de collaborer avec Facebook pour empêcher les cybercriminels de détourner des données des utilisateurs à des fins malveillantes ».

L’outil de détection et de nettoyage en ligne des malware de F-Secure est entièrement intégré à l’expérience utilisateur de Facebook. Quand Facebook identifie un compte ayant un comportement suspect, il redirigera l’utilisateur vers le processus de nettoyage en ligne. Le scan et le nettoyage sont exécutés directement depuis la fenêtre du navigateur, au sein même de Facebook. Dès que le nettoyage est effectué, l’utilisateur pourra en toute sécurité se connecter à son compte Facebook et sera à l’abri des cybercriminels, et des logiciels espions.

Fonctionnement
· Quand un utilisateur se connecte à partir d’un appareil infecté, il verra apparaître à l’écran une notification lui indiquant l’infection par un malware avec une recommandation de lancer un scan F-Secure. Le scanner étant adapté au type de menace détecté, il est donc recommandé de l’exécuter même si l’appareil dispose déjà d’un programme anti-virus préalablement installé. Le scanner est mis à jour et se retire une fois l’action réalisée, il n’y a donc pas besoin de s’inquiéter de son entretien.

· L’utilisateur peut choisir d’ignorer le processus de suppression des malware ou de télécharger le scan recommandé. Les utilisateurs qui sautent l’étape de suppression de logiciels malveillants peuvent être invités à le refaire plus tard.

· Les utilisateurs qui téléchargent et exécutent le scanner peuvent continuer à utiliser Facebook et d’autres services au cours de l’analyse. Lorsque cette dernière est terminée, l’utilisateur recevra une notification via Facebook et sera en mesure d’examiner les résultats de l’analyse.

G Data – Trust in German Sicherheit

Trust in German Sicherheit –  Une nouvelle génération de solutions pour encore plus de sécurité
Avec ses nouvelles versions grand public, G Data augmente encore le niveau de protection de ses solutions face aux dangers. Le nouveau module anti-exploits ainsi que la protection améliorée contre les enregistreurs de frappe (keylogger) apportent un niveau de sécurité encore supérieur contre les attaques ciblant les logiciels non mis à jour ou les tentatives de vol de données. Les versions G Data Antivirus, G Data Internet Security et G Data Total Protection sont disponibles dès maintenant.

Protection anti-exploits
Plus de 20 % des attaques visant le système d’exploitation ont recours aux failles présentes dans des programmes tiers non mis à jour. Avec le nouveau module anti-exploits, G Data protège le système en bloquant ces tentatives d’exploitation de failles.

Anti-keylogger amélioré
La nouvelle protection anti-keylogger de G Data bloque de manière proactive l’utilisation d’enregistreurs de frappes dans le navigateur Internet. Une protection invisible pour l’utilisateur qui peut naviguer sur ses sites bancaires ou d’e-commerce sans avoir recours à un navigateur ou un clavier virtuel spécifique.

Garantie technologique
Au-delà des atouts techniques, les nouvelles versions mettent aussi un terme au millésime. Plus de date, le logiciel est en constante évolution ! L’utilisateur a toujours accès aux technologies les plus récentes, intégrées dans le logiciel par simple mise à jour. Une garantie technologique valable sur toutes les versions et durant toute la durée de validité de la licence.

Trust in German Sicherheit
Avec sa nouvelle promesse « Trust in German Sicherheit » (Faites confiance à la sécurité allemande), G Data Software revendique la qualité de ses solutions : non contraint par une loi patriote, l’éditeur garantit à l’utilisateur un strict respect de sa vie privée et de sa sécurité.

La nouvelle génération G Data en détail
G Data Antivirus – Protection de base
G Data Antivirus protège le PC contre les virus. Il sécurise la transmission des données lors de la navigation sur des banques en ligne et lors d’achats sur internet. G Data Antivirus 1 PC : 24,95 euros ; G Data Antivirus 3 PC : 34,95 euros.

G Data Internet Security – Suite de sécurité
G Data Internet Security sécurise le système et les données personnelles grâce à la protection antivirus et au pare-feu. L’internaute est protégé de tous les dangers Internet et du spam. G Data Internet Security 3 PC : 49,95 euros

G Data Total Protection – Protection totale
G Data Total Protection protège contre tous les dangers. Les utilisateurs sont sécurisés contre toutes les menaces grâce aux nombreuses options telles que le chiffrement des données, la sauvegarde et le contrôle des périphériques. G Data Total Protection 1 PC : 44,95 euros ; G Data Total Protection 3 PC : 54,95 euros

Caractéristiques de la nouvelle génération G Data Security
– Nouvelle technologie CloseGap « Made in Germany » pour une reconnaissance de virus parfaite
– Protection anti-exploit : empêche l’exploitation des failles de sécurité
– Protection anti-keylogger : bloque les enregistreurs de frappe en temps réel sans perte de performance
– Sauvegarde sécurisée en Cloud ou localement (G Data Total Protection)
– Protection des emails et de la navigation Internet
– Banque en ligne sécurisée avec G Data BankGuard
– Pare-feu, protection anti-spam et contrôle parental (G Data Internet Security et G Data Total Protection)
– Chiffrement des données (G Data Total Protection)

Plus de 500 000 ordinateurs infectés chaque jour par 25 000 serveurs UNIX piratés par un Trojan

L’équipe de chercheurs en sécurité d’ESET, en collaboration avec le CERT-Bund (Allemagne), l’agence nationale suédoise de recherche sur les infrastructures réseau (SNIC) et d’autres agences en sécurité, ont découvert une vaste campagne d’attaques cybercriminelles qui a pris le contrôle de plus de 25 000 serveurs UNIX dans le monde entier.

Baptisée « Windigo » par les experts en sécurité informatique cette campagne d’une ampleur inédite a généré l’envoi de millions de pourriels par les serveurs infectés. Le piratage de ces serveurs n’est en réalité que la 1ère étape de cette opération complexe qui a pour finalité l’infection et le vol d’information des ordinateurs qui s’y connectent. Parmi les victimes de Windigo, on compte notamment cPanel et Kernel.org.

L’équipe d’experts en sécurité d’ESET qui a mis à jour cette vaste campagne publie aujourd’hui un document technique détaillé présentant leur découverte ainsi qu’une analyse du malware. Ce document donne également la marche à suivre pour détecter si votre infrastructure est infectée et indique la procédure permettant de supprimer le code malveillant.

OPERATION WINDIGO : 3 ANNEES SOUS LES RADARS DES EXPERTS
Malgré la détection parcellaire de Windigo par certains experts en sécurité, cette vaste campagne cybercriminelle, en raison de son ampleur et de son architecture complexe, est parvenue à déjouer la vigilance de la communauté d’experts.

« Depuis 2 ans et demi, Windigo s’est renforcé en prenant le contrôle de 10 000 serveurs, sans être détecté par la communauté d’experts en sécurité » constate Marc-Etienne Léveillé, chercheur en sécurité chez ESET. « Plus de 35 millions de pourriels sont envoyés chaque jour à d’innocentes victimes, encombrant leur boîte de réception et menaçant la sécurité de leur ordinateur. Pire encore, chaque jour, plus d’un demi-million d’ordinateurs sont menacés par la simple visite d’un site Internet dont le serveur est infecté. L’internaute est alors redirigé vers des malwares ou des annonces publicitaires. »

Il est intéressant de noter que la menace varie en fonction du système d’exploitation de l’utilisateur. Ainsi, pour un ordinateur sous Windows visitant un site infecté, Windigo, tente d’installer un malware via un kit d’« exploit ». En revanche, Windigo affiche des publicités de sites de rencontres pour les utilisateurs sous MAC OS. Les possesseurs d’iPhone, quant à eux, sont redirigés vers des contenus pornographiques.
 
