Archives par mot-clé : malwares

Les malwares les plus actifs en France

Le Global Threat Index pour le mois de novembre 2018 affiche les 10 malwares les plus actifs en France. Toujours en tête CoinHive, le faiseur de cryptomonnaie.

Bien que les cryptominers continuent de dominer le classement, ce rapport révèle que le botnet Emotet a atteint pour la première fois le top 10 du Global Threat Index. En effet, au cours du mois de novembre, les chercheurs de Check Point ont découvert plusieurs campagnes visant à le diffuser. Emotet a été utilisé comme cheval de Troie bancaire, mais son utilisation a récemment changé : il permet désormais aux hackers de déployer d’autres malwares.

Sa diffusion par le biais de courriels contenant des objets, liens et pièces jointes sur le thème de Thanksgiving a aussi vu sa prévalence augmenter de 25 % par rapport au mois précédent. Comme mentionné, les logiciels malveillants de cryptomining continuent de dominer la tête du classement. Coinhive est ainsi le malware le plus répandu au monde depuis un an. Au cours des 12 derniers mois, on estime en effet que 24% des entreprises mondiales ont été touchées par ce cryptominer.

Voici le Top 10 des malwares les plus actifs en France au mois de novembre

Analyses des Cyber-menaces 2017

Nouveau rapport relatif à l’analyse des cyber-menaces enregistrées au cours du second trimestre 2017. Malwares, ransomwares, mobiles en pleine forme !

Le nouveau rapport dédié aux cyber-menaces baptisé McAfee Labs Threats Report : September 2017, revient sur les récentes attaques WannaCry et NotPetya, met en lumière la puissance de frappe du cheval de Troie Faceliker et révèle les secteurs d’activités les plus ciblés par les pirates informatiques. On y découvre que les campagnes de ransomware [WannaCry et NotPetya] n’ont pas tant échoué que cela. Raj Samani, Chief Scientist chez McAfee explique qu’il « est tout aussi probable que leur motivation première [les diffuseurs des deux ransomwares cités] n’ait pas été l’argent, mais de perturber. Auquel cas, les deux campagnes ont été incroyablement efficaces. Nous vivons désormais dans un monde où chaque motif derrière un ransomware n’est plus simplement de gagner de l’argent, mais dans l’univers du pseudo-ransomware. »

Au deuxième trimestre 2017, Facebook a émergé comme un vecteur d’attaques notable et lieu de cyber-menaces. Faceliker a contribué, à hauteur de 8,9 %, aux 52 millions d’échantillons de logiciels malveillants nouvellement détectés. Ce cheval de Troie infecte le navigateur d’un utilisateur lorsqu’il visite un site malveillant ou compromis. Il détourne alors les « j’aime » et favorise le contenu à l’insu de l’internaute. A grande échelle, le système peut générer d’importants revenus pour les malfaiteurs derrière Faceliker. Les clics détournés pouvant faire apparaître un contenu (article, vidéo, site Web ou annonce) plus populaire/fiable qu’il ne l’est vraiment.

Le secteur public a été le plus ciblé au cours du second trimestre 2017

L’analyse trimestrielle révèle que le secteur public a été le plus ciblé au cours du second trimestre 2017, et plus particulièrement en Amérique du Nord depuis un an et demi. Le rapport révèle également que le domaine de la santé est demeuré parmi les plus visés avec une hausse de 26 % enregistrée sur le deuxième trimestre. Cette tendance a commencé au premier trimestre 2016 lorsque de nombreux hôpitaux ont subi des attaques par ransomware. Ces dernières ont paralysé plusieurs services et ont contraint, dans certains cas, les hôpitaux à transférer des patients et à retarder des opérations. Si les fuites de données dans le domaine de la santé sont aussi probablement le résultat de diffusions accidentelles et d’erreurs humaines, le secteur continue d’enregistrer un nombre croissant de cyberattaques.

Les principaux faits marquants en matière de cyber-menaces

311 incidents de sécurité rendus publiques, soit une augmentation de 3% par rapport au trimestre précédent. Une grande majorité (78%) a eu lieu sur le continent américain. Cibles verticales. Les secteurs publics, de la santé et de l’éducation représentaient plus de 50% des incidents répertoriés. En Asie, c’est davantage le secteur public qui est ciblé, suivi par les domaines des services financiers et des technologies. En Europe, c’est le secteur public qui remporte la première place, suivi des domaines du divertissement, de la santé, des finances et des technologies.

