Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

Et si nos mails étaient des vecteurs de logiciels espions

Récemment, une étude a prouvé une situation assez inédite qu’il faut prendre totalement au sérieux.

La majorité des mails reçus (2/3) par les internautes pourrait contenir des pixels espions.

Grâce à la récente publication de l’entreprise éditrice l’application Hey, le fléau des pixels espions ou encore appelés web beacons, tracking pixels, pixel tags… est de nouveau à jour. Le constat, c’est qu’ils explosent. Et cela à travers les courriels. Il suffit juste que l’utilisateur ouvre le courriel infecté, pour que ce dernier soit immédiatement contaminé. De la sorte les programmes malveillants s’activent et commence à recueillir des données sur l’utilisateur.

Cet article va aussi vous intéresser : Reconnaître les attaques par email, la nécessité d’une formation pour les utilisateurs

Le vrai problème avec ces pixels, c’est qu’ils ne sont pas sur-le-champ les programmes espions. Ce sont des images très petites, généralement d’un seul pixel qui sont souvent enregistrer en format GIF ou PNG.  On n’en trouve partout, que ce soit sur le web ou encore dans les courriels que nous recevons presque tous les jours. Que ce soit des courriels d’entreprise ou encore de sites de e-commerce.

Lorsqu’il est bien utilisé par un cybercriminel, le pixel espion est en mesure d’échapper à la vigilance des spécialistes même les plus aguerris. Car, il suffit tout simplement d’ouvrir par exemple courrier électronique pour que ces derniers puissent s’activer. Face à cela il n’existe aucune méthode pour protéger l’utilisateur classique contre ce problème. Le plus dur dans tout ceci, c’est qu’en pratique, cela n’est pas du tout illégal. On peut être donc traqué en ligne de façon totalement légale sans que le traqueur ne puisse être inquiété par la justice. Et ça d’ailleurs une pratique qui existe depuis des années.

Cependant depuis un moment maintenant, les pixels se sont multipliées en terme de nombre. Il y en a beaucoup trop. C’est d’ailleurs ce qui a été démontré par la BBC à travers une étude en qu’elle a commandé à l’entreprise qui a édité l’application Hey.

Selon la société Hey, deux tiers des courriers électroniques qui sont échangés de façon personnelle contiennent un pixel espion. Il y a de fortes chances que toutes les grandes marques utilisent ce procédé pour réussir à traquer les internautes sur le web. Parmi tant d’autres il a été recensé :

– British Airways ;

– Vodafone ;

– HSBC ;

– Marks & Spencer ;

– Tesco ;

– etc.

Selon de la patron d’Hey, les pixels espions sont beaucoup plus utilisés et beaucoup plus que l’on ne le croit.

Dans la pratique les pixels espions sont des programmes un peu malveillants qui sont utilisés par les annonceurs dans le secteur du marketing, dans le but d’obtenir certaines données de nature statistique sur les utilisateurs qui visitent les sites internet et d’autres plateformes en ligne. Grâce à cela les personnes derrières ces pixels espions peuvent avoir certaines informations en l’occurrence :

– L’heure d’ouverture du courrier électronique

– L’appareil utilisé pour la consultation du courrier électronique

– L’adresse IP de l’appareil dans certains cas

– L’adresse physique dans certains cas.

Même si cela n’est pas interdit, il est notamment réglementer l’usage des pixels espions par les Privacy and Electronic Communications Regulations (Pecr) de 2003, sans oublier le règlement européen pour la protection des données personnelles sorti en 2016 (la RGPD).

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

TrickBot selon AdvIntel

Récemment dans un rapport publié par la société AdvIntel, il a été observé le mouvement d’un nouveau module TrickBot, appelé par les chercheurs « PermaDll32 ».

Ce nom a attiré l’attention des chercheurs car il paraissait être un dérivé de l’expression « permanent », c’est qu’il a fait penser à un module qui pourrait causer des effets de type persistant.

Cet article va aussi vous intéresser : L’UEFI : cible persistante de TrickBot

Selon l’analyse des chercheurs sécurité informatique, ce module avait la fonctionnalité de lire les informations présentes dans le microprogramme BIOS et aussi dans le programme UEFI, lorsqu’il arrivait infecté de machines. « Ce code de bas niveau est stocké dans la puce de mémoire flash SPI de la carte mère d’un ordinateur et est responsable de l’initialisation du matériel pendant le processus de démarrage et de la transmission du contrôle au système d’exploitation. » explique Lucian Constantin, CSO.

La découverte a été faite par les chercheurs de AdvIntel et de Eclypsium, qui est connu possédée une spécialisation dans la sécurité des firmwares. Les deux sociétés se sont associées pour mieux analyser le récent module de TrickBot et déterminer ce à quoi il pourrait bien servir. Selon cette enquête : « le module PermaDll32 déploie un pilote appelé RwDrv.sys » qui vient de RWEverything, un programme gratuit assez populaire ayant la fonctionnalité de permettre à ses utilisateurs de lire et d’écrire dans les micrologiciels des composants matériels, c’est compris le contrôleur SPI présent pour l’UEFI.

« Le module TrickBot utilise cette capacité pour identifier la plateforme matérielle Intel sous-jacente, vérifier si le registre de contrôle du BIOS est déverrouillé, et si la protection en écriture BIOS / UEFI est activée. Pour que la chaîne de démarrage complète soit sécurisée, le micrologiciel UEFI doit être protégé en écriture, mais les fabricants OEM d’ordinateurs ont souvent laissé cela mal configuré dans les systèmes par le passé. » explique Lucian Constantin. Cette fonctionnalité a permis à des groupes des pirates informatiques spécialisés dans le cyber espionnage de déployer les logiciels malveillants furtifs. « Je pense qu’il y a probablement des millions d’appareils vulnérables à ce problème encore sur le terrain », a expliqué à CSO Jesse Michael, chercheur principal pour Eclypsium. « Je n’ai pas le nombre d’appareils visés, mais c’était une chose très courante avant 2017 et même après 2017, nous voyons encore certains appareils sortant d’usine livrés avec cette vulnérabilité. Les fournisseurs de premier plan font ce qu’ils peuvent pour combler ce trou de sécurité », ajoute-il.

Le problème est bien connu. On rappelle qu’une faille semblable avait été exploité dans le passé. Cela a servi à des cybercriminels à déployer des implants UEFI par les pirates informatiques du groupe APT 28 à travers l’attaque LoJax ou encore avec les pirates informatiques de MossaicRegressor.u plus récemment. Pourtant, il demeure de nombreuses failles de sécurité UEFI et plusieurs erreurs de configuration au niveau des matériels qui sont constamment signaler depuis maintenant des années. Des vulnérabilités qui pourraient être exploitées par TrickBot plus tard.

« Les implications pour la sécurité nationale résultant d’une campagne de malware généralisée capable de brancher des appareils sont énormes », avertissent les chercheurs. « Le module TrickBoot cible tous les systèmes Intel produits au cours des cinq dernières années. D’après l’analyse Eclypsium, la plupart de ces systèmes restent vulnérables à l’une des multitudes de vulnérabilités de micrologiciel actuellement connues, avec une plus petite proportion susceptible d’être sensibles au problème de mauvaise configuration ».

La meilleure manière de se protéger contre les attaques des genres et bien sûr de faire constamment les mises à jour du BIOS / UEFI. Au fur et à mesure les vulnérabilités connues sont en train d’être corrigées. Il est important de faire les mises à jour car ce sont des choses qui sont pour la plupart négligées. Une routine simple mais sans savoir pourquoi est difficilement respecté par les entreprises.

« Souvent, les gens se concentrent sur les mises à jour du système d’exploitation et négligent les mises à jour du micrologiciel », note Jesse Michael. « Vous avez donc peut-être une mise à jour du micrologiciel pour votre système que vous pouvez déployer pour résoudre ce problème, mais comme vous ne l’avez pas, parce que vous n’incluez pas les mises à jour du micrologiciel dans vos opérations informatiques normales, vous mettez plus de temps pour les appliquer. A titre préventif vous devez inclure les mises à jour du micrologiciel dans vos processus normaux ».

Il est possible de résoudre ce problème. Cependant, il faudra résoudre d’abord un autre celui du manque de visibilité des problèmes liés au micrologiciel, lors de l’analyse des vulnérabilités.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’UEFI : cible persistante de TrickBot

Récemment les chercheurs en sécurité informatique la société AdvIntel ont fait une étonnante découverte.

Un module TrickBot permettant aux logiciels malveillants de persister et continuer à agir quand bien même que le système ciblé a été reformater ou remplacer. Une fonctionnalité qui ne va pas rendre la tâche facile aux responsables de sécurité de système d’information.

Cet article va aussi vous intéresser : Trickbot : Microsoft et les autorités Américaines contre le réseau de zombie le plus important au monde

De façon technique, on notera que TrickBot, utilise une plate-forme qui a la possibilité d’identifier les modules matériels tournant sur Intel mais de façon sous-jacente. Il permet alors de vérifier le registre de contrôle du BIOS, pour s’assurer qu’il est déverrouillé ou l’absence d’une quelconque protection.