APPEL AUX ADMINISTRATEURS SYSTEMES POUR ERADIQUER WINDIGO
Plus de 60% des sites Internet à travers le monde sont hébergés sur un serveur Linux. C’est pourquoi l’équipe de chercheurs en sécurité d’ESET lance un appel aux webmasters et administrateurs systèmes pour qu’ils s’assurent que leurs serveurs n’aient pas été compromis.

« Nous sommes conscient que les webmasters et les équipes techniques ont déjà leurs propres problèmes à gérer sans avoir à rajouter une charge de travail supplémentaire, mais Windigo pose une réelle menace. Tout le monde souhaite contribuer à un Internet meilleur. Vous avez à présent l’occasion d’y prendre part en protégeant de manière très concrète des millions d’internautes. » déclare Marc-Etienne Léveillé. « Face à une telle menace, ne rien faire c’est contribuer à l’expansion du malware et des pourriels. Quelques minutes de votre temps peuvent concrètement faire la différence. »

COMMENT SAVOIR SI VOTRE SERVEUR EST INFECTE PAR WINDIGO
Cette campagne a été surnommée « Windigo » en référence à la créature maléfique et cannibale de la mythologie des Amérindiens algonquiens.  Il est recommandé aux administrateurs systèmes sous UNIX et aux webmasters d’exécuter la ligne de commande suivante afin de vérifier l’intégrité de leur système :

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo « System clean » || echo « System infected »

UN TRAITEMENT DE CHOC POUR LES VICTIMES DE WINDIGO
En réalité, la backdoor (porte dérobée) « Ebury » propagée par la campagne de cybercriminalité Windigo n’exploite pas une vulnérabilité de Linux ou d’OpenSSH. Elle est installée manuellement par les cybercriminels. Le fait qu’ils aient réussi à répliquer cette attaque sur des dizaines de milliers de serveurs différents est tout simplement effrayant. Si les solutions anti-virus et d’authentification forte sont désormais largement répandues sur les postes de travail, elles sont en revanche rarement employées pour protéger les serveurs. Ils sont, par conséquent, une cible vulnérable pour le vol d’identifiants et le déploiement de logiciels malveillants.  Si les administrateurs systèmes constatent que leurs serveurs sont infectés, il est alors recommandé de formater les machines concernées et réinstaller les systèmes d’exploitation et les logiciels. La sécurité des accès étant compromise, il est également essentiel de changer tous les mots de passe et clés privées. Il est recommandé d’intégrer des solutions d’authentification forte pour garantir un meilleur niveau de protection. « Nous sommes conscients que formater votre serveur et repartir de zéro est un traitement radical. Mais, si des hackers sont en possession d’un accès distant à vos serveurs suite au vol de vos identifiants administrateur, il ne faut prendre aucun risque. » explique Marc-Etienne Leveillé. « Malheureusement, certaines victimes avec qui nous sommes en contact savent qu’elles sont infectées mais n’ont pour l’instant rien fait pour nettoyer leurs systèmes mettant ainsi en danger toujours plus d’internautes. »

Java Bot, un code malveillant pour Windows, Mac et Linux

Un code malveillant Java multiplateforme découvert. Il fonctionne sur Windows, Mac et Linux. Les chercheurs en sécurité de chez Kaspersky sont tombés nez-à-nez sur un malware multi-plateforme qui est capable de fonctionner sur Windows, Mac et Linux. Plutôt facheux. Le malware est entièrement écrit en Java. L’exploit utilisé pour ré-installer le code pirate est connu comme étant un Java exploit (CVE-2013-2465) qui rend la campagne malveillante complètement multi-plateforme. Une fois que le bot a infecté un système, il se copie dans le répertoire personnel de l’utilisateur. Il ajoute des programmes de maniére à ce qu’il démarre automatique au lancement de l’ordinateur. Une fois sa configuration automatisée terminée, le logiciel génère un identifiant unique et en informe son « propriétaire » de pirate. La machine se transforme en zombie. Bilan, le pirate n’a plus qu’à revendre son accès ou l’utiliser plus tard, en communiquant avec son robot, via IRC. Ce bot java sert avant tout dans des attaques de Dénis Distribuées de Services (DDoS). Toutes les machines fonctionnant sous Java 7.21, ainsi que les versions antérieures sont susceptibles d’être vulnérables à cette attaque. (Securlist)

L’auteur de SpyEye jugé aux USA

L’auteur du code malveillant SpyEye jugé par l’Oncle Sam. Il connaitre son sort fin avril. SpyEye, un virus informatique qui avait infecté depuis 2009 pas moins de 1,4 millions de pc dans le monde. L’auteur, Aleksander Adreevich Panin, un russe connu sous le pseudonyme de « Gribodemon » et « Haderman » vient de plaider coupable devant un tribunal de Géorgie. Il est accusé d’avoir créé et diffusé SpyEye. Arrêté en juillet 2013, il a été invité aux USA par un faux « acheteur ». Il sera arrêté à l’aeroport d’Atlanta. Il faut dire aussi que l’Oncle Sam veut lui faire la peau. Sa création ayant volé des millions de données bancaires. Aleksander Adreevich Panin vendait sa création entre 1.000 et 8.500 dollars, selon les options. Le « SpyEye Daddy » connaitra son sort, soit plusieurs années de prison et une amende de plusieurs millions de dollars le 29 avril prochain. Dans le collimateur, aussi, un pirate algérien, Hamza Bendelladj, aka « Bx1 ». Son procés doit avoir lieu cette année.

Le Premier Virus sur Téléphones Mobiles a fêté ses 10 ans

2014 marque le 10ème anniversaire de Cabir, le premier virus infectant les téléphones mobiles. Voici une rétrospective de l’évolution et l’importance des menaces sur les téléphones mobiles au cours des 10 dernières années. Elle est proposée à DataSecurityBreach.fr par Axelle Apvrille, chercheur sénior anti-virus sur mobile chez Fortinet.

De Cabir à FakeDefend, la dernière décennie a vu le nombre de virus mobiles exploser. En 2013, plus de 1.300 nouvelles applications malicieuses par jour ont été détectées. Plus de 300 familles de logiciels malveillants sur Android et plus de 400 000 applications Android malicieuses. Outre la croissance en nombre constatée, l’autre tendance importante à souligner est que les virus mobiles ont suivi la même évolution que les virus sur PC, mais de manière beaucoup plus rapide. La généralisation des smartphones et le fait qu’ils intègrent un système de paiement (numéros surtaxés) en font des cibles facilement monétisables. En outre, ils embarquent des systèmes type logiciel de géolocalisation, micro, GPS et caméras (Voir ZATAZWeb.tv émission de janvier), qui permettent d’espionner leur propriétaire de façon particulièrement intrusive. Tout comme les virus sur PC, les virus mobiles ont très vite, évolués dans le seul but de gagner de l’argent via des modèles économiques plus ou moins complexes.

Les virus mobiles les plus importants de ces 10 dernières années

2004 : Le coup d’essai !
Cabir est le premier ver mobile au monde. Conçu pour infecter les téléphones portables Nokia de la Série 60 en utilisant la technologie Bluetooth, son attaque résultait dans l’affichage du mot « Caribe » sur l’écran d’accueil des téléphones infectés. Le ver se propageait ensuite en recherchant d’autres appareils (téléphones, imprimantes, consoles de jeux…) à proximité de lui à l’aide des fréquences Bluetooth. Les experts pensent que ce ver a été développé par le groupe de hackers 29A en tant que « concept théorique » étant donné son caractère inoffensif.

2005 : La propagation par MMS
CommWarrior ajoute à Cabir l’infection par MMS. En effet, le ver se propage d’une part par Bluetooth, et d’autre part, par MMS à tous les contacts du téléphone infecté. Les MMS n’étant généralement pas gratuits, cela a engendré des coûts pour les victimes. Certains opérateurs ont eu jusqu’à 3.5 % de leur trafic infecté et, devant l’ampleur des faits, ont accepté de rembourser les victimes. Ce virus, ciblant les plateformes Symbian, a été signalé dans plus de 18 pays à travers l’Europe, l’Asie et l’Amérique du Nord. 115 000 appareils mobiles ont été infectés et plus de 450 000 MMS ont été envoyés à l’insu des victimes. Pour la première fois, on constate qu’un ver mobile peut se propager aussi rapidement qu’un virus sur PC. A cette époque, Symbian était la plateforme la plus populaire pour les smartphones avec un nombre d’utilisateurs dans le monde se chiffrant en dizaines de millions. L’objectif derrière CommWarrior était la propagation maximale du ver. Bien que cela ait engendré des dégâts financiers pour les utilisateurs, les attaquants, à cette époque,  ne se préoccupaient pas  de monétiser leurs attaques.

2006 : L’appât du gain !
Pour la première fois, en 2006, un Cheval de Troie connu sous le nom de RedBrowser a été conçu pour infecter un grand nombre de téléphones via la plateforme Java 2 Micro Edition (J2ME). A cette époque, la majorité des téléphones étaient compatibles avec Java et permettaient l’exécution d’applications Java téléchargées depuis Internet. Plutôt que de développer un logiciel malveillant spécifique à un OS, les auteurs de virus ont donc porté leurs efforts sur J2ME afin de pouvoir cibler non seulement les utilisateurs de Symbian mais également ceux utilisant d’autres plateformes. RedBrowser a été le premier cheval de Troie à explicitement dérober de l’argent aux utilisateurs de téléphones portables. Pour ce faire, il se faisait passer pour un utilitaire d’accès à Internet, alors qu’en réalité, il envoyait des SMS à différents numéros surtaxés. Le possesseur du téléphone se voyait ainsi facturé 5$ par SMS envoyé. L’utilisation de logiciels malveillants mobiles devient donc un moyen de générer de l’argent. Jusqu’à l’apparition de RedBrowser, l’infection par logiciels malveillants de tout type de téléphone mobile semblait impossible. L’apparition de chevaux de Troie pour J2ME est un événement aussi important que l’apparition du premier ver pour smartphones en 2004. Les SMS représentaient à cette époque pratiquement le seul vecteur de monétisation pour les auteurs de virus mobiles.

2007-2008 :  La période transitoire…
En 2007 et 2008, on constate une quasi stagnation dans l’évolution des menaces mobiles mais une augmentation en volume des virus envoyant des SMS à des numéros surtaxés à l’insu des utilisateurs de téléphones.

2009 : Les prémices des botnets sur  mobiles
Au début de l’année 2009, Fortinet découvre Yxes (anagramme de « Sexy »), un logiciel malveillant qui se cache derrière l’application « Sexy View » d’apparence légitime et certifiée Symbian. Une fois infecté, le téléphone portable de la victime communique son répertoire téléphonique à un serveur central, qui à son tour commande l’envoi aux contacts du répertoire de l’utilisateur de SMS incluant un lien URL. En cliquant sur ce lien, les destinataires téléchargent depuis Internet une copie du ver sur leurs propres téléphones, participant ainsi à sa propagation. Yxes s’est essentiellement attaqué à l’Asie où il a infecté au moins 100 000 appareils en 2009. Yxes est marquant dans l’évolution des virus mobiles à plusieurs titres. D’abord, il est considéré comme le premier logiciel malveillant visant la version 9 du système d’exploitation Symbian. Ensuite, c’est également le premier logiciel malveillant permettant d’envoyer des SMS et d’accéder à Internet à l’insu de l’utilisateur mobile, ce qui représente une innovation technologique dans les programmes malveillants. Enfin, son modèle de propagation hybride – SMS avec lien et conversation avec un serveur distant – fait redouter aux analystes anti-virus qu’il soit l’annonciateur d’une nouvelle gamme de virus : les botnets sur mobiles. L’avenir validera cette crainte.

2010 : L’ère de l’industrialisation des virus mobiles
2010 marque un tournant dans l’histoire des virus mobiles. L’utilisation des virus mobiles passent des mains de développeurs peu scrupuleux localisés à de véritables réseaux cybercriminels organisés. C’est en sorte le début de l’ère de « l’industrialisation des virus mobiles » où les attaquants se rendent compte que les virus mobiles peuvent facilement leur rapporter beaucoup d’argent et décident de les exploiter plus intensivement. C’est à cette époque d’ailleurs que l’on rencontre Zitmo. Ce virus est la première extension mobile connue de ZeuS, un cheval de Troie bancaire pour PC très virulent. Zitmo intercepte les SMS expédiés par les banques aux clients pour détourner les opérations bancaires en ligne. Cette année là, d’autres virus font également couler beaucoup d’encre, comme Geinimi, le premier logiciel malveillant à s’attaquer à la plateforme Android et également la première véritable instance de botnet mobile. Geinimi communique avec un serveur distant qui lui envoie des commandes comme l’installation ou la suppression de certains logiciels sur le smartphone. Outre les menaces visant le système d’exploitation Android, l’autre fait plus inquiétant est la monétisation des attaques qui marque l’entrée dans l’ère de la cybercriminalité sur mobiles.

2011 : Android en ligne de mire !
Alors que les attaques sur Android s’intensifient, 2011 voit l’apparition de virus beaucoup plus évolués. Notamment, DroidKungFu, qui, aujourd’hui encore, est reconnu comme l’un des virus mobiles les plus avancés d’un point de vue technologique. Il cherche à mettre le téléphone portable sous contrôle et pour cela, « roote » le téléphone à l’aide d’exploits connus (exploid uDev, Rage Against The Cage…). Résultat, l’attaquant peut ouvrir une page web de son choix sur le téléphone, installer ou enlever des applications… DroidKungFu met également en place des mesures pour passer inaperçu aux yeux des analystes anti-virus. Le combat cybercriminels/antivirus sur mobiles est lancé. Comme la plupart des virus jusqu’à présent, DroidKungFu était généralement disponible depuis des boutiques en ligne non officielles et forums en Chine. Plankton est un autre logiciel malveillant qui apparaît en 2011. C’est probablement le plus répandu de tous, et encore aujourd’hui il sévit de manière importante. Présent sur Google Play, la boutique en ligne officielle d’applications Android, et parfois simplement considéré comme un kit de publicité trop agressif, il modifie la page d’accueil du navigateur mobile ou ajoute de nouveaux raccourcis et marque-pages sur le téléphone portable… « Avec Plankton, explique à DataSecurityBreach.fr Axelle Apvrille, on joue dans la cour des grands ! Ce logiciel malveillant se retrouve dans les 10 virus les plus prévalents, toutes catégories confondues, c’est à dire qu’il est aussi fréquent que les virus PC les plus virulents. L’époque où les virus mobiles restaient en retrait des virus PC est terminée. En l’occurrence pour Plankton, on compte 5 millions d’appareils infectés à ce jour« .

2013 : Vers de nouveaux modes d’attaques
2013 marque l’arrivée de FakeDefend, le premier ransomware sur Android visant les téléphones mobiles. Caché derrière un faux anti-virus, ce logiciel malveillant suit le même mode opératoire que les faux antivirus sur ordinateurs. Il bloque le téléphone et exige de la victime qu’elle paie une rançon (sous forme d’une souscription AV extrêmement élevée dans ce cas) pour récupérer le contenu de son appareil. Toutefois, le paiement de la rançon n’aide en rien car le téléphone doit être réinitialisé par défaut pour rétablir la fonctionnalité. C’est également en 2013 qu’apparaît Chuli, la première attaque ciblée contenant un logiciel malveillant Android. Le compte mail d’un activiste de la Conférence Mondiale Uyghur, qui se tenait les 11-13 Mars 2013 à Genève, a été utilisé pour viser des comptes de militants et défenseurs Tibétains des Droits de l’Homme. Ce logiciel malveillant visait à récolter des données telles que les SMS reçus, les contacts de la carte SIM et du téléphone, les informations de géolocalisation, et enregistrait les appels du téléphone de la victime. Toutes ces informations étaient ensuite envoyées à un serveur distant. 2013 peut être considérée comme l’année de la professionnalisation des attaques mobiles. Plus ciblés, plus sophistiqués, FakeDefend ou encore Chuli sont des exemples d’attaques pouvant être comparés à ceux que nous connaissons aujourd’hui sur les ordinateurs. De plus, avec une attaque comme Chuli, on peut se demander si nous ne sommes pas en train d’entrer dans l’ère de la cyber-guerre mobile et de ce fait, le début de l’implication potentielle de gouvernements et autres organisations nationales dans l’origine de ces attaques…

Et demain ?
En matière de cybercriminalité, il est toujours difficile de prédire ce qui arrivera l’année prochaine et encore moins durant les 10 prochaines années. Le paysage des menaces mobiles a considérablement changé au cours de ces dix dernières années, et, les cybercriminels se sont efforcés à trouver de nouvelles techniques, toujours plus ingénieuses pour gagner de l’argent. Face à l’explosion du marché des smartphones et autres technologies mobiles, on peut cependant prédire dans les années à venir la convergence des virus mobiles et des virus PC. « Tous les virus seront alors « mobiles », indique Axelle Apvrille à Data Security Breach, car tout sera devenu « mobile ». » Au-delà des appareils mobiles, la prochaine cible des cybercriminels pourrait être l’Internet des Objets (Internet of Things en anglais ou IoT). Difficile d’évaluer le nombre d’objets connectés sur le marché dans 5 ans, mais à en croire les estimations de Gartner, 30 milliards d’objets seront connectés en 2020 alors qu’IDC estime ce même marché à 212 milliards. Alors que de plus en plus de fabricants et de fournisseurs de services misent sur l’opportunité commerciale que représentent ces objets, la sécurité n’a pas encore été prise en compte dans le processus de développement de ces nouveaux produits. Une nouvelle aubaine pour les cybercriminels ?

 

Faux courriel aux couleurs du PSG

Depuis quelques jours, un pirate informatique diffuse un courriel aux couleurs du Paris Saint-Germain, et plus précisément de la boutique du club de football parisien. Le phishing est bien réalisé. L’escroc indique un achat dans la boutique du PSG. « Vous pouvez consulter votre facture FR9077796 via le lien suivant en cliquant dessus ou en le recopiant« . Dans la missive usurpatrice, un extrait d’une carte bancaire. Bref, de quoi inquiéter l’internaute qui n’a jamais rien acheté chez les footeux.

L’objet du courrier pirate « Confirmation de votre commande effectuée sur La Boutique officielle. » En cliquant sur le lien, direction non pas le club Qatari, mais un site piraté, utilisé pour cacher le logiciel espion. Un blog  basé en Suisse. En lieu et place d’une facture, un logiciel pirate, chargé de téléchargé un outil d’espionnage dans l’ordinateur du surfeur ainsi piégé. Même si l’icône à l’écran affiche un « PDF », il s’agit d’un exécutable qu’aucun antivirus, au moment de l’écriture de notre article, n’a détecté comme dangereux. Prudence, donc !

 

 

Diffusion de virus via des publicités Yahoo!

La régie publicitaire de Yahoo! piégée par des publicités malveillantes qui diffusaient des virus. Vous avez très certainement du vous en rendre compte, d’étranges publicités sont apparues, en fin d’années dans d’importants sites Internet. A première vue, des iframes malveillants ont permis à des pirates informatiques d’exploiter le réseau publicitaire de Yahoo! pour tenter d’infiltrer les ordinateurs des visiteurs. C’est une entreprise belge qui vient de confirmer nos doutes. Fox-IT a annoncé que des appareils avaient été infectés après avoir visité Yahoo.com. Les iframes malveillants ne se trouvaient pas directement sur Yahoo! mais via des sous-domaines piégés.

Dans les codes malveillants, que les pirates ont tenté d’injecter via de fausses mises à jour Flash et autres fausses applications Android, les virus ZeuS et Andromeda. Yahoo! a indiqué que « le » malware avait été supprimé. Le malware ne visait, parait-il, que les internautes européens : France, Roumanie et Grande-Bretagne en tête. Chose tout à fait possible. Les kits pirates permettant ce genre de sélection géographique.

Fox-IT indique que les sites Yahoo! auront été responsables de 27.000 infections par heure. Pour atténuer ce chiffre, l’attaque ne fonctionnait qu’à la condition ou la machine touchée n’était sécurisée, que l’antivirus n’était pas mis à jour et que le surfeur validait le téléchargement du faux produit proposé.

 

 

Neverquest, un trojan qui pourrait bien gâcher les fêtes de Noël

L’éditeur de solutions de sécurité informatique Kaspersky Lab vient d’identifier un programme malicieux « capable d’attaquer n’importe quelle banque dans le monde », selon ses créateurs. D’après les experts Kaspersky Lab, plusieurs milliers de tentatives d’infection ont déjà été enregistrées et 28 sites bancaires sont pour le moment concernés, y compris en Allemagne, en Italie et en Turquie. C’est au mois de juillet de cette année que les chercheurs ont découvert l’existence de ce cheval de Troie bancaire après avoir vu une annonce pour la vente d’un nouveau cheval de Troie sur un forum clandestin. Le vendeur le présentait comme un bot privé capable d’attaquer près de 100 banques américaines via l’insertion d’un code dans les pages de leur site pendant le chargement dans différents navigateurs.

Baptisé Neverquest, ce trojan prend en charge pratiquement toutes les techniques connues et utilisées pour passer outre les systèmes de sécurité des banques en ligne : injection Web, accès système à distance, social engineering, etc. Au regard de sa capacité à se dupliquer, une augmentation rapide des attaques Neverquest est à prévoir, avec donc de nombreux préjudices financiers.

Serge Golovanov, expert chez Kaspersky Lab, signale que « ce programme malveillant est relativement récent et les individus malintentionnés ne l’utilisent pas encore à pleine capacité. Les individus malintentionnés peuvent obtenir le nom d’utilisateur et le mot de passe saisis par l’utilisateur et modifier le contenu de la page Internet. Toutes les données que l’utilisateur saisit sur cette page modifiée sont également transmises aux individus malintentionnés.« 

L’argent volé est transféré sur un compte contrôlé par les individus malintentionnés ou, pour brouiller les pistes, sur le compte d’autres victimes. Vu les capacités de Neverquest en terme de diffusion automatique, le nombre d’utilisateurs attaqués pourrait augmenter sensiblement en un bref laps de temps.

Propagation d’un trojan bancaire via Skype

Le pic de ces envois a été enregistré dans la première moitié de novembre 2013. BackDoor.Caphaw est capable de voler les identifiants d’accès aux comptes en ligne et d’autres données sensibles stockées sur la machine infectée. Il exploite les vulnérabilités des navigateurs (par exemple les packages d’exploits BlackHole), et se copie sur les supports amovibles et réseau.

Depuis la deuxième quinzaine d’octobre 2013, les attaquants utilisent Skype pour distribuer le Trojan BackDoor.Caphaw. Le pic de la propagation, selon DrWeb, a été enregistré entre le 5 et 14 novembre 2013. Les attaquants envoient des messages via Skype en utilisant les comptes des utilisateurs déjà infectés. Les messages incluent un lien vers une archive portant le nom invoice_XXXXX.pdf.exe.zip (où XXXXX est un ensemble aléatoire de chiffres). L’archive contient le fichier exécutable du Trojan BackDoor.Caphaw.

Après son lancement, le Trojan sauvegarde sa copie dans un dossier d’application comme un fichier, avec un nom aléatoire, et modifie la clé du Registre chargée du lancement automatique des applications. Afin de faire face aux tentatives d’être étudié, ce Trojan possède un mécanisme de détection de lancement sur une machine virtuelle.

Suite à son installation, le Trojan BackDoor.Caphaw essaie de s’intégrer dans les processus en cours et de se connecter à un serveur des attaquants. Ce Trojan surveille l’activité de l’utilisateur et détecte les connexions aux banques en ligne. Dans ce cas, BackDoor.Caphaw peut injecter du contenu malveillant et intercepter les données entrées dans différents formulaires.

Une autre de ses fonctions est l’utilisation de la caméra et l’enregistrement, sur la machine infectée, de vidéos en streaming, afin de le transmettre au serveur des attaquants sous la forme d’une archive RAR. En outre le BackDoor.Caphaw peut télécharger depuis le serveur distant des composants additionnels et les lancer. Par exemple, des modules pour rechercher et transmettre aux attaquants les mots de passe des clients FTP ou créer un serveur VNC. Il existe également un module MBR bootkit, capable d’infecter des secteurs d’amorçage etc. Enfin, il existe un module pour l’envoi automatique de liens malveillants via Skype. Les utilisateurs doivent rester prudents et éviter de cliquer sur les liens reçus dans les messages via Skype, même si ces messages proviennent de leurs connaissances, car leurs ordinateurs peuvent être déjà infectés par le BackDoor.Caphaw.

 

Cheval Troie infectant les mobiles via « alien botnets »

Le tout premier cas de cheval Troie infectant  les mobiles via « alien botnets ». Depuis trois mois, les analystes de Kaspersky Lab étudient le mode de propagation du cheval de Troie Obad.a, une application malveillante détectée sur Android. Datasecuritybreach.fr a appris que les criminels qui se cachent derrière ce cheval de Troie ont adopté une technique inédite pour répandre leur malware. En effet, celui-ci se propage par le biais de botnets contrôlés par d’autres groupes criminels, ce qui est une première dans l’histoire de la cybercriminalité visant les terminaux mobiles. Il ressort aussi clairement que Obad.a se retrouve principalement dans les pays de la CEI (ex-URSS). Au total, 83% des tentatives d’infections ont été enregistrées en Russie, tandis que d’autres ont également été détectées sur des équipements mobiles en Ukraine, au Bélarus, en Ouzbékistan et au Kazakhstan.

Le modèle de diffusion le plus intéressant consiste en la propagation de diverses versions de Obad.a avec SMS.AndroidOS.Opfake.a. Cette double tentative d’infection commence par l’envoi d’un texto demandant au destinataire de télécharger un message reçu récemment. Si la victime clique sur le lien fourni, un fichier contenant Opfake.a se télécharge automatiquement sur son smartphone ou sa tablette.

Le fichier malveillant ne peut s’installer seulement si l’utilisateur le lance : dans ce cas, le cheval de Troie envoie d’autres messages à tous les contacts figurant sur le terminal qu’il vient d’infecter. Le fait de cliquer sur le lien contenu dans ces messages déclenche le téléchargement de Obad.a. Le système est parfaitement organisé : un opérateur de réseau mobile russe a signalé plus de 600 messages de ce type en l’espace de cinq heures, à peine, ce qui révèle une diffusion de masse. Dans la plupart des cas, le malware s’est propagé à partir d’appareils déjà contaminés.

En dehors des botnets mobiles, ce cheval de Troie, d’une grande complexité, est également diffusé par l’intermédiaire de spams. Typiquement, un message avertissant le destinataire de l’existence d’une « dette » impayée incite celui-ci à suivre un lien qui va télécharger automatiquement Obad.a sur son mobile. Là encore, il faut que l’utilisateur ouvre le fichier téléchargé pour que le cheval de Troie s’installe.

De fausses boutiques d’applications propagent également Backdoor.AndroidOS.Obad.a. Elles imitent le contenu de pages Google Play, remplaçant les liens authentiques par d’autres, malveillants. Lorsque des sites légitimes sont piratés et leurs utilisateurs redirigés vers des sites dangereux, Obad.a cible exclusivement les mobiles : si les victimes potentielles arrivent sur le site à partir d’un ordinateur, rien ne se passe. En revanche, les smartphones et tablettes, quelle que soit leur plate-forme, sont en danger.

« En trois mois, nous avons découvert 12 versions de Backdoor.AndroidOS.Obad.a. Toutes présentent le même jeu de fonctionnalités et un degré élevé de masquage du code. Aussi, chacune utilise une vulnérabilité d’Android OS qui confère au malware les droits DeviceAdministrator et le rend bien plus difficile à éliminer. Dès que nous avons fait cette découverte, nous en avons informé Google et la faille en question a été corrigée dans Android 4.3. Cependant, seuls quelques modèles récents de smartphones et de tablettes sont dotés de cette version et les appareils plus anciens restent menacés. Obad.a, qui exploite un grand nombre de vulnérabilités non publiées, se comporte davantage comme un malware Windows qu’à d’autres chevaux de Troie pour Android », explique à Data security breach Roman Unuchek, expert en antivirus chez Kaspersky Lab.

Sortie de la version 9 de Dr.Web

Dr. Web, éditeur de solutions antivirus, annonce la sortie de la version 9 de ses produits Dr.Web Antivirus et Dr.Web Security Space. La nouvelle version Dr.Web 9.0 pour Windows met l’accent sur la réactivité face aux menaces et renforce la protection des données. Parmi les principales nouveautés : -L’analyseur de comportement Dr.Web Process Heuristic est une protection efficace contre les dernières menaces inconnues. Aujourd’hui, près de 90% des menaces réelles nuisant aux utilisateurs sont les Trojan. Les algorithmes de détection de ces menaces développés pour Dr.Web Process Heuristic sont basés sur les connaissances sur le comportement des représentants de différents groupes de malware accumulées depuis des années. En raison de la similitude de comportement de nombreux programmes malveillants, Dr.Web Process Heuristic peut identifier ceux qui ne sont pas encore connus de Dr.Web, en particulier les nouvelles modifications des Trojan.Encoder et Trojan.Inject.

-La protection des données contre l’endommagement : une fonctionnalité qui permet d’effectuer des copies protégées des données. L’utilisateur peut choisir à l’avance les répertoires et créer des copies protégées des données qu’ils contiennent avec la possibilité de les récupérer ultérieurement. La technologie de protection des données permet de sauvegarder ultérieurement les modifications apportées dans les fichiers originaux avec une périodicité spécifiée par l’utilisateur ou manuellement sur commande (cette fonction ne peut toutefois pas remplacer la copie de sauvegarde complète standard).

-Analyseur des menaces empaquetées : détection efficace des objets malveillants connus dissimulés sous de nouveaux packers. Ce module améliore considérablement la détection des menaces soi-disant «nouvelles» qui peuvent déjà être connues de la base de données virales Dr.Web, mais empaquetées d’une manière nouvelle pour ne pas être détectées par l’antivirus.

-Nouveau système d’analyse complète du trafic. Le contrôle du trafic (y compris le trafic crypté) est effectué via tous les protocoles pris en charge par les composants SpIDer Mail et Spider Gate, et via tous les ports. La fonctionnalité Safe Search a été mise en place. Lors de l’utilisation des moteurs de recherche Google, Yandex, Yahoo!, Bing, Rambler, seuls les sites sécurisés seront affichés dans les résultats de recherche. Le contenu dangereux est filtré par les moteurs de recherche eux-mêmes.

Le pare-feu Dr.Web a également été optimisé afin notamment de moins solliciter l’utilisateur sur l’autorisation des applications lancées. Le Contrôle Parental permet de bloquer le changement de l’heure système et le fuseau horaire pour ne pas permettre aux enfants d’utiliser l’ordinateur durant les heures non autorisées par leurs parents.

Un nouveau Trojan cible Linux avec un arsenal important

La société Doctor Web a annoncé, il y a quelques jours, la détection d’un nouveau programme malveillant ciblant Linux : Linux.Hanthie. Selon les résultats de l’étude, les spécialistes ont découvert que ce Trojan (aussi connu sous le nom de Hand of Thief) peut exécuter beaucoup de fonctions, ainsi que cacher sa présence dans le système. Aujourd’hui ce malware est très populaire sur les forums clandestins de hackers où les pirates le vendent souvent. Linux.Hanthie est lié aux bots des familles FormGrabber et BackDoor ciblant le système d’exploitation Linux, et dispose de mécanismes anti détection ainsi que d’un démarrage masqué qui ne nécessite pas de privilèges administrateur. Il utilise un chiffrement fort pour la communication avec l’interface de commande (256-bit). La configuration flexible du bot est possible via le fichier de configuration.

Après son lancement, le Trojan bloque l’accès aux adresses depuis lesquelles les mises à jour logicielles ou les logiciels antivirus sont téléchargés. Ce Trojan est capable de se soustraire à l’analyse antivirus et de s’exécuter dans des environnements isolés et virtuels. Cette version de Linux.Hanthie ne possède pas de mécanismes d’auto réplication, c’est pourquoi ses développeurs conseillent de le distribuer en utilisant les moyens de l’ingénierie sociale. Ce Trojan est compatible avec les distributions Linux (dont Ubuntu, Fedora et Debian) et avec huit types d’environnements de bureau, par exemple, GNOME et KDE.

Après le démarrage du Trojan, l’installateur masque sa présence dans le système et détecte les machines virtuelles. Ensuite, Linux.Hanthie s’installe dans le système en créant un fichier d’auto démarrage et en plaçant une copie de réserve de lui-même dans l’un des dossiers sur le disque. Dans le dossier des fichiers temporaires, il crée une bibliothèque exécutable, qu’il essaie d’intégrer dans tous les processus en cours. En cas d’échec, Linux.Hanthie lance un nouveau fichier exécutable depuis un dossier temporaire responsable de la connexion avec le serveur de gestion et supprime sa version originale.

Le Trojan comprend plusieurs modules fonctionnels : l’un d’eux, qui représente une bibliothèque, exécute des fonctions malveillantes. Ce module injecte un grabber dans les navigateurs Mozilla Firefox, Google Chrome, Opera, ainsi que Chromiim et Ice Weasel (développés uniquement pour Linux). Ce grabber permet d’intercepter les sessions HTTP et HTTPS et d’envoyer des données entrées par l’utilisateur aux malfaiteurs. Cette bibliothèque peut également remplir la fonction de backdoor. Le trafic, lors du transfert des données entre le logiciel et le serveur de gestion, est crypté.

Le Trojan comprend d’autres fonctions. Par exemple, via la commande socks, il lance sur la machine infectée un serveur proxy ; via la commande bind, il lance un script pour écouter le port ; par la commande bc, il se connecte à un serveur ; par la commande update, il télécharge et installe une nouvelle version ; par la commande rm, il se supprime. Un autre module permet au Trojan de réaliser des fonctionnalités limitées sans effectuer d’injections de code.

PlugIn de sécurité pour WordPress

Kévin FALCOZ, alias 0pc0deFR, chercheur français en sécurité informatique propose un outil fort intéressant permettant de tester la sécurité des plugins WordPress que DataSecuritybreach.fr vous conseille fortement. L’outil disponible sous le repository Bulk Tools permet actuellement de chercher des vulnérabilités de type SQL ou CSRF. Un outil d’audit ingénieux. « Je travaille dessus, souligne à la rédaction de Data Security Breach 0pc0deFR. Je vais le rendre encore plus puissant dans le but de détecter plus de vulnérabilités ». Bref, un excellent projet qui mérite d’être suivi et encouragé. A noter quelques règles Yara, pour les amateurs d’analyses de malwares.

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ?

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ? Il nous aura fallu pas moins de 4 jours pour décortiquer le contenu d’un fichier zip dédié au code malveillant Citadel. 1.9 Go de données diffusées sur certains espaces underground russes.

Un fichier zip comprenant le code source de l’outil pirate Citadel mais aussi des dizaines d’autres outils pirates et malveillants. Nous ne parlons pas de l’analyse technique, qui demande beaucoup trop de ressources, mais uniquement de chaque code source, images, textes, exécutables.

Deux gros dossiers. Le premier avec les codes source de Citadel (source builder plugins). Un seconde dossier, comportant 57 répertoires (ayant eux mêmes des centaines de codes, outils, …) et 53 fichiers rar ou bruts de décoffrage avec autant de la malveillance numérique à revendre.

Un monstre informatique proposant Loader Hook (un keylogguer) ; Zeus 2.0.8.9 ; WinSpy 17 sans parler de mystérieux fichiers textes traitant d’un certain Igor. Sans parler de cet outil qui permet d’envoyer des SMS via Skype, sans parler de ces outils d’OCR capable de retranscrire les textes vues à l’écran ou dans de simples images ; un pack dédié à BitCoin ou encore des exploits pour Windows Seven. A noter aussi une série de ver, des worms (comme Blacj JW, ndlr zataz.com) avec code source et exécutables.

Citadel, WinSpy, Zeus … La fuite du code source de Citadel annonce des jours sombres sur Internet ? L’augmentation des attaques constatées ces derniers jours n’annonce rien de bon cet été !

De faux logiciels antivirus usurpent l’identité des solutions de sécurité G Data

L’utilisation de faux logiciels antivirus pour infecter les ordinateurs, ou faire payer de fausses prestations aux internautes, est une pratique couramment employée par les cybercriminels. Les astuces ne manquent pas pour effrayer l’internaute sur le niveau d’infection supposé de son système, tout en le rassurant sur la qualité de la fausse solution de nettoyage proposée.

Utiliser le nom d’un éditeur d’antivirus connu est une des possibilités. G Data, dont la marque est utilisée dans certains de ces faux logiciels, fait le point sur cette situation et donne quelques conseils aux internautes. Généralement, tout commence par une navigation Internet anodine. Une fenêtre d’alerte apparait sur un site quelconque prévenant l’utilisateur qu’il doit procéder à l’analyse de son ordinateur. S’il valide cette analyse, il est alors entrainé dans une succession de fenêtres de fausses analyses. Elles n’ont d’autres buts que de pousser l’utilisateur à valider l’installation du programme malveillant sur son ordinateur. Un clic de trop et le programme est alors rapidement installé sur le système.

En plus d’infecter le système (afin de pouvoir en prendre le contrôle au besoin), l’autre finalité du concepteur du code malveillant est de faire payer la victime. Pour cela le mode opératoire est toujours plus ou moins similaire : de fausses alertes de sécurité signalent de graves problèmes sur le système. Jusque-là, ce programme a tout juste, lui-même étant la source du problème. Mais pour les corriger, inutile de penser que rien de plus simple : acheter la version payante ! Dans le cas du faux antivirus étudié, et qui usurpe la marque G Data, le terme générique InternetSecurity est utilisé.

Cette appellation, commune à un grand nombre d’éditeurs, est un premier pas pour induire la victime en erreur. L’interface en elle-même n’a graphiquement rien à voir avec les solutions de sécurité G Data, mais les fausses fonctions affichées telles que le scanner ou le pare-feu peuvent tromper l’utilisateur. L’usurpation de marque est par contre notoire dans les propriétés des fichiers. Le concepteur a en effet inséré le copyright et les informations d’identification de fichier utilisés par G Data dans son code malveillant. Ces informations étant reprises par Windows dans sa gestion des programmes, le terme G Data Antivirus 2012 se retrouve donc présent dans la gestion des icônes de la barre des tâches.

Les conseils de datasecuritybreach.fr pour éviter les faux antivirus

– Installer une solution de sécurité intégrant un filtre HTTP.

– Mettre régulièrement à jour ses navigateurs Internet et son système d’exploitation.

– Désactiver le contenu actif du navigateur. Les éléments javascript, ActiveX… sont fréquemment utilisés pour insérer les logiciels malveillants via des portes dérobées.

– Ne jamais accepter un scan en ligne de votre système si vous ne l’avez pas vous-même formellement demandé.

– G Data, comme les principaux grands éditeurs de solutions de sécurité disposent de versions multilingues de leurs logiciels. Si une solution de sécurité s’affiche en anglais sur un système en français, mieux vaut ne pas cliquer.

Cyber-attaque orientée vers le Pakistan à travers de faux documents PDF

Datasecuritybreach.fr a appris d’ESET, pionnier en matière de sécurité proactive depuis 25 ans, la découverte d’une cyber-attaque ciblée qui tente de voler des informations sensibles provenant de différentes organisations, notamment au Pakistan (avec une portée limitée dans le monde).

Au cours de cette investigation, plusieurs pistes ont été découvertes qui indiquent que la menace est d’origine indienne et qu’elle sévit depuis au moins deux ans. Cette attaque ciblée a utilisé un certificat de signatures de code délivré par une société apparemment légitime qui aurait produit des signatures binaires malveillantes et favorisé leur potentiel de propagation. La société est basée à New Delhi et le certificat a été délivré en 2011. Le malware se diffuse à travers des pièces jointes aux e-mails.

« Nous avons identifié plusieurs documents différents qui évoquent plusieurs thèmes susceptibles d’être attractifs pour les bénéficiaires. L’un d’eux concerne les forces armées indiennes. Nous n’avons pas d’informations précises quant aux personnes ou organisations qui ont été plus particulièrement touchées par ces fichiers, mais sur la base de nos enquêtes, nous formulons l’hypothèse que des personnes et des institutions au Pakistan ont été ciblées », a déclaré à Datasecuritybreach.fr Jean-Ian Boutin, chercheur en malware chez ESET. Par exemple, l’un des fichiers PDF frauduleux a été diffusé par une archive auto-extractible appelée « pakistandefencetoindiantopmiltrysecreat.exe », et le système de supervision d’ESET montre que le Pakistan est fortement affecté par cette campagne avec 79 % des détections repérées dans ce pays.

Le premier vecteur de l’infection exploite une vulnérabilité largement utilisée et connue sous le nom CVE-2012-0158. Cette vulnérabilité peut être exploitée par des documents Microsoft ® Office spécialement conçus qui permettent l’exécution de code arbitraire. Les documents ont été transmis par email et le code malveillant s’exécute dès que le document est ouvert, sans que l’utilisateur de l’ordinateur attaqué s’en aperçoive. L’autre vecteur d’infection s’effectue via les fichiers exécutables Windows qui apparaissent comme des documents Word ou PDF diffusés par la messagerie. Dans les deux cas, pour échapper à la suspicion de la victime, de faux documents sont présentés à l’utilisateur lors de l’exécution.

Le malware a volé des données sensibles à partir d’ordinateurs infectés et les a envoyées vers les serveurs des attaquants. Il a utilisé différentes techniques de vols de données, parmi elles un keylogger, réalisant des captures d’écran et envoyant des documents de l’ordinateur infecté vers le serveur de l’attaquant. Fait intéressant, les informations volées à partir d’un ordinateur infecté ont été téléchargées vers le serveur de l’attaquant sans cryptage. « La décision de ne pas utiliser de cryptage est étonnante dans la mesure où cette opération est relativement simple  à utiliser et aurait pu masquer davantage l’opération», ajoute Jean-Ian Boutin.

Une analyse technique complète est disponible sur le site WeLiveSecurity.com – la nouvelle  plate-forme d’ESET dédiée à l’analyse des  cyber-menaces et aux conseils de sécurité.

Noms de détection

C’est une menace multi-partie et multi-vectorielle, dont les noms des menaces attribués par ESET sont les suivants :

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD Trojan

Win32/Spy.Agent.OBF Trojan

Win32/Spy.Agent.OBV Trojan

Win32/Spy.KeyLogger.NZL

Trojan Win32/Spy.KeyLogger.NZN

Trojan Win32/Spy.VB.NOF

Trojan Win32/Spy.VB.NRP

Trojan Win32/TrojanDownloader.Agent.RNT

Trojan Win32/TrojanDownloader.Agent.RNV

Trojan Win32/TrojanDownloader.Agent.RNW

Trojan Win32/VB.NTC

Trojan Win32/VB.NVM

Trojan Win32/VB.NWB

Trojan Win32/VB.QPK

Trojan Win32/VB.QTV

Trojan Win32/VB.QTY

Trojan Win32/Spy.Agent.NVL

Trojan Win32/Spy.Agent.OAZ trojan

Beta Bot : un nouveau robot sur le marché

Le code malveillant pousse l’utilisateur à valider l’UAC pour infecter le système et désinstaller l’antivirus présent. Ce nouveau bot appelé « Beta Bot » est récemment entré sur le marché parallèle. Disponible pour moins de 500 €, Beta Bot est un robot relativement peu cher compte tenu de sa vaste liste de fonctionnalités. Même si la plupart de ces caractéristiques sont assez standards (attaque DDoS, accès à distance, captures de données et autres méthodes de vols d’informations) une capacité particulière a attiré l‘attention du G Data SecurityLabs : « Désactiver l’antivirus » annonce la publicité affichée sur les forums souterrains. Une annonce suivie d’une liste de près de 30 programmes de sécurité censés être désactivables par Beta Bot.

Quelle est la méthode utilisée ?

Lorsqu’il est installé sur un système, Beta Bot cherche une solution de sécurité qu’il connait. S’il la trouve, le robot commence ses attaques en arrêtant les processus, en désactivant des clés de registre ou en désactivant les mises à jour automatiques. Selon le type de produit de sécurité, Beta Bot tente de contourner les pare-feux en injectant certaines routines dans les programmes qui sont habituellement autorisés à passer le pare-feu, comme Internet Explorer.

Contrôle d’accès utilisateur (UAC) – contourner les permissions Sur les systèmes d’exploitation Windows modernes, les autorisations des utilisateurs sont réparties entre standard (faible niveau d‘autorisation) et administrateur (niveau d’autorisation élevé). Contrairement à un administrateur, un utilisateur standard ne peut pas modifier les parties critiques du système. La décision d’élever le niveau de permission d’un processus est proposée à l’utilisateur par une fenêtre de dialogue spécifique. Celui-ci doit alors valider ou non cette permission. Beta Bot utilise cette boite de dialogue pour gagner des droits élevés sur le système. Bien que beaucoup de codes malveillants se contentent de droits utilisateurs limités pour attaquer le système, Beta Bot doit escalader les privilèges utilisateurs pour s’attaquer aux logiciels de sécurité.  Pour réussir dans cette démarche, la validation de l’utilisateur est nécessaire. Deux astuces sont utilisées par Beta Bot pour convaincre l’utilisateur de valider cette élévation de droits.

Dès que le code malveillant est exécuté sur le système, il affiche une première fenêtre dans la langue du système (10 langues, dont le français, sont disponibles) signifiant un problème de disque dur. Ce faux message critique joue sur la peur de perdre des données et invite l’utilisateur à réparer les dossiers endommagés. L’utilisateur doit choisir l’une des deux options proposées (« Restaurer les fichiers » ou  « Restaurer les fichiers et réaliser une vérification de disque »). C’est alors que le contrôle d’accès utilisateur (UAC) est lancé. C’est à l’autre astuce de prendre le relais : Beta Bot n’est pas directement utilisé pour lancer le processus UAC. C’est le programme cmd.exe, autrement dit l’invite de commande Windows, qui est utilisée pour démarrer le code Beta Bot. L’utilisateur est donc invité à élever les autorisations d’un programme Windows, ce qui est habituellement autorisé par la majorité des utilisateurs.

VirusKeeper, l’antivirus made in France

VirusKeeper est le seul antivirus 100% made in France. Il a été conçu en 2006 par la société d’édition AxBx, implantée à Villeneuve d’Ascq dans le Nord de la France. Depuis plus de 14 ans, la société AxBx conçoit, développe et commercialise des logiciels innovants dans le domaine des utilitaires systèmes (optimisation du système, sauvegarde, diagnostic, compression de données) et de la sécurité informatique (antivirus, pare-feu, protection USB, ultra sécurité, …) Le logiciel antivirus VirusKeeper repose sur un procédé de détection par analyse comportementale. Les virus et autres programmes malveillants ne sont pas détectés par signature mais par leur comportement. Ce procédé permet à VirusKeeper de détecter rapidement les épidémies de nouveaux virus et malwares qui ne sont pas encore référencés.

Aujourd’hui, avec la généralisation des connexions internet haut débit, tous les ordinateurs sont connectés en permanence et les informations transitent à grande vitesse. Les épidémies de nouveaux virus et de malwares se propagent très rapidement et au niveau mondial. Le procédé classique de détection par signature montre aujourd’hui ses limites. D’un part, ce procédé a toujours « un train de retard » puisqu’il faut qu’au moins un ordinateur soit infecté pour que la signature du virus soit identifiée puis intégrée dans les mises à jour. D’autre part, le nombre de virus et de malwares est tellement élevé que les bases de signatures virales deviennent gigantesques. Les temps de scan sont donc de plus en plus long et la consommation mémoire de plus en plus importante. Le procédé de signature date du début des années 90 et il est aujourd’hui dépassée. Pour fêter le 7ème anniversaire de VirusKeeper, AxBx propose la toute dernière version de son antivirus au prix de 19.90 Euros TTC pour 3 postes, soit une remise de 50% sur le prix public. Une version d’essai gratuite peut également être téléchargée sur viruskeeper.com

Ministère du Travail piraté par des hackers Chinois

Le Ministère du Travail américain infiltré. Des traces de hackers Chinois retrouvés. Analyse ! DataSecurityBreach.fr vient d’être alerté par Jaime Blasco, directeur du labs d’AlienVault au sujet de plusieurs infiltrations web d’envergure qui semblent être signés par des hackers Chinois. Dans les « cibles », le site du ministère du Travail américain. Les pirates y ont caché un code malveillant.

L’idée des intrus, installer une redirection sur un programme espion. Au cours des dernières heures, Data Security Breach a pu identifier plusieurs autres sites web, moins importants que cet espace ministériel. Les pirates ont profité du site sem.dol.gov pour, ensuite, piéger dol.gov, dol.ns01.us et statse.webtrendslive.com. Lors de la visite de « SEM », l’internaute se retrouvait à lire, via son navigateur, le fichier textsize.js. Un JavaScript qui contient le code suivant malveillant. Le serveur « malicieux » est exécuté via un fichier baptisé xss.php caché sur NS01.

Le script pirate recueille beaucoup d’informations du système et il télécharge les informations recueillies sur le serveur malveillant. L’attaque est intéressante car dans les commandes de l’outil pirate, un détecteur de Flash fonctionnant sur l’ordinateur du visiteur, ainsi que des tueurs d’antivirus. Le code malveillant élimine l’antivirus Bitdefender. Une fonction détermine si BitDefender est exécuté sur le système et le désactive. Même sanction pour Avast antivirus et AntiVir. Pour ce dernier cas, le code pirate cherche la présence de l’extension fonctionnant sou Chrome. Le JavaScript cherche aussi les antivirus : Avira, BitDefender 2013, McAfee entreprise, avg2012, Eset nod32, Dr.Web, Mse, Sophos, f-secure 2011, Kaspersky 2012/2013 ainsi que les versions de Microsoft Office, Adobe Reader installés.

Une fois que toutes les informations ont été collectées, il communique les données via le fichier js.php (caché sur NS01). Cette attaque ressemble à celle lancée, il y a quelques semaines, à l’encontre de plusieurs ONG. La faille exploitée dans le départ de cette attaque a été fixée en début d’année (CVE-2012-4792). Elle avait fait surface en décembre 2012. La charge utile lancée dans le piratage du Ministère Américain est cachée dans le fichier bookmark.png sur NS01.

Une fois dans le pc du visiteur, le fichier espion se cache dans la machine sous le nom de conime.exe. Il se connecte à un C&C sur microsoftUpdate.ns1.name pointant vers un serveur DNS Google 8.8.8.8. Il pointait, quelques temps auparavant sur 173.254.229.176. L’attaque, du moins le code pirate Deep Panda, est connu pour être exploité par un chinois (Mr. Sun, CardMagic, Edward Sun, …). Les premières traces datent de 2007.

Pour se protéger de ce type d’attaque, data security breach vous conseille de mettre à jour l’ensemble de vos outils web (Flash, PDF, navigateur, antivirus) et bloquer JavaScript.