Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

100 000 dollars, voilà combien coûte exactement le code source de Cerberus, un programme malveillant virulent

Durant le mois de juillet dernier, les cybercriminels à l’origine du programme malveillant connu sous le nom de Cerberus, destinée à infecter les terminaux tournant sous Android, ont décidé de mettre en vente le code source de leurs outils de cybermalveillance. Les pirates informatiques évaluent l’importance de ce virus à hauteur de 100000 dollars.

À titre de rappel, notons tout simplement que Cerberus est un programme malveillant de type Trojan (cheval de Troie) bancaires. Touchant seulement les appareils tournant sous Android, sa fonctionnalité principale est de dérober les informations de nature financières. Cependant après la dissolution de l’équipe de pirates informatiques à la tête de ce programme malveillant, son code source est mise en vente.

L’annonce de la vente de code source de programme malveillant a été observé sur plusieurs formes clandestins généralement russophones. C’est le média spécialisée Bleeding Computer qui fait la déclaration de cette observation. Si l’objectif à l’origine était de générer plus de 100 000 dollars dans la vente du code source de Cerberus, le prix annoncé dès le départ de la vente était de 50 000 dollars. Cela a été repéré très tôt par Hudson Rock. Au départ à ce prix, il était possible de non seulement avoir le apk du programme malveillant, mais aussi son code source, le code de panneaux d’administration, le code de module et les serveurs. Et pour les clients qui souhaiteraient intégrer le programme malveillant dans leur propre terminal, avait en appuie une licence active et certains matériels permettant les installations nécessaires.

Comme explication de la vente du de l’ensemble de programme, les éditeurs de Cerberus signifient que le groupe de pirates s’est finalement dissous et que le manque de temps les empêche d’opérer comme il le fallait avant.

L’argument phare utilisé par les vendeurs de code source de Cerberus est que ce dernier programme malveillant était en mesure de générer plus de 10 000 dollars de bénéfice par mois à son utilisateur.

Cet argument est plausible quand on sait que ce programme malveillant est en circulation depuis 2019 et a été plusieurs fois été repéré dans la boutique officielle de Google, le PlayStore. Après avoir réussi à contourner tous les programmes de protection déployée par le géant américain. Il s’est généralement caché derrière des convertisseurs de devises. Un outil qui a été téléchargé près de 10 000 fois. Une fois l’application téléchargé, grâce à une mise à jour qui sera déployés dans plusieurs mois, les éditeurs intègrent alors le cheval de Troie qui leur permettent d’avoir accès aux données de l’utilisateur, derrière les protections de sécurité de Google.

À écouter les chercheurs de la société de cybersécurité Avast, qui ont étudié le programme malveillant, jusqu’au mois de Mars, l’application qui renferme Cerberus s’est comportée tout à fait légitimement en comme une application simple. S’est progressivement que le cheval de Troie a commencé à s’activer peu à peu jusqu’à devenir un problème pour les utilisateurs touchés.

Pour ce qui concerne son fonctionnement, les chercheurs de ThreatFabric notaient ceci : « Une fois déployé sur un appareil, le malware crée des superpositions entre les services financiers et les applications bancaires existants afin de voler les informations d’identification des comptes, qui sont ensuite envoyées au serveur de commande et de contrôle (C2) de l’attaquant. Le cheval de Troie est également capable d’intercepter les mécanismes d’authentification à deux facteurs (2FA), tels que les codes d’accès à usage unique (OTP), afin d’obtenir les informations nécessaires au vol de comptes financiers. ».

Ces derniers avaient averti depuis le mois de février qu’ils avaient observé des programmes malveillants qui étaient en mesure d’abuser de certaines privilège d’accessibilité à Android. En particulier les OTP de Google authentificateur, un logiciel censé accroître la sécurité au niveau de l’authentification par rapport au SMS simple.