Le détournement de compte fait figure du premier vecteur d’attaque le plus divulgué. Il est suivi des DDoS, des fuites de données, des attaques ciblées, des malwares et injections SQL. Le volume de nouveaux échantillons de logiciels malveillants découvert au second trimestre a atteint les 52 millions. Une augmentation de 67%. Une telle hausse est en partie due à une croissance significative des programmateurs de logiciels malveillants et de Faceliker.

Sur les 12 derniers mois, le nombre total d’échantillons de malwares a croit de 23 % plafonnant à près de 723 millions d’échantillons. Les nouveaux échantillons de ransomware ont encore fortement augmenté ce trimestre (+54%). Leur volume total s’est accru de 47% au cours des 4 derniers trimestres pour atteindre 10,7 millions d’échantillons. Depuis un an, le nombre de malware mobile augmente de 61% et représente 18,4 millions d’échantillons. Les appareils Apple ne sont pas oubliés. Les malwares ciblant Mac OS sont en hausse de 4%, avec 27 000 nouveaux échantillons.

Les cyber-menaces basées sur des scripts

Les chercheurs révèlent également l’augmentation notable de malware basé sur des scripts depuis ces deux dernières années. Le langage de script Microsoft est utilisé pour automatiser les tâches d’administration telles que l’exécution des commandes en arrière-plan, la vérification des services installés sur le système, la fin des processus et la gestion des configurations des systèmes et serveurs. Les scripts malveillants PowerShell arrivent habituellement sur le poste d’un utilisateur par un courrier indésirable, en s’appuyant sur l’ingénierie sociale plutôt que sur des vulnérabilités logicielles. Ils tirent ensuite partie des capacités des scripts pour compromettre le système. Cette tendance comprend également l’armement de JavaScript, VBScript et d’autres types de modules non exécutables utilisant .doc, PDF, .xls, HTML.

10 mythes et idées reçues à oublier au sujet des malwares

Les malwares font « jazzer » comme le disent nos amis Quebecois. Mais au fait, c’est quoi un malware ? Envie d’avoir quelques conseils afin de pouvoir faire la différence entre un Blue Screen of Death causé par un matériel défectueux et un vrai malware infectant vos équipements ? iTrust revient  sur quelques points qui vous y aideront, en décryptant les idées reçues et mythes qui gravitent autour des malwares depuis quelques années.

  • Mythe #1: Les cyberattaques sont récentes, peu nombreuses, massives et font toujours la une de l’actualité

Vous avez sûrement déjà entendu parler des cyberattaques causées par Petya, Wannacry ou plus récemment des incidents de sécurité informatique connus par Equifax. En seulement un an, ces cyberattaques massives ont fait des millions de victimes à travers le monde (notamment au sein de grandes entreprises), faisant les gros titres de l’actualité.

Cependant, si nous n’entendons pas parler d’autres attaques, cela ne signifie pas forcément qu’elles n’existent pas : des millions de tentatives (ou réussites) de piratage informatique visent les petites, moyennes et grandes entreprises au quotidien, utilisant des procédés qui passent du petit malware encodeur au vicieux malware effaceur.

Aussi, il est souvent dit que chaque cyberattaque menée est unique en son genre et qu’elle est composée d’une manière complexe et différente à chaque fois : s’il est vrai que ces attaques sont de plus en plus sophistiquées, il est à souligner que la plupart sont basées sur les mêmes procédés et changent peu dans leur composition.

  • Mythe #2: Les petites et moyennes entreprises ne sont pas une cible de choix pour les hackers  

Vous pensez que votre entreprise est bien trop petite pour attirer l’attention des hackers ? Grosse erreur.

Même si vous ne constituez pas la cible la plus lucrative aux yeux des hackers, votre entreprise n’en reste pas moins une cible de choix : elle constitue pour eux une cible facile à atteindre en peu de temps.  En effet, les petites et moyennes entreprises ont souvent des mesures de sécurité moins développées (voire inexistantes), qui permettent ainsi aux hackers de récupérer plus facilement nombre de données.

  • Mythe #3: Vous saurez immédiatement si votre ordinateur est infecté

Si certains types de malwares sont visibles au premier coup d’œil (comme par exemple les rançongiciels, qui bloquent tout accès à votre équipement ou encore certains malwares ralentissant de manière visible le fonctionnement de votre ordinateur), la plupart d’entre eux fonctionnent sans même que vous vous en rendiez compte, restant cachés au sein de vos équipements parfois durant des années.

La seule façon de vraiment savoir si votre ordinateur est infecté est de dépasser le stade d’une protection minimale de vos appareils en utilisant des solutions de cyber sécurité dynamiques, et non plus seulement statiques (type antivirus). En effet, les antivirus vous protègent seulement des attaques qu’ils ont déjà été recensées auparavant : mais qu’en est-il si un malware jusqu’alors inconnu s’infiltre dans vos équipements ? C’est alors que les solutions de sécurité informatique dites « dynamiques » entrent en jeu, sous la forme d’analyses de comportement utilisateurs. Pour en savoir plus, n’hésitez pas à lire notre article sur la détection d’analyses comportementales, ici.

D’autres mythes à découvrir sur le blog de iTrust.

La mise à jours d’IOS 9.3.5 d’Apple ne permet pas d’éradiquer PEGASUS d’un IPhone déjà infecté

A la fin du mois d’août, Apple avait annoncé une mise à jour 9.3.5 d’IOS pour éliminer de son système IOS le logiciel espion PEGASUS qui prend d’assaut ses smartphone avec trois vulnérabilités « zero-day » appelées TRIDENT.

Dans un article publié récemment sur son blog aux Etats Unis, la société Lookout, en partenariat avec Citizen Lab, alerté Apple des dangers représentés par l’intrusion de Pegasus. Il a été constaté que la mise à jour des smartphones ne permet pas d’éliminer une infection de PEGASUS existante sur un appareil donné. La mise à jour de IOS 9.3.5 permet de colmater la faille et de protéger les appareils de toute attaque future mais elle ne permet aucune détection d’infection potentielle existante.

En plus de la mise à jour d’IOS 9.3.5 , Lookout recommande des étapes clés afin de pouvoir mieux protéger les I-Phones d’une attaque PEGASUS éventuelle : Installer et utiliser une solution de détection de malwares et d’infection, afin de pouvoir déterminer si votre appareil a été attaqué par PEGASUS ou est infecté d’un autre malware. C’est le meilleur moyen de pouvoir détecter un infection ou toute nouvelle attaque potentielle.

Pour les entreprises, Lookout rappelle que PEGASUS représente une attaque à probabilité réduite mais à dangers extrêmement élevés. Toute attaque éventuelle ciblerait probablement en premier les postes à responsabilité clés tels que le Président et les membres du CODIR, le DAF, Le Directeur des RH, etc. L’équipe IT se doit donc de vérifier ces portables en priorité.

Ne faire aucune sauvegarde d’un appareil infecté. Bien qu’il semble, en cas d’attaque, essentiel de faire une sauvegarde des données, apps et photos du portable infecté il faut malheureusement éviter car cela peut activer des mécanismes d’autodestruction de PEGASUS qui détruirait sur son passage le portable en question.

PEGASUS est en effet programmé pour s’auto détruire s’il « pense » qu’il a été identifié. De plus, une sauvegarde permettrait en plus de préserver cet état d’infection et réinstaller la donnée dans un nouvel appareil pourrait faciliter en fait une infection PEGASUS du nouveau smartphone.

Malware : Steam Stealer cible des milliers de comptes de joueurs en ligne

Le secteur du jeu en ligne, qui représente un marché estimé à plus de 100 milliards de dollars, n’est pas seulement juteux pour les développeurs et les fabricants. Il l’est aussi pour les cybercriminels. « Steam Stealer » fait partie de ces malwares en constante évolution, responsable du piratage de comptes utilisateurs sur la célèbre plate-forme de jeu Steam. Ayant pour objectif de dérober des objets dans les jeux en ligne et des identifiants de comptes afin de les revendre ensuite au marché noir, ce malware est distribué à des cybercriminels selon le modèle MaaS (Malware as a Service) avec des tarifs extrêmement bas débutant à 30 dollars.

Steam est aujourd’hui l’une des plates-formes de divertissement multi-systèmes d’exploitation parmi les plus populaires. Exploitée par Valve, elle compte plus de 100 millions d’utilisateurs inscrits à travers le monde et propose en téléchargement plusieurs milliers de jeux disponibles. Son succès en fait donc une cible de choix pour les groupes de cyber escrocs, qui peuvent revendre les identifiants d’utilisateurs Steam pour 15 dollars pièce au marché noir. Selon les chiffres officiels récemment publiés par la plate-forme, 77 000 comptes Steam sont piratés et pillés tous les mois.

Un nouveau type de malware, connu sous le nom de « Steam Stealer », est le principal suspect du piratage de nombreux comptes utilisateurs de la plate-forme phare de Valve. Tous deux pensent que ce malware a été développé à l’origine par des cybercriminels russophones car ils ont découvert, sur plusieurs forums clandestins consacrés aux programmes malveillants, de nombreux indices linguistiques qui le laissent penser.

Steam Stealer opère selon le modèle MaaS (Malware as a Service) : il est proposé à la vente dans différentes versions, bénéficiant de fonctionnalités distinctes, de mises à jour gratuites, de manuels d’utilisation, de conseils personnalisés pour la distribution, etc. Alors que le prix de base des « solutions » pour ces types de campagnes malveillantes est habituellement de l’ordre de 500 dollars, les programmes « Steam Stealer » sont ridiculement bon marché, pouvant couramment s’acheter pour à peine 30 dollars, ce qui les rend extrêmement attrayants pour les cybercriminels en herbe du monde entier.

La propagation des malwares Steam Stealer passe principalement, mais pas exclusivement, par des sites Web contrefaits qui les diffusent ou encore par des techniques d’ingénierie sociale consistant à envoyer directement des messages aux victimes.

Une fois le malware implanté dans le système d’un utilisateur, il subtilise l’ensemble des fichiers de configuration de Steam. Il localise ensuite le fichier spécifique Steam KeyValue qui contient les identifiants de l’utilisateur, ainsi que les informations relatives à sa session. Forts de ces informations, les cybercriminels peuvent alors prendre le contrôle de son compte.

Au départ, le piratage de comptes de joueurs était un moyen simple pour les scripts kiddies de faire rapidement des profits en les revendant sur des forums occultes. Aujourd’hui, cependant, les criminels ont réalisé la véritable valeur marchante de ces comptes. Leurs opportunités résident désormais dans le vol et la vente d’objets acquis par les utilisateurs dans les jeux et pouvant valoir des milliers de dollars. Les cyberbandes organisées n’entendent tout simplement pas laisser passer un tel pactole.

Les experts de Kaspersky Lab ont dénombré près de 1 200 échantillons de malwares Steam Stealer différents, responsables d’attaques contre des dizaines de milliers d’utilisateurs à travers le monde. C’est particulièrement le cas en Russie et dans d’autres pays d’Europe de l’Est où la plate-forme Steam est très fréquentée.

La communauté des joueurs est devenue une cible très prisée des cybercriminels. Une évolution claire des techniques d’infection et de propagation ainsi que la complexité croissante des malwares eux-mêmes ont conduit à une recrudescence de ce type d’activité. Alors que les consoles sont toujours plus puissantes et que l’Internet des objets est à notre porte, ce scénario va se développer et gagner en complexité. Les développeurs ne doivent pas envisager la sécurité a posteriori mais l’intégrer en amont dans le processus de développement des jeux. « Nous sommes convaincus qu’une coopération avec l’ensemble des acteurs du secteur peut contribuer à améliorer cette situation« , sougline Santiago Pontiroli de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Pour s’en prémunir, les utilisateurs ont besoin d’une solution de sécurité à jour qui leur permette de s’adonner à leurs jeux favoris sans craindre de voir leur compte piraté. La plupart des produits de sécurité offrent un « mode jeu », de sorte que les joueurs ne sont pas dérangés par leurs notifications avant la fin de la partie en cours. Dans le but de protéger les comptes de ses propres utilisateurs, Steam a également pris plusieurs mesures de sécurité destinées à contrer les mécanismes de piratage.

Malwares : les préjudices financiers augmentent

Une étude réalisée par Kaspersky Lab et B2B International révèle que près de la moitié des internautes (45 %) ont été confrontés à des logiciels malveillants l’an passé et que, dans la plupart des cas (81 %), cela a eu des conséquences particulièrement négatives pour ces utilisateurs et leurs équipements.

Le malware le plus fréquent touche principalement les ordinateurs Windows. 83 % des utilisateurs déclarent en avoir été victimes au cours des 12 derniers mois sur ordinateurs Windows ; 13 % sous Android  et 6 % sous Mac OS X font état d’infections sur leurs équipements. Des chiffres tirés des personnes interrogées. Ils peuvent donc changer selon les régions, les interviewés, …

Quels sont les différents types d’infections ?

12 % des personnes interrogées pensent avoir été contaminées après une visite sur un site Web suspect ; tandis que 8 % évoquent l’utilisation d’une clé USB (ou d’un autre périphérique ne leur appartenant pas) ou encore l’installation d’une application malveillante se faisant passer pour un programme légitime ; 7 % d’entre elles estiment qu’elles ont été infectées après l’ouverture d’une pièce jointe ; les plus nombreuses (13 %) n’étaient cependant pas en mesure d’expliquer comment le malware s’était retrouvé sur leur machine.

4 infections sur 5 sont à l’origine de problèmes informatiques pénalisants pour leurs victimes. Dans 35 % des cas, les utilisateurs ont constaté un ralentissement de leur ordinateur, 30 % de la publicité agressive (leur navigateur étant par exemple redirigé vers des sites Web indésirables) et 20 % la présence de programmes non sollicités sur leur machine.

Parmi les effets les plus néfastes d’une infection figurent des modifications des paramètres du navigateur ou du système d’exploitation à l’insu de l’utilisateur (17 %), la perte (10 %) ou le vol (8 %) de données personnelles, des publications ou commentaires non autorisés sur les réseaux sociaux (9 %) et le piratage de leur webcam (6 %).

Les préjudices financiers au cœur des attaques de malwares

  • 11 % des participants à l’enquête ont déclaré avoir eu à verser une rançon à des cybercriminels pour débloquer un appareil ou décrypter des fichiers personnels
  • et 6 % après une infection par un ransomware.
  • Globalement, un tiers (33 %) d’entre eux ont subi un préjudice financier à cause d’un malware.

En plus d’avoir à verser une rançon, les victimes ont dû effectuer des dépenses pour la restauration d’un équipement ou de données, pour l’achat d’un logiciel de nettoyage, voire pour remplacer leur matériel. En cas de perte financière, le coût moyen d’une attaque s’élève à 160 dollars.

« Les coûts et les effets néfastes d’une infection par malware peuvent être évités avec un peu de prudence. Par exemple, ne pas insérer de clé USB non vérifiée, n’utiliser que les boutiques d’applications officielles, installer les mises à jour du système d’exploitation et des applications, analyser les fichiers avec une solution de sécurité avant de les ouvrir. La capacité de prévoir les problèmes potentiels et de prendre des précautions est la clé de la sécurité », explique à DataSecurityBreach.fr Tanguy de Coatpont, Directeur Général de Kaspersky Lab France et Afrique du Nord.

Les menaces sur Android se rapprochent des attaques sur PC

Les malwares Android passent du ‘simple’ Trojan par SMS au ransomware. DataSecurityBreach.fr a pu constater selon le rapport sur l’évolution des malwares Android publié par Bitdefender, que de nouvelles e-menaces plus sophistiquées qu’auparavant sont apparues au premier semestre 2013. En effet, si les précédents rapports faisaient état d’une augmentation des Trojans qui envoient des SMS surtaxés à l’insu des utilisateurs de Smartphones, le nombre de ransomwares pour Android a augmenté durant les six premiers mois de l’année, ciblant majoritairement l’Asie. Bien que le Trojan SMS, à l’instar de la famille de Trojans – Android.Trojan.FakeInst, représente 72,51% des malwares Android détectés au niveau mondial, ce rapport confirme une tendance de fond : les menaces sur mobiles se rapprochent de celles bien connues dans le monde des PC, à l’exemple du malware bancaire Zeus qui s’est répandu sous l’appellation ZitMo dans sa version mobile.

Le malware bancaire ZitMo sévit majoritairement en Chine Sur le premier semestre 2013, le rapport d’analyse de Bitdefender montre que les utilisateurs Android qui achètent régulièrement en ligne ont pu être touchés par le Trojan bancaire ZitMo. Si les utilisateurs chinois ont été majoritairement victimes de ce malware (44,65 %), l’Allemagne apparaît aussi comme une cible privilégiée en arrivant en tête des pays européens (14,47 %).

ZitMo Le malware bancaire a pour objectif principal de détourner les transactions réalisées en ligne. Sur Android, ces malwares sont installés sur l’appareil par l’utilisateur en se faisant passer soit pour une application sécurisée, soit pour une mise à jour du certificat de sécurité à télécharger à la suite d’un achat en ligne. DataSecurityBreach vous rappelle que ZitMo reçoit des instructions d’un serveur de commande et de contrôle (C&C) et peut transmettre tous les messages SMS reçus. Cela est particulièrement intéressant pour les hackers puisqu’ils peuvent ainsi recevoir le numéro d’authentification bancaire mTAN (mobile Transaction Authentification Number) aussitôt que l’utilisateur initie une transaction. Grâce au Trojan bancaire Zeus déployé sur le PC, et son équivalent sur mobiles ZitMo qui intercepte les SMS avec le code mTAN, les cybercriminels peuvent ainsi prendre le contrôle total sur la transaction bancaire. Le Trojan ZitMo est également exploité par les cybers escrocs pour dérober des données personnelles, au même titre que d’autres familles de malwares Android, et parfois même les adwares qui peuvent sembler plus inoffensifs de prime abord.

Augmentation du nombre de ransomware pour Android

Bitdefender a également analysé la propagation de la famille de malwares FakeAV qui comprend entre autres le nouveau ransomware Android. FakeAV.C. ainsi que le Trojan Android.FakeAV.B dont le but était de voler des données personnelles ou sensibles. L’analyse révèle que l’Inde (32,70 %) et l’Indonésie (15,90 %) sont les deux pays les plus ciblés par cette famille de ransomwares, devant la Malaisie (6,96 %) et la Thaïlande (4,68 %). L’Europe est encore relativement épargnée par ce type de ransomware pour Android pour le moment. Cela s’explique par le fait que les utilisateurs européens ne téléchargent pas encore autant d’applications à partir de plates-formes non officielles, autre que Google Play.

FakeAV

Découvert en Asie, le nouveau malware Android. FakeAV.C, se comporte à peu près de la même façon qu’un ransomware sur PC. Déguisé en solution antimalware, incitant l’utilisateur à le télécharger de son plein gré, il bloque la machine sur laquelle il est installé. L’utilisateur piégé est ensuite sommé de payer une somme d’argent s’il veut voir les fonctionnalités de son appareil de nouveau accessibles. Le niveau accru de sophistication et la similitude de ce Cheval de Troie avec un ransomware pour PC pourraient suggérer que les codeurs de malwares Android se lancent sur ce « marché » en pleine croissance. La reproduction des comportements de malwares PC sur Android n’est pas une nouveauté puisque déjà observée dans le passé avec les adwares, qui ont gagné en popularité et se sont développés sur les OS mobiles. A noter que la famille Android.Adware.Plankton, reste la famille d’adwares la plus active au niveau global avec 53,34 % de détections.

Adwares

Le manque de politique de sécurité encadrant le BYOD, qui permet aux salariés d’accéder aux données confidentielles de l’entreprise via leurs appareils personnels, et les risques pris par les utilisateurs peu attentifs et souvent ignorants des risques de sécurité, favorisent activement le travail des cybercriminels. Ces derniers ont alors toutes les cartes en main pour exploiter ces vulnérabilités et pouvoir s’infiltrer et prendre le contrôle de façon ciblée de nombreuses ressources dans une société. Au vu des ces nouveaux vecteurs d’attaques et de la prolifération de nouveaux types d’e-menaces, la sécurité mobile sur Android n’est plus facultative mais obligatoire.