Une évolution assez inquiétante du programme TrickBot, qui donnait déjà du fil à retordre aux professionnels. À titre de rappel, il faut noter que TrickBot est un Botnet c’est-à-dire un réseau d’ordinateurs connectés de façon frauduleuse dans le but de générer de la puissance de calcul, servant généralement aux pirates informatiques de passerelle d’accès aux réseaux des entreprises pour injecter des rançongiciels où d’autres programmes malveillants pour les soumettre à leur contrôle. Grâce aux nouveaux modules identifiés par les chercheurs en sécurité, le Botnet peut dorénavant rechercher la configuration UEFI qui présente des failles de sécurité sur des systèmes qu’ils ont précédemment infectés. Ce qui permet alors au cyber attaquants de pouvoir déployer des portes dérobées, de niveau si bas, qu’il est compliqué au les chercheurs de les supprimer.

À titre de précision signifions que l’UEFI pour « Unified Extensible Firmware Interface » est un outil qui permet de s’assurer que sur un système informatique aucun logiciel malveillant du genre rootkit (utilisé par les pirates informatiques pour modifier les systèmes d’exploitation dans le but de cacher des programmes malveillants, de transférer des données ou des portes dérobée), n’est installé. Rappelons de ce fait que Kaspersky annonçait avoir découvert un rootkit du nom de MoazaicRegressor, qui s’attaque à principalement aux disques UEFI.

« Cela marque une étape importante dans l’évolution de TrickBot », ont précisé les chercheurs des sociétés de sécurité informatique Advanced Intelligence (AdvIntel) et Eclypsium dans leur récent rapport publié aujourd’hui. « Les implants de niveau UEFI sont la forme de bootkits la plus profonde, la plus puissante et la plus furtive. Étant donné que le micrologiciel est stocké sur la carte mère par opposition aux lecteurs système, ces menaces peuvent fournir aux attaquants une persistance continue, même si le disque est remplacé. De même, si le micrologiciel est utilisé pour brique un appareil, les scénarios de récupération sont nettement différents et plus difficiles que la récupération à partir du cryptage traditionnel du système de fichiers qu’une campagne de ransomware comme Ryuk, par exemple ». Notent-elles.

Pour en revenir à TrickBot, c’était à la base un programme en malveillant de type cheval de Troie. Il faisait ses armes généralement dans le domaine de la fraude bancaire en ligne et du vol d’identifiant de connexion tels que des mots de passe et de noms d’utilisateurs.

Aujourd’hui, il se présente comme une vaste plateforme de cybercriminalité qui s’étend à plusieurs fonctionnalités et capacités qui prend en compte les analyses RDP, les accès à distance passant par le VNC plus, les exploits à travers les vulnérabilités SMB.

Plusieurs opérateurs ont été observés derrière l’utilisation de TrickBot. Parmi tant d’autres, il y a le célèbre groupe connu dans le secteur de la cybersécurité du nom d’Overdose ou The Trick. Il utilise le programme malveillant pour accéder aux réseaux d’entreprises, pour ensuite mettre à la disposition d’autres groupes des cybercriminels les accès obtenus, en particulier les opérateurs qui sont derrière le rançongiciel Ryuk. Le groupe Lazarus, connu comme un groupe de pirate informatique travaillant pour le compte de l’État Coréen aurait aussi user de TrickBot dans le but de développer des portes dérobées.

Selon les chercheurs en sécurité informatique, les opérateurs du programme TrickBot offrent le plus souvent leur service au groupe de catégorie APT où aux groupes de pirates informatiques de catégorie supérieure.

En octobre dernier, la société de Redmond Microsoft et plusieurs autres organisations se sont réunies pour porter un coup important sur les Infrastructures de commande et de contrôle du programme malveillant TrickBot. Si l’opération a été un succès, il n’en demeure pas moins que le Botnet vit toujours. En novembre, plusieurs compagnes de cybercriminalité en été initié en se fondant sur ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les logiciels malveillants plus innovants en 2021

Dans un rapport fourni par un spécialiste de la sécurité informatique Nuspire, il a été constaté une augmentation assez fulgurante des logiciels malveillants.

Cela dans un contexte où les attaques des cybercriminels deviennent de plus en plus impitoyable. En effet il a été observé aussi dans la même lancée que les pirates informatiques en tendance à s’en prendre aux structures qui se trouvent surcharger en terme de responsabilités à combler. Notamment le secteur de la santé et de l’éducation. Ledit rapport à préciser une en croissance si on peut le dire ainsi de 128 pourcents au 3e trimestre de 2020 par rapport au second trimestre. Une augmentation qui constitue plus de 43 000 logiciels malveillants différents qui furent détectés par jour.

Le rapport des montres aussi, que les acteurs de la cybercriminalité sont devenus de plus en plus impitoyables quant à leur choix de cibles. « Tout au long du troisième trimestre, les pirates informatiques ont déplacé leur attention des réseaux domestiques vers des entités publiques surchargées, dont le secteur de l’éducation. », explique le rapport de Nuspire.

Cet article va aussi vous intéresser : La pandémie à coronavirus et les stratégies de sécurité dans une entreprise

Dans les prévisions fournies par la société allemande d’édition de logiciels informatiques pour la sécurité G DATA CyberDefense, en 2021, les logiciels malveillants utilisés pour cibler les mobiles seront de plus en plus innovant. Ce sont des malwares qui se présenteront comme des mises à jour de logiciels beaucoup utilisés par les utilisateurs dans mobile. « Dans ce cas, les applications se présentent initialement comme des applications légitimes, ce qui explique pourquoi elles sont souvent qualifiées de légitimes par certaines solutions de sécurité. Ce n’est qu’après un certain nombre de mises à jour que les logiciels malveillants s’installent sur le système sans être remarqués, avec toutes les conséquences que cela entraîne. » précisant la société allemande de cybersecurité.

Pour ce qui concerne en l’ingénierie sociale, la pratique va aussi s’améliorer comme les autres.

Dans une étude fournie par Bromium, une société spécialisée dans la virtualisation, et commenté par le maître de conférence en criminologie à l’université de Surrey, docteur Mike McGuire, il a été observé plusieurs tactiques utilisées par les cybermalveillants pour attirer l’attention des internautes. Les réseaux sociaux étant leurs en leur champ de prédilection. Le même rapport explique que les cybercriminels arrivent à générer plus de 3 milliards de dollars en utilisant seulement l’ingénierie sociale. Bien que cela soit dans un contexte assez nouveau, il a possible pour les cybercriminels de gagner plus de 1500 milliards de dollars comme revenu chaque année. « Il s’agit d’une estimation prudente, basée uniquement sur des données tirées de cinq des variétés les plus en vue et les plus lucratives de cybercrimes générant des revenus. » note le rapport.

Selon G DATA CyberDefense, au regard de l’amélioration du secteur de la cybersecurité, les pirates informatiques cherche à améliorer leur approche de l’ingénierie sociale dans le but de la rendre plus performante.

C’est pour cela que les organisations sont invités à prendre les mesures idoines pour se protéger et protéger leur système informatique ainsi que leurs collaborateurs.

Du côté des objets connectés, la tendance de la cybercriminalité connaîtra aussi une évolution. En effet, avec la croissance de l’internet des objets dans tous les secteurs d’activité, les organisations seront obligées d’améliorer leur sécurité informatique et pour cause, les activités de cybermalveillance dans ce secteur se sont répandu beaucoup plus rapidement que dans les autres domaines. Il faut reconnaître que l’Internet des objets ne s’est jamais présenté comme un espace assez sécuritaire pour ce qui est de la sécurité bien sûr. Et depuis le tout début, les attaques informatiques ont toujours l’avantage sur les utilisateurs. « Si un appareil n’est pas surveillé en permanence et n’est pas considéré comme faisant partie de l’infrastructure du réseau, il faut y remédier », mettait en garde de la société de sécurité allemande. En clair il faudra observer une augmentation notoire des attaques visant les dispositifs IdO. « La convergence des technologies de l’information et des technologies opérationnelles rend les environnements plus vulnérables. Ces environnements fonctionnent souvent sur des systèmes existants pour lesquels il n’existe pas de correctifs ou qui ne sont tout simplement pas installés. Les organisations qui utilisent l’IdO seraient également bien avisées d’élaborer une feuille de route intégrale sur la cybersécurité et de procéder à des audits de sécurité réguliers », recommande alors G DATA CyberDefense.

Selon G DATA CyberDefense, les organisations peuvent mener une vérification pour savoir si elles sont suffisamment organisées préparer pour faire face aux cyberattaques. Au cas où elles peuvent commencer dès maintenant, à prendre les mesures qui s’imposent. « Il est important que le personnel manipule correctement les systèmes IdO et soit conscient des risques. Enfin, la plupart des cyberincidents sont causés par des actions humaines », conclut la société allemande.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

REvil : comment fonctionne le rançongiciel le plus actif du moment ?

REvil est un programme malveillant de type ransomwares, qui à l’instar de Ryuk ou WastedLocker a beaucoup été utilisé dans plusieurs opérations malveillants.

Une fois que les cybercriminels réussissent à accéder au réseau informatique d’une organisation, ils utilisent un ensemble d’outils informatiques pour faire une cartographie du réseau et des systèmes informatiques ciblés. Par la suite, ils mettront tout en œuvre pour s’arroger le maximum de privilèges d’administrateur possible. C’est ainsi qu’ils arrivent alors à déployer le programme de rançonnage. « Puisque REvil est distribué par différents affiliés, les vecteurs d’accès initiaux diffèrent entre les e-mails de phishing avec des pièces jointes malveillantes aux informations d’identification RDP (Remote Desktop Protocol) compromises et l’exploitation des vulnérabilités dans divers services publics ». Lucian Constantin, CSO. L’année dernière par exemple, les cybercriminels qui utilisent ce programme malveillant ont utilisé une faille de sécurité déjà connu du système Oracle WebLogic (CVE-2019-2725).

Cet article va aussi vous intéresser : REvil : Focus sur le rançongiciel le plus populaire du moment

Selon le récent rapport produit par la société de sécurité Coveware, REvil est distribué principalement à travers :

– Des sessions RDP compromises (65%)

– L’hameçonnage (16%)

– Des failles de sécurité logicielles (8%)

Sur un blog russe, un pirate informatique sensé faire partir du groupe de cybercriminels opérateurs de REvil a affirmé que plusieurs affiliés du groupe utilisent principalement des attaques par force brute.

« REvil se distingue des autres programmes de ransomware par son utilisation de l’échange de clés Diffie-Hellman à courbe elliptique au lieu de RSA et Salsa20 au lieu d’AES pour crypter les fichiers. Ces algorithmes de chiffrement utilisent des clés plus courtes, sont très efficaces et incassables s’ils sont correctement mis en œuvre. Le ransomware tue certains processus sur les machines infectées, notamment les clients de messagerie, SQL et autres serveurs de base de données, les programmes Microsoft Office, les navigateurs et d’autres outils susceptibles de maintenir des fichiers importants verrouillés ou sauvegardés dans la RAM. Il supprime ensuite les Shadows copies Windows et autres sauvegardes pour empêcher la récupération de fichiers. » explique Lucian Constantin.

Selon les spécialistes en la matière, pour sécuriser les systèmes informatiques contre ce programme malveillant il faudra en prélude procéder à la sécurisation des accès à distance :

– L’utilisation des données d’identification assez solide est exigée.

– Il est par ailleurs recommandé d’utiliser expressément des réseau VPN pour les transmissions d’informations à distance, peu importe la nature de ces échanges.

– L’ensemble des applications ou serveurs dont l’accès est public doit être régulièrement mise à jour.

– Il doit être analysé et pris en compte tout ce qui peut sembler être des erreurs de configuration des comportements suspects ou des failles de sécurité pour une réponse immédiate efficace.

– Il faudrait une activation de manière permanente des solutions de protection contre les attaques par force brute. Il faudra donc trouver un moyen de bloquer toutes les demandes excessives des informations d’identification lorsqu’elles sont incorrectes.

En outre, il faudrait accorder au secteur hospitalier un intérêt assez particulier. « Certaines industries, comme la santé, peuvent sembler être plus fortement ciblées que d’autres, en raison des données sensibles qu’elles détiennent et de leur relative intolérance aux temps d’arrêt », ont noté lors de l’étude, les chercheurs de Coveware. « Cependant, ce que nous avons observé au fil du temps, c’est que la présence de vulnérabilités bon marché à exploiter, qui se trouvent être courantes dans une industrie donnée, est ce qui fait apparaître une concentration de l’industrie », ajoutent-ils.

Les chercheurs de la société de sécurité aussi préciser que certains secteurs tels que les cabinets juridiques ou comptables sont très vulnérables aux attaques de REvil. Un risque non négligeable lorsqu’on sert aux États-Unis ce genre de cabinets représente 14 % de l’ensemble des entreprises total du pays, avec près de 4,2 millions de sociétés enregistrées. Elle représente 25 % des attaques informatiques. « Ces entreprises sont plus susceptibles de prendre la menace des ransomwares moins au sérieux », affirme les chercheurs de Coveware. « Ils laissent généralement des vulnérabilités comme RDP ouvertes à Internet et sont victimes beaucoup plus régulièrement que les entreprises d’autres secteurs. Il est essentiel que les petites entreprises de services professionnels reconnaissent qu’il n’existe pas d’être « trop petit » pour être ciblé. L’industrie de la cyber-extorsion ne fonctionne pas comme ça. Si vous présentez une vulnérabilité bon marché à Internet, vous serez attaqué. C’est juste une question de quand, pas si. »

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage