Archives par mot-clé : virus

Une nouvelle application nuisible pour Android toutes les 22 secondes

Android a pris l’ascendant dans le secteur du mobile. Selon l’institut Gartner, environ 75 % de tous les smartphones achetés dans le monde au cours du premier trimestre 2013 sont équipés d’Android. Rien d’étonnant alors que les cybercriminels se focalisent sur cette plateforme. Durant le seul mois de mai, Datasecuritybreach.fr a appris que le G Data Security Labs a dénombré environ 124.000 nouvelles applications malveillantes ciblant le système d’exploitation de Google, soit en moyenne une application toutes les 22 secondes. Leurs auteurs visent principalement à voler des données personnelles, envoyer des SMS ou réaliser des appels surtaxés.

« Les codes malveillants sur mobile ont rapidement évolué en une entreprise lucrative pour les cybercriminels. Les auteurs utilisent principalement des chevaux de Troie pour agir, car ils peuvent être déployés de multiples façons. Ces codes nuisibles permettent non seulement le vol de données personnelles, mais aussi la fraude en utilisant de coûteux services surtaxés », explique à Data Security Breach Eddy Willems, Security Evangelist chez G Data.

État de la menace
Durant le seul mois de mai, 124 255 applications malveillantes. 51 698 ont été référencées comme étant des applications indésirables (PUP ou Potentially Unwanted Program), autrement dit des programmes non spécifiquement dangereux mais qui installent des publicités ou perturbent la navigation Internet de l‘utilisateur. 72,527 applications ont quant à elles été identifiées et classées en tant qu’applications infectées. Autrement dit des programmes dangereux dont le but est de voler des données ou de prendre le contrôle de l’appareil. En moyenne, toute catégorie confondue, un danger touchant la plateforme Android est apparu toutes les 22 secondes durant le mois de mai.

Cyber-attaque orientée vers le Pakistan à travers de faux documents PDF

Datasecuritybreach.fr a appris d’ESET, pionnier en matière de sécurité proactive depuis 25 ans, la découverte d’une cyber-attaque ciblée qui tente de voler des informations sensibles provenant de différentes organisations, notamment au Pakistan (avec une portée limitée dans le monde).

Au cours de cette investigation, plusieurs pistes ont été découvertes qui indiquent que la menace est d’origine indienne et qu’elle sévit depuis au moins deux ans. Cette attaque ciblée a utilisé un certificat de signatures de code délivré par une société apparemment légitime qui aurait produit des signatures binaires malveillantes et favorisé leur potentiel de propagation. La société est basée à New Delhi et le certificat a été délivré en 2011. Le malware se diffuse à travers des pièces jointes aux e-mails.

« Nous avons identifié plusieurs documents différents qui évoquent plusieurs thèmes susceptibles d’être attractifs pour les bénéficiaires. L’un d’eux concerne les forces armées indiennes. Nous n’avons pas d’informations précises quant aux personnes ou organisations qui ont été plus particulièrement touchées par ces fichiers, mais sur la base de nos enquêtes, nous formulons l’hypothèse que des personnes et des institutions au Pakistan ont été ciblées », a déclaré à Datasecuritybreach.fr Jean-Ian Boutin, chercheur en malware chez ESET. Par exemple, l’un des fichiers PDF frauduleux a été diffusé par une archive auto-extractible appelée « pakistandefencetoindiantopmiltrysecreat.exe », et le système de supervision d’ESET montre que le Pakistan est fortement affecté par cette campagne avec 79 % des détections repérées dans ce pays.

Le premier vecteur de l’infection exploite une vulnérabilité largement utilisée et connue sous le nom CVE-2012-0158. Cette vulnérabilité peut être exploitée par des documents Microsoft ® Office spécialement conçus qui permettent l’exécution de code arbitraire. Les documents ont été transmis par email et le code malveillant s’exécute dès que le document est ouvert, sans que l’utilisateur de l’ordinateur attaqué s’en aperçoive. L’autre vecteur d’infection s’effectue via les fichiers exécutables Windows qui apparaissent comme des documents Word ou PDF diffusés par la messagerie. Dans les deux cas, pour échapper à la suspicion de la victime, de faux documents sont présentés à l’utilisateur lors de l’exécution.

Le malware a volé des données sensibles à partir d’ordinateurs infectés et les a envoyées vers les serveurs des attaquants. Il a utilisé différentes techniques de vols de données, parmi elles un keylogger, réalisant des captures d’écran et envoyant des documents de l’ordinateur infecté vers le serveur de l’attaquant. Fait intéressant, les informations volées à partir d’un ordinateur infecté ont été téléchargées vers le serveur de l’attaquant sans cryptage. « La décision de ne pas utiliser de cryptage est étonnante dans la mesure où cette opération est relativement simple  à utiliser et aurait pu masquer davantage l’opération», ajoute Jean-Ian Boutin.

Une analyse technique complète est disponible sur le site WeLiveSecurity.com – la nouvelle  plate-forme d’ESET dédiée à l’analyse des  cyber-menaces et aux conseils de sécurité.

Noms de détection

C’est une menace multi-partie et multi-vectorielle, dont les noms des menaces attribués par ESET sont les suivants :

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD Trojan

Win32/Spy.Agent.OBF Trojan

Win32/Spy.Agent.OBV Trojan

Win32/Spy.KeyLogger.NZL

Trojan Win32/Spy.KeyLogger.NZN

Trojan Win32/Spy.VB.NOF

Trojan Win32/Spy.VB.NRP

Trojan Win32/TrojanDownloader.Agent.RNT

Trojan Win32/TrojanDownloader.Agent.RNV

Trojan Win32/TrojanDownloader.Agent.RNW

Trojan Win32/VB.NTC

Trojan Win32/VB.NVM

Trojan Win32/VB.NWB

Trojan Win32/VB.QPK

Trojan Win32/VB.QTV

Trojan Win32/VB.QTY

Trojan Win32/Spy.Agent.NVL

Trojan Win32/Spy.Agent.OAZ trojan

Ministère du Travail piraté par des hackers Chinois

Le Ministère du Travail américain infiltré. Des traces de hackers Chinois retrouvés. Analyse ! DataSecurityBreach.fr vient d’être alerté par Jaime Blasco, directeur du labs d’AlienVault au sujet de plusieurs infiltrations web d’envergure qui semblent être signés par des hackers Chinois. Dans les « cibles », le site du ministère du Travail américain. Les pirates y ont caché un code malveillant.

L’idée des intrus, installer une redirection sur un programme espion. Au cours des dernières heures, Data Security Breach a pu identifier plusieurs autres sites web, moins importants que cet espace ministériel. Les pirates ont profité du site sem.dol.gov pour, ensuite, piéger dol.gov, dol.ns01.us et statse.webtrendslive.com. Lors de la visite de « SEM », l’internaute se retrouvait à lire, via son navigateur, le fichier textsize.js. Un JavaScript qui contient le code suivant malveillant. Le serveur « malicieux » est exécuté via un fichier baptisé xss.php caché sur NS01.

Le script pirate recueille beaucoup d’informations du système et il télécharge les informations recueillies sur le serveur malveillant. L’attaque est intéressante car dans les commandes de l’outil pirate, un détecteur de Flash fonctionnant sur l’ordinateur du visiteur, ainsi que des tueurs d’antivirus. Le code malveillant élimine l’antivirus Bitdefender. Une fonction détermine si BitDefender est exécuté sur le système et le désactive. Même sanction pour Avast antivirus et AntiVir. Pour ce dernier cas, le code pirate cherche la présence de l’extension fonctionnant sou Chrome. Le JavaScript cherche aussi les antivirus : Avira, BitDefender 2013, McAfee entreprise, avg2012, Eset nod32, Dr.Web, Mse, Sophos, f-secure 2011, Kaspersky 2012/2013 ainsi que les versions de Microsoft Office, Adobe Reader installés.

Une fois que toutes les informations ont été collectées, il communique les données via le fichier js.php (caché sur NS01). Cette attaque ressemble à celle lancée, il y a quelques semaines, à l’encontre de plusieurs ONG. La faille exploitée dans le départ de cette attaque a été fixée en début d’année (CVE-2012-4792). Elle avait fait surface en décembre 2012. La charge utile lancée dans le piratage du Ministère Américain est cachée dans le fichier bookmark.png sur NS01.

Une fois dans le pc du visiteur, le fichier espion se cache dans la machine sous le nom de conime.exe. Il se connecte à un C&C sur microsoftUpdate.ns1.name pointant vers un serveur DNS Google 8.8.8.8. Il pointait, quelques temps auparavant sur 173.254.229.176. L’attaque, du moins le code pirate Deep Panda, est connu pour être exploité par un chinois (Mr. Sun, CardMagic, Edward Sun, …). Les premières traces datent de 2007.

Pour se protéger de ce type d’attaque, data security breach vous conseille de mettre à jour l’ensemble de vos outils web (Flash, PDF, navigateur, antivirus) et bloquer JavaScript.

Une nouvelle solution contre l’exécution de code malveillant sur les ordinateurs équipés d’UEFI

Une nouvelle solution contre l’exécution de code malveillant sur les ordinateurs équipés d’UEFI. Kaspersky Lab annonce à Data Security Breach le lancement d’une nouvelle solution baptisée KUEFI, un antimalware capable de protéger le PC de l’utilisateur avant même le chargement du système d’exploitation.

La norme UEFI (Unified Extensible Firmware Interface ou « interface micrologicielle extensible unifiée »), élaborée par l’Unified EFI Forum, est un modèle d’interface intermédiaire entre le micrologiciel (firmware) et le système d’exploitation (OS) d’un ordinateur.

Présenté comme « l’héritier spirituel » du BIOS (Basic Input/Output System), UEFI offre la prise en charge de nouvelles technologies, un développement optimisé et une meilleure expérience utilisateur entre la mise sous tension de la machine et le chargement du système d’exploitation. Pour de multiples interfaces, la norme offre un système plus sécurisé, un temps d’amorçage plus court, des performances améliorées, et des fonctionnalités innovantes sur la plate-forme. Parmi ses autres caractéristiques, la norme UEFI prévoit la possibilité d’embarquer une solution de sécurité « sur la puce ». Kaspersky Lab a saisi cette opportunité pour développer le premier – et, pour l’instant, le seul – antimalware compatible UEFI, qui sera en mesure d’analyser certains fichiers système et emplacements mémoire avant même le début du chargement du système d’exploitation.

Les avantages d’une telle approche sont clairs. Jusqu’à présent, les rootkits et bootkits pouvaient s’ancrer profondément dans le système et se charger avant tout antimalware classique, dissimulant ainsi leur activité à l’antivirus, dont ils pouvaient même bloquer le chargement. Désormais, en se chargeant à partir d’une mémoire ROM garantie exempte de défauts, KUEFI pourra examiner les fichiers système avant leurs propres chargements afin de détecter tout code malveillant susceptible de s’y cacher.

Chine versus Corée du Sud ? Une banque tranche

La Corée du Sud est responsable du piratage ayant causé l’arrêt du réseau, et non la Chine. C’est ce qu’indique la presse Chinoise, depuis quelques heures. A l’image de CRJ Online, le message passé par Bjeing est assez clair. La Chine n’est pas responsable de l’attaque informatique à l’encontre de la Corée du Sud. « Le groupe formé par divers services sud-coréens, explique le communiqué de presse reçu à la rédaction de Data Security Breach, chargé d’enquêter sur la coupure du réseau internet de certains médias et banques, a indiqué le 22 mars que le code informatique malveillant ayant provoqué ces coupures était venu d’ordinateurs présents au sein de la banque sud-coréenne, et non d’ordinateurs de Chine. » Pour parfaire sa démonstration du « C’est pas moi, c’est quelqu’un d’autre », la Chine précise que ce code est venu d’une adresse IP privée.