En bref, Cerberus se comporte comme n’importe quel cheval de Troie classique. Il facilite l’accès à distance à ses éditeurs de tout terminal qu’il réussi à infecté. Il possède notamment des programmes lui permettant de dérober des données de tout genre. Des SMS aux appels téléphoniques en passant par des codes de sécurité saisies. Selon les spécialistes, il possède la fonctionnalité déverrouiller à distance les smartphones infecte selon la volonté de son éditeur, de désinstaller des applications et même s’autodétruire.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : les signes qui démontrent que vous êtes touchés

Depuis un certain moment les attaques basées sur les rançongiciels sont quelques choses de véritablement courant.

Il y a de fortes chances que votre organisation soit tôt ou tard ciblée par cybercriminels. Cet aspect n’est pas farfelu en ce sens où l’on sait pertinemment que les cyberattaques peuvent être ciblées ou sporadiques. De ce fait, vous devez vous préparer.  Non seulement pour vous protéger mais aussi déterminé les signes qui pourraient vous signifier que vous êtes bel et bien touchés par une cyberattaque.

Cet article va aussi vous intéresser : Ransomware : une hausse niveau des attaques des établissements de santé en 2019

Cela importe en ce sens que selon une récente étude, environ 100 demandes d’indemnisation sont présentées chaque jour près des compagnies d’assurance, dont la cause principale et des attaques fondées sur les rançongiciels. Surtout que nous savons qu’il faut environ 60 à 120 jours pour un cyber criminel, dans l’organisation d’une telle cyberattaque. En d’autres termes, il a de fortes chances que vous soyez peut-être infecté par des potentiels programmes informatiques et que la cyberattaque et sûrement en cours.

Pour cela voici, quelques indicateurs qui vous seront sûrement utiles.

1. Déterminer votre exposition de liens RDP

Comme nous le savons très bien lors d’une attaque au rançongiciel, les fichiers du système informatique ciblées sont chiffrés.  Pour réussir cela, les cybercriminels doivent enquêter et étudier de fond en comble le système en question. Et cela peut prendre beaucoup de temps. Cependant l’une de la porte d’entrée principale, est bien sûr les liens RDP (Remote Desktop Protocol) qui demeurent ouverts sur internet. « Regardez votre environnement et comprenez quelle est votre exposition à la RDP, et assurez-vous que vous avez une authentification à deux facteurs sur ces liens ou qu’ils se trouvent derrière un VPN », a noté Jared Phipps, vice-président de la société américaine de sécurité, SentinelOne. « Le confinement dû au coronavirus a eu une incidence sur ce point. Avec la montée en puissance du télétravail, de nombreuses entreprises ont ouvert des liens RDP pour faciliter l’accès à distance. Cela ouvre la voie aux ransomwares » ajoute ce dernier.

En d’autres termes et cybercriminels commence toujours à analyser les ports RDP ouverts

2. la présence de logiciels inconnu sur le système informatique et le réseau

Le second signe est de voir apparaître des outils informatiques qui ne sont pas connus ou maîtrisés par les collaborateurs où l’équipe informatique. Et cela se comprend très bien. Dès le début de l’attaque, les pirates informatiques de va voir le contrôle de certains PC. A travers ce contrôle ils peuvent tout simplement se procéder à l’installation des programmes malveillants. Il peut s’agir alors des outils de détection d’analyse de réseau tels que AngryIP ou Advanced Port Scanner. Si vous détectez l’usage de ces outils informatiques sur votre réseau, renseignez-vous pour savoir si l’équipe informatique en est l’instigatrice et l’utilisatrice. Dans le cas contraire, débarrassez-vous-en tout simplement. Il n’est pas aussi rare de détecter la présence d’un logiciel tel que MimiKatz, qui est utilisée par les cybercriminels pour dérober certaines informations d’identification tels que les mots de passe pour les identifiants de connexion. Les spécialistes parlent aussi d’autres applications qui sont utiles pour la création de compte d’administrateur. L’idée est d’être méfiant face à ce genre d’outils. Parmi tant d’autres on peut citer PC Hunter, IOBit Uninstaller, Process Hacker, GMER. À ce propos, l’entreprise de cybersécurité Sophos prévenait : « Ces types d’outils commerciaux sont légitimes, mais s’ils sont dans de mauvaises mains, les équipes de sécurité et les administrateurs doivent se demander pourquoi ils sont soudainement apparus dans le système d’information. ». De son côté, Jared Phipps de SentinelOne note : « Pour éviter cela, les entreprises doivent chercher des comptes qui sont créés en dehors du système de ticketing ou de gestion des comptes. ».

Comme nous le mentionnons plus haut, il faut des semaines voire des mois pour que tout ceci puisse être facilement exécuter par les cybercriminels. Ce qui signifie alors que les signes sont forcément visibles. Il suffira d’être attentifs et de faire plusieurs analyses de votre système informatique.

3. Désactivation d’Active Directory et la destruction des sauvegardes

Un autre signe évident, le cybercriminel toujours de désactiver active directory. On comprend alors que la cyberattaque est sur le point de toucher à son fin. Mais ce n’est pas tout pour que l’attaque soit une réussite, il faudrait aussi corrompre les sauvegardes de telles sortes qu’une fois les informations principales chiffrées, l’organisation ne puisse pas les récupérer aussi facilement. « Et puis ils vous frapperont avec l’attaque de chiffrement », note Jared Phipps. Selon l’entreprise de cybersécurité Sophos, les cybercriminels pour être aussi tant pis de chiffrer quelques appareils histoire de s’assurer que leur plan fonctionne.

Vu de ce qui précède, la question légitime à se poser de savoir comment stopper les cybercriminels s’ils arrivent à s’infiltrer dans le réseau. Il faut tout simplement s’assurer que les logiciels sont constamment mis à jour. Ensuite il faudrait s’assurer que les collaborateurs ont une bonne formation. Qu’ils ne se permettraient pas d’ouvrir des courriels de destinataires inconnus. La majorité des cyberattaques selon les spécialistes les failles de sécurité des logiciels ainsi que de l’imprudence des collaborateurs dans leur manière de gérer les accès au système. Par ailleurs, il faut pratiquer le changement régulier des mots de passe et des identifiants de connexion. Cela pourrait avoir son utilité d’une certaine manière. Être toujours sur la défensive surtout lorsque vous voyez apparaître de nouveaux comptes d’administrateurs.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Cybersécurité : un nouveau virus fait son apparition selon le FBI et la NSA

En début de semaine, les deux agences fédérales américaines à savoir la National Security Agency en abrégé « NSA » et Le Federal Bureau of Investigation (FBI) ont tiré la sonnette d’alarme.

Elles prévenaient les différents administrateurs de réseaux de l’existence d’un nouveau programme malveillant. La menace a été détaillée dans un document publié par les deux agents conjointement, qui fait environ 45 pages est accessible à tout le monde.

Cet article va aussi vous intéresser : Les antivirus arrivent à mieux détecter les logiciels de harcèlement

Le document en question décrit un programme informatique malveillant qui touche en particulier les systèmes informatiques qui tourne sous le système d’exploitation de IBM, Linux.

Dans ce rapport les agences américaines de manière détaillée, l’impact de ce programme malveillant ainsi que sa fonctionnalité principale d’être indétectable en quelques manières que ce soit. Selon ces dernières, les coupables à l’origine de ce virus informatique sur un groupe de pirates qui a été localise précisément en Russie. Pour le moment cela n’est qu’une simple présomption vue que des preuves concrète n’ont pas encore été fournies. Cependant le groupe indexé est reconnu pour avoir initié plusieurs cyberattaques en d’envergure internationale.

Le programme informatique malveillant dont il est question ici a été dénommé Drovorub, traduit par « bûcheron » selon le FBI et la NSA. Certains spécialistes de la sécurité informatique l’appellent plutôt en terme de « tueuse de drivers ».

En bref, on retiendra que c’est un virus hyper puissant, qui aurait été créé par des pirates informatiques assez doués. Le groupe de cybercriminels Russes accusé par les agences américaines est connu sous la dénomination de Fancy Bear. Mais on le connaît aussi sous plusieurs appellations telle que : Advanced Persistent Threat 28 en abrégé APT28, Tsar Team ou encore Pawn Storm. On retient seulement que ce groupe de pirates informatique est le principal suspect pour ce qui concerne l’attaque informatique qui aurait frappé la chaîne française TV5 Monde en 2015, ainsi que l’ingérence lors des élections américaines de 2016 tant décriée par la justice américaine.

Sinon le rapport édité par les agences fédérales américaines, la composition des virus laisse supposer que ces éditeurs ne sont pas le premier coup d’essai. Ce sont des spécialistes en la matière. Le caractère très furtif du virus ne laisse supposer aucun doute à ce niveau. Il n’a été identifié que très récemment alors qu’il serait en circuler depuis un bon moment.  Sa fonctionnalité principale est de permettre à des utilisateurs d’exfiltrer le maximum d’informations, en particulier les plus sensibles. Mais ce n’est pas tout, il peut permettre aussi de contrôler à distance plusieurs outils informatiques. Selon l’un des responsables de l’entreprise américaine de cybersécurité McAfee, Steve Grobman, le programme malveillant est comparable à un « couteau suisse », à cause notamment de ses nombreuses fonctionnalités et qu’il est susceptible de bien les cacher.

Grâce à de nombreux algorithmes qui sont greffés, il peut être décrit fortement comme le signifie les spécialistes à « une boîte à outils » qui peut facilement s’intégrer au noyau Linux des systèmes. Et cela à l’insu de l’utilisateur principal.

Pour s’en protéger, la NSA et le FBI ont recommandé dans le rapport aux différents administrateur de réseau de mettre constamment à jour leur système d’exploitation. Ils conseillent aussi de faire très attention aux fichiers dont l’origine est inconnue, car c’est potentiellement par ce genre de moyens qu’est véhiculé ce code malveillant. La stratégie principale utilisée par les cybercriminels pour propager leurs programmes malveillants serait alors l’hameçonnage. C’est d’ailleurs pour cette qu’il est demandé de redoubler de vigilance et d’informer au maximum le personnel au niveau de la gestion des identifiants de connexion tels que les mots de passe et les noms d’utilisateurs. Un regard particulier doit être dirigé vers les sites sensibles et les infrastructures d’importance vitale.

Pour le moment, les spécialistes n’ont pas encore développé de patch de sécurité pour lutter contre ce programme malveillant.  Il semble que cela ne saurait tarder cependant. Pour le moment la seule mesure de sécurité, c’est la vigilance. Par ailleurs les employés doivent être formés pour maîtriser suffisamment les rudiments nécessaires à une bonne hygiène numérique. Le rapport ne mentionnant pas exactement la date du déploiement de ce programme malveillant, on peut donc déduire que plusieurs organisations ont déjà été victimes et continue même de l’être semble-t-il.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le scanner de vulnérabilité mis à disposition par Google

Avec le développement et la multiplication des parcs informatiques les grandes entreprises, faire la recherche de faille de sécurité est devenue une tâche pour ainsi dire fastidieuse.

Il faudrait fouiller dans des milliers des milliers de lignes de code dans le but de trouver ce qui pourrait constituer une défaillance innée à la constitution même du programme. Face à une telle difficulté, le géant américain Google, propose un service permettant, de relever le défi de la chasse aux faille de sécurité. Et cela à travers un logiciel open source, qui devrait être capable de scanner et de vérifier si dans un système en particulier il existe ou non des vulnérabilités.

Cet article va aussi vous intéresser : Un énième recours collectif contre Google

Un tel programme informatique est le bienvenu. En effet, à en croire le rapport fourni par Skybox Security, leader mondial en matière d’opérations, d’analyse et de reporting dans le domaine de la cybersécurité : « En 2018, le nombre de vulnérabilités logicielles a dépassé celui de l’année précédente, avec une augmentation de 12 % du nombre total de vulnérabilités publiées en 2017 ». Du côté NTT, une étude récemment publiée intitulée : « 2020 Global Network Insights Report » met en évidence une augmentation accrue, des failles de sécurité avec temps les équipements des infrastructures réseau des entreprises. On pourrait déduire de là, que les entreprises n’avaient pas encore la maîtrise de la gestion des patchs de sécurité.

Mais cela peut se comprendre quand on sait que la détermination de vulnérabilité et le déploiement des correctifs de sécurité souvent se relèvent très fastidieux. Un vrai parcours du combattant en considération de la structure même des réseaux informatiques qui deviennent de plus en plus complexes et multiples

Cependant au-delà de toute considération, les organisations doivent réagir au plus tôt lorsque des cybercriminels essaie de profiter ou profites déjà de certaines vulnérabilité découverte à leur insu. Cela il va de la protection des actifs potentiellement vulnérables.

En effet, les cybercriminels aujourd’hui fonds de plus gros investissement dans l’automatisation des attaques informatiques. Ce qui signifie que le délai de réponse face à une vulnérabilité, en particulier si elle est assez critique, se mesure en seulement quelques heures. Quelques heures avant que tout ne soit totalement hors de contrôle. Un véritable défi pour les organisations qui aujourd’hui voient des millions de système à leur charge à connecter à travers le monde.

À un tel niveau, la gestion des failles de sécurité, partant de la détection à la prise en charge, doit être en grande partie automatisée, si possible totalement. Ce qui se présente comme un défi très difficile à relever. À ce niveau l’idée de Google, à travers le scanner de vulnérabilité, tombe juste à point nommé.

Déjà utilisée en interne par le géant américain, il a été mis à disposition sur GitHub depuis le mois de juin. Ce programme a été baptisé Tsunami. Ici contrairement à plusieurs programmes informatiques proposé par Google, celui-ci sera géré par la communauté de logiciel libre, car effectivement Google le propose en open source

La particularité, pour ne pas des l’une des particularités de ce programme développé par le géant américain, et il a la possibilité de mener des analyses assez précises dans des systèmes très étendus, sans nécessiter le fonctionnement de plusieurs appareils.

Sur son blog le géant américain explique la manière dont son programme exécute le processus. Elle se fait généralement en deux étapes pendant le scan. La première étape va consister à une sorte de reconnaissance. En effet la solution scanne le réseau de l’entreprise pour rechercher des ports ou des connexions ouvertes. Il analyse scrupuleusement chaque port. Il cherche à identifier les protocoles et les services qui sont en cours d’exécution pour ne pas confondre ces derniers lors de l’étiquetage des ports. Il continue son processus à travers la détection de vulnérabilité.

Ensuite, vient le second processus. Grâce aux résultats de la première étape, la solution va chercher à vérifier s’il s’agit bel et bien de faille de sécurité. Le programme va alors se servir de plusieurs des informations qu’il aurait récoltées lors de la phase de reconnaissance. Et pour confirmer ces analyses, la solution de Google va essayer des infiltrations pour confirmer ou infirmer la vulnérabilité des systèmes.

Rendre le scanner précis le plus possible, l’objectif principal de ce projet. C’est pour cette raison que Google tente de fournir le maximum de résultats avec le moins de faux positifs, en d’autres termes des détections incorrects. Car comme le démontre plusieurs d’expérience, il suffit de seul petit faux positif, pour causer l’envoi de patchs incorrects plusieurs appareils qui en réalité ne sont pas vulnérables. Ce qui pourrait entraîner des pannes dont les effets seront considérables.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Malware : il vous promet de livrer vous colis en vous volant des informations

Un programme malveillant a été détecté comme sévissant depuis le début du mois de juillet.

Il est connu être en mesure de dérober certaines informations sensibles telles que des données bancaires, les données personnelles nominatives comme des noms et prénoms, des identifiants de connexion et même récolter les communications privées des utilisateurs ciblés. Cette fois-ci c’est avec la stratégie de la campagne de phishing via SMS, que ce programme s’illustre.

Cet article va aussi vous intéresser : Les systèmes informatiques isolées ciblés par le malware Ramsay

FakeSpy, c’est le nom de malware, sera actif seulement les spécialistes depuis 2017. Déploiement a commencé particulièrement au Japon et en Corée du Sud, là où l’essentiel des activités malveillantes fondée sur ce programme était observée. Mais depuis maintenant un moment, c’est presque tous les utilisateurs d’Android qui sont exposés à ce programme. Si blanc maintenant des victimes partout dans le monde soit en Europe en Amérique du Nord et même en Afrique.

L’utilisation de ce programme malveillant et surveiller de près par les spécialistes de la cybersécurité de la société Cybereason. Selon ces derniers, qui ont produit un rapport détaillé sur les activités de FakeSpy, les attaques informatiques fondée sur ce dernier, seraient liées à « Roaming Mantis », un groupe de pirates informatiques, communiquant généralement en chinois, et qui ont l’habitude de mener des attaques de ce genre.

Le chercheur de Cybereason, décrire le programme FakeSpy comme étant en « développement actif ». Il note aussi que ce dernier est « en évolution rapide », car il a été observé que chaque semaine presque, de nouvelles fonctionnalités et de nouvelles techniques d’évasion, étaient mise à jour par les cybercriminels

Comme nous l’avons mentionné plus haut, le but de ce programme, est bien sûr de récolter tout type d’informations personnelles ou non, générer ou emmagasiner dans le smartphone. Il va s’agir donc des informations bancaires de données de connexion aux applications ou même aux comptes en ligne et liste de contacts des différentes communications soit des appels des SMS ou encore des mails, sans oublier les coordonnées bancaires des victimes.

La dernière compagne initiée sur la base de ce virus a été détecté dans différents pays à travers le monde dont Taïwan, la Chine, la France, la Suisse, les Royaume-Uni, les États-Unis, etc. La méthode est un pur classique. La personne ciblée reçoit un message. Ce message est bien sûr piégé. Une concernant généralement la livraison d’un colis ou d’un service postal. Derrière cela, se trouve se trouve un lien. Ce lien a pour vocation de diriger les cibles, vers des sites de phishing, où ces dernières seront motivées à télécharger une application du nom de Royal mail. En France par exemple l’application qui leur sera proposée est une imitation de celle proposée par La Poste. Parmi les nombreuses marques utilisée pour développer cette arnaque, nous avons en plus de Royal mail, United States Postal Service, La Poste, Japan Post, et Chughwa Post à Taiwan, Swiss Post et Deutsche Post en Allemagne.

Il faut noter que ce sont des applications qui trompent facilement la vigilance des utilisateurs, quand ils ne font pas suffisamment attention. Lorsque l’application est installée sur le terminal de l’utilisateur, ce dernier sera rédigé sur le site web légitime, de l’agence, dans le but de facilement endormir sa vigilance. Pour fonctionner correctement le logiciel malveillant va demander certaines autorisations à l’utilisateur. Cependant il n’est pas rare que des applications légitimes en fassent autant. Ce qui fera que ce dernier n’hésitera pas à lui accorder ses autorisations.

Par ailleurs le programme malveillant se sert aussi de sa victime pour se propager. En effet, une fois installé, il envoie un message de phishing à tous les contacts des personnes qu’il a déjà infecté. En fait on sait que l’objectif des cybercriminels derrière ce logiciel est de récolter suffisamment de données financièrement exploitables pour se faire le maximum d’argent.

« Ces attaques semblent correspondre à ce qu’on appelle « Spray and Pray » (« vaporise et prie », NDLR). Elles ne semblent pas viser un individu en particulier, les cyberattaquants semblent plutôt tenter leur chance en jetant un filet assez large, attendant que quelqu’un morde à l’hameçon », explique Assaf Dahan, le directeur principal et responsable de la recherche sur les menaces à Cybereason. « Nous voyons sans cesse de nouveaux développements et de nouvelles fonctionnalités ajoutés au code, je pense donc que les affaires marchent pour eux », continue-il.

Pour y échapper, il faudrait faire très attention. Surtout pour différents messages que vous recevez et qui prétendent provenir d’organisations officielles, tout en vous encourageant à cliquer sur un lien pour télécharger une quelconque application. « Les utilisateurs doivent faire preuve d’esprit critique et se méfier des SMS contenant des liens. Avant de cliquer sur un lien, il faut toujours vérifier l’authenticité du site web, vérifier s’il n’y a pas de fautes dans la page ou même dans le nom du site. Et surtout, il faut éviter de télécharger des applications à partir de magasins non officiels », note Assaf Dahan. « Supprimer la fausse application en passant par le gestionnaire de fichiers est un bon moyen d’atténuer la menace. Il peut être utile aussi d’utiliser une solution de sécurité mobile qui permettra de détecter la menace et d’y remédier », conclut-il.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage