Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

Malwares : vos mots de passes et cryptomonnaies en danger

Grâce aux chercheurs de la société de cybersécurité Trend Micro, il a été découvert un nouveau programme malveillant qui s’attaque spécialement aux détenteurs de crypto monnaie, il se fait appeler Panda Stealer.

Panda Stealer serait un logiciel malveillant qui se propage à travers les fichiers Excel corrompus qui sont échangés généralement par courrier électronique. Lorsqu’il est déployé sur le terminal de la victime, il se contente de siphonner le contenu des portefeuilles numériques et des mots de passe des victimes.

Cet article va aussi vous intéresser : Comment pirater une cryptomonnaie : Checkpoint met en évidence quatre stratégies utilisées par les pirates informatiques

« Début avril, nous avons observé un nouveau voleur d’informations appelé Panda Stealer délivré par courrier indésirable », explique les chercheurs de Trend Micro dans un rapport disponible sur leur site web. Les chercheurs ont aussi découvert que le programme malveillant a été conçu grâce au code d’un autre logiciel pirate connu sous la dénomination de Collector Stealer. Un logiciel connu pour voler aussi des informations confidentielles.

« Panda Stealer est déployé par le biais d’e-mails de spam se faisant passer pour des demandes de devis commerciaux pour convaincre des victimes imprudentes à ouvrir des fichiers Excel malveillants », décrit le rapport.  Il suffit juste pour l’internaute d’ouvrir le fichier Excel corrompu pour que le programme cstar automatiquement. Bien évidemment à son insu.

« Le malware cherche à aspirer vos mots de passe et vos cookies. Le logiciel va alors chercher à s’emparer des clés privées qui sécurisent les portefeuilles numériques des utilisateurs. Panda Stealer vise surtout les wallets qui contiennent des cryptomonnaie comme le Dash, le Bytecoin, le Litecoin et l’Ethereum, la deuxième devise numérique avec la capitalisation la plus importante derrière le roi Bitcoin. Avec ces clés privées en main, les pirates peuvent s’emparer des crypto devises détenues par les usagers et les transférer sur d’autres portefeuilles. » explique le rapport de Trend Micro.

De plus le programme malveillant consomme les des informations d’identification que peuvent contenir certaines applications tel que Telegram, Discord, Steam ou encore NordVPN

Les comptes qui sont pirater dans cette foule et peuvent être revendu par exemple sur le dark web en échange à d’autres monnaies cryptographiques comme le Monero par exemple.

« Il est également capable de prendre des captures d’écran de l’ordinateur infecté et d’exfiltrer les données de navigateurs tels que les cookies, les mots de passe et les cartes enregistrées. » prévient la société de sécurité Trend Micro.

Par ailleurs il a été observé que les victimes de ce programme malveillant sont essentiellement situées au Japon, aux États-Unis, en Australie, en Allemagne. Mais on peut s’attendre à ce qu’il se déploie rapidement vers d’autres contrées. Il est donc conseillé d’être extrêmement prudent. Il faudra faire attention aux pièces jointes un particulier les fichiers Excel de destinataire inconnu. Il est aussi recommandé d’avoir son antivirus à jour. Le mode de propagation du virus est déjà connu c’est un classique pour du phishing. Donc en étant vigilant, on se protège en grande partie contre ce fléau, qui n’est pas si nouveau que ça finalement.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un malware derrière ce SMS « Votre colis a été envoyé. Veuillez le vérifier et le recevoir. »

Ces derniers temps, on observe la prolifération d’un message.

Un message qui cache selon les spécialistes de la sécurité un programme malveillant. Un acte assez créatif encore une fois de la part de la cybercriminalité.

Cet article va aussi vous intéresser : Piratage par SMS, c’est une réalité !

On peut citer le nombre de fois où les pirates informatiques user de moyens assez intelligents et sophistiqués pour tromper l’utilisateur lambda. Ces tentatives sont différentes cependant elle démarque clairement de la compétence des pirates informatiques à surfer sur la vague. Cette nouvelle tentative se passe sur Facebook. Elle débute par ce texto : « Votre colis a été envoyé. Veuillez le vérifier et le recevoir. ». Ce Message, faut le noter, a été reçu par plusieurs utilisateurs en particulier français depuis le début du mois d’avril. À l’accoutumé, dans une technique qui se classe dans la catégorie phishing, il y a toujours un lien qui se trouve au bout du message. C’est exactement le cas ici et le mien est « tinyurl ». Donc celui-ci ne s’en dérobe pas.

Derrière ledit lien, se cache en réalité un programme malveillant. Bien sûr le message lorsque on le reçoit, il est clairement difficile de déterminer d’avance qui est le malfaiteur qui peut être à l’origine nom de son envoi. On peut être trompé en passant à un service de livraison où à un quelconque vendeur. À regarder de près, Le message fait douter quand bien même que le numéro qui l’envoie, est un numéro français.

Le programme malveillant caché derrière ce message se classe dans la catégorie des logiciels dit « banker », en d’autres termes des Malwares qui ont pour spécialité de voler des informations bancaires. Durant le mois de mars 2021, on avait déjà pu observer la présence de 9 programmes malveillants de ce genre qui étaient un peu éparpillés et ciblée particulièrement les utilisateurs de Android. Bien sûr l’objectif est simple : récolter suffisamment d’informations financières pour vider le compte bancaire de la victime. Associer à ce sms qui a un fort potentiel pour attirer la curiosité de l’internaute, l’efficacité est plus que confirmer. « Malgré ses capacités dangereuses, ce malware est relativement peu complexe par rapport aux autres logiciels de sa famille. Les bankers les plus développés mettent en place des moyens de collecte des informations bancaires plus subtils qu’un simple phishing : certains clonent les apps des banques, d’autres enregistrent les frappes sur le clavier du smartphone, d’autres encore sont capables de prendre des captures d’écrans. », Selon la plateforme cyberguerre.

C’est qui aurait pu trahir les pirates informatiques, c’est lorsque ces derniers ont demandé aux utilisateurs qui cliquer sur le lien d’installer sur leur smartphone : « Afin d’avoir une meilleure expérience, veuillez mettre à jour votre navigateur Chrome à la dernière version. » On lire sur le site. En plus de cela, le fichier qu’il fallait télécharger porte une dénomination assez étrange : « mxpcqpgjyk.apk ». Des éléments assez flagrants qui discréditaient totalement la tentative.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Discord : un abonnement de 9,99 € exigé comme rançon

C’est une situation assez insolite.

En effet, programme de rançon circule actuellement qui présente un caractère assez particulier.Le NitroRansomware, c’est ainsi qu’il se fait appeler. Sa célébrité vient du fait quelle demande 9, 99 dollars pour débloquer les ordinateurs qu’il a infecté. Alors que dans certains cas les opérateurs derrières les rançongiciels ont tendance à exiger des milliers voire des millions de dollar en guise de rançon. Qu’est-ce qui pourrait bien expliquer cette situation ?

Cet article va aussi vous intéresser : Ransomwares : Pourquoi en avoir peur ?

Selon les analyses du média en ligne Bleeping Computer, le rançongiciel dont il est question se fait aussi appelé Discord Nitro. Ce qui fait penser au chercheur en sécurité informatique que les ses opérateurs sont assez intéressés par les abonnements Nitro. C’est d’ailleurs un programme malveillant qui aurait été détecté par le un groupe de chercheurs, MalwareHunterTeam. Dans une publication parue sur Twitter ce samedi dernier, le groupe de chercheurs déclarait : « Il existe un ransomware appelé « Nitro Ransomware ». « Il n’y a pas d’autre moyen de l’ouvrir que si vous avez la clé de déchiffrement. Vous avez moins de 3 heures pour nous donner Discord Nitro. » Il vérifie en fait si vous entrez ».

Mais au-delà plusieurs autres groupes se sont intéressés à ce rançongiciels assez atypique. Il était retenu par ces derniers que le programme malveillant se distribue comme un code cadeau pour Nitro. « Lors de l’exécution du ransomware, il cryptera le fichier de la victime et leur donnera trois heures pour fournir un [code] Discord Nitro valide », a détaillé Cezarina Chirica, chercheuse à Heimdal Security, une entreprise sécurité qui s’intéresse aux programmes malveillant, dans une publication ce lundi. « Le logiciel malveillant ajoute l’extension ‘.givemenitro’ aux noms de fichiers des fichiers chiffrés. À la fin d’un processus de cryptage, NitroRansomware changera le fond d’écran de l’utilisateur en un logo Discord diabolique ou en colère. », ajoute cette dernière.

Pour ce qui concerne ces fonctionnalités, il semblerait notamment que le programme en question soit assez sophistiqué. À ce propos la chercheuse Cezarina Chirica explique. « NitroRansomware implémente également des capacités de porte dérobée, permettant aux pirates d’exécuter des commandes à distance, puis d’envoyer la sortie via leur webhook au canal Discord de l’attaquant ». Pour cela elle recommande aux utilisateurs qui ont été touchés par ce programme malveillant de procéder immédiatement au changement des différents mots de passe en particulier celui de Discord. D’effectuer quelques analyses avec leurs solutions antivirus pour détecter si d’autres programmes n’ont pas été ajouté à leurs terminaux. S’assurer que d’autres compte Windows n’ont pas été ajouté au sien, dans le cas contraire les supprimer sans tarder.

Le second questionnement que soulève le mode opératoire de ce programme malveillant est ce qui concerne la méthode de paiement. En effet les codes cadeaux. Pourquoi des codes cadeaux à 9 dollars ?

« De toute évidence, celui-ci est un peu stupide, mais BEC a réalisé il y a quelque temps que les cartes-cadeaux iTunes et autres sont parfaites pour le blanchiment d’argent – faites en sorte que la victime achète plusieurs cartes-cadeaux, puis une infrastructure criminelle existe pour la revente de cartes-cadeaux, le blanchiment de faux ebooks, applications, etc. » explique sur Twitter Kevin Beaumont, chercheur en cybersécurité

La soirée alors très bien calculé de la part des derrière NitroRansomware. Ils peuvent bel et bien utiliser les codes cadeaux qu’ils récolteront suite à cette campagne. Selon Gemini Advisor, deux éventualités s’offrent aux pirates informatiques pour la monétisation des coups de cadeaux. Soit ils les utilisent pour effectuer des achats de biens matériels physiques, soit il décide de le vendre dans le marché dédié au carte cadeau. « Dans [un] système, les cybercriminels utiliseraient des cartes de paiement volées pour acheter des cartes-cadeaux, puis les vendraient à Cardpool [un marché de cartes de crédit] », explique le rapport de Gemini Advisor. « Si une banque devait déterminer que la carte-cadeau avait été achetée avec une carte de paiement volée, elle pourrait se connecter avec la banque commerciale ou les vendeurs de cartes-cadeaux qui ont émis la carte-cadeau et leur demander d’annuler la carte-cadeau. Malheureusement, ce processus peut s’avérer fastidieux et long, ce qui en fait un événement rare et offre aux cybercriminels une fenêtre de temps plus large pour mener à bien leur programme. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Malware : un logiciel qui cible Facebook, Twitter et Google

« CopperStealer », c’est ainsi que le programme malveillant qui permet à des pirates informatiques de voler des mots de passe enregistrés sur des navigateurs a été baptisé par les chercheurs de la société américaine de cybersécurité Proofpoint.

Récemment, il a été découvert des centaines d’application de type espion qui pullulent sur le PlayStore de Google ainsi que sur l’App store de Apple ou encore ces programmes malveillants qui menacent tous smartphones qui tournaient avec une puce de type Snapdragon de la société américaine Qualcomm. La semaine dernière, les chercheurs en sécurité informatique de chez Zimperium ont mis à jour un autre programme malveillant qui qui précisément ciblait les smartphone Android OS sous la forme d’une mise à jour système.

Cet article va aussi vous intéresser : Malware : Le programme « Alien » capable de voler les mots de passe sur près de 226 applications présents sur le PlayStore

Pour en revenir à la star du jour, à savoir CopperStealer, c’est un logiciel malveillant qui donne la possibilité à son opérateur de pouvoir récolter des mots de passe que les utilisateurs auraient enregistré pour les différents comptes sur leur navigateur.

« Notre enquête a démontré que le malware est essentiellement conçu pour voler mots de passe et cookies, mais il est aussi capable d’installer des logiciels malveillants après avoir récupéré les données » note les chercheurs de Proofpoint dans leurs rapports.

Les spécialistes de Proofpoint affirment que le logiciel se propage à travers les cracks pour les jeux vidéo ou les keygen. Si lors du téléchargement, l’antivirus installé n’est pas à jour où performant, le virus s’infiltre alors dans le terminal.

Presque tous les navigateurs sont concernés même les plus populaires. On peut citer entre autre Microsoft Edge, Google Chrome, Opéra Mini, Firefox ou Yandex.

Les cybercriminels dans ce cas de figure se contentent simplement de voler les identifiants de connexion et les mots de passe qui vont par la suite au revendre sur le marché noir du darkweb. Les autres informations ne les intéressent pas. Les mots de passe des plateformes qu’ils ciblent le plus sont généralement sont ceux qui permettent de se connecter à Amazon, à Google, à Facebook, PayPal, Apple, Tumblr ou Bing.

Bien sûr, tout ceci est facilement exécutable lorsqu’on sait que les navigateurs emmagasinent sur leurs utilisateurs.

 « Pour ce qui est de Facebook, les pirates appliquent une procédure supplémentaire, puisque le malware récupère également vos cookies, afin d’obtenir des informations sur votre historique d’activité ou sur vos contacts. », Selon les chercheurs de Proofpoint.

Ce n’est pas tout, les chercheurs responsables de la découverte de CopperStealer ont affirmé que ce dernier est en mesure de diffuser d’autres programme malveillant sur les appareils qu’il a déjà corrompu. Cela bien sûr qui est accompli sa mission de récolter tous les mots de passe nécessaire.

Les spécialistes de la société de sécurité en tracer les origines de ce programme malveillant jusqu’à en juillet 2019. Il a été perçu des similitudes au niveau des méthodes de ciblage et de propagation avec SilenFade, qui se trouve être un groupe de logiciels malveillants qui auraient été concoctés par des hackers chinois. Des virus qui ont d’abord ciblé des comptes sur Facebook. Alors il est fort envisageable que ce soit les mêmes auteurs qui aient concocté CopperStealer, le fameux ILikeAd Media International Co, une société basée à Hong Kong, qui aurait eu un passé judiciaire assez mouvementé avec le réseau social Facebook. En effet, ce dernier aurait poursuivi la société de Hong Kong en 2019, pour avoir diffusé plusieurs programmes malveillants sur sa plate-forme. Des logiciels qui permettaient de diffuser de la publicité en utilisant le visage des célébrités. Et lorsque les visiteurs essayaient de cliquer sur ses publicités, un programme malveillant était installé sur leur compte de sorte à permettent aux pirates de pouvoir prendre le contrôle. « Ces comptes compromis étaient ensuite utilisés pour diffuser des publicités pour des produits contrefaits comme des pilules amaigrissantes ou des compléments alimentaires pour homme. Au total, Facebook a déploré pas moins de 4 millions d’euros de dommage. » explique Proofpoint.

Selon les chercheurs la meilleure manière de se protéger contre CopperStealer est de s’assurer avoir activé la méthode de connexion par authentification à double facteur sur tout vos comptes en ligne. Un conseil classique mais efficace pour se protéger. Il est aussi conseillé de faire attention aux téléchargements sur des sites à caractère douteux.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Des attaques informatiques qui ont marqué l’histoire de la cybercriminalité

Depuis des années, on peut facilement observer que les attaques informatiques se sont améliorées.

Les techniques utilisées ainsi que les moyens développés sont d’un tout autre niveau par rapport il y a une dizaine d’années maintenant. Il a 10 ans, pour un particulier être victime d’une attaque informatique était plutôt une hypothèse qu’une véritable éventualité.

Aujourd’hui, cela est un fait et se produit tous les jours. Pour cause, les pirates informatiques savent très bien pourquoi ils fonctionnent ainsi. Le statut de la personne, il faudrait savoir quel est une cible potentielle et de choix surtout. En particulier avec l’hameçonnage et le rançongiciel. Au-delà de tout ceci il faut mentionner le fait que les cyberattaques sont trop perfectionnées et nombreuses. « Le volume des cyberattaques augmente car notre société est plus numérique et plus interconnectée qu’avant. Il y a dix ans, il y avait beaucoup moins d’interconnections entre les ordinateurs, c’était donc moins visible, l’impact était plus local. Aujourd’hui, il ne suffit que d’une fragilité sur un petit élément pour que la chaîne entière soit affectée et qu’un hôpital soit complètement à l’arrêt » expliquait Laura Peytavin, une ingénieure consultante en systèmes de cybersécurité chez l’éditeur de solutions de sécurité informatique Proofpoint.

Cet article va aussi vous intéresser : Attaques informatiques : une riposte contre l’attaque de Microsoft serait en cours

Alors voici pour vous quelques attaques informatiques qui par leur portée et la sophistication ont marqué les actualités en matière de sécurité informatique

1) Stuxnet, le précurseur de la cyberguerre

Stuxnet est virus qui a été mis à jour en 2010. Il fut utilisé pour porter un texte au programme du nucléaire iranien. Il fut introduit dans les systèmes informatiques ciblés à travers l’utilisation de ver informatique qui se présente comme : « un logiciel malveillant qui utilise une vulnérabilité pour s’introduire dans un ordinateur pour essayer des pirater tous les appareils à proximité en utilisant les mêmes vulnérabilités » explique Corinne Henin, une experte en sécurité informatique indépendante.

Stuxnet a été conçu par les services américaine et israélienne. Ce programme malveillant a pu alors effectuée près de 30 000 ordinateurs Iraniens, permettant ici aux Alliés de prendre le contrôle de certaines les infrastructures nécessaires pour le fonctionnement de la centrale d’enregistrement d’uranium. Cela a causé plusieurs dysfonctionnements des outils quitte à ralentir le processus voir des explosions.

« C’est la plus grosse cyberattaque interétatique dont on peut prouver qu’elle est interétatique », note Corinne Henin. « Ici, toutes les preuves ont montré que la NSA était derrière le piratage alors que, dans d’autres cyberattaques de grande ampleur, il est bien plus compliqué d’incriminer un État ou un autre » ajoute cette dernière.

2- Cyberbunker

La BBC déclare en 2013 comme « la cyberattaque la plus importante de l’histoire ». Un incident informatique qui a ralenti de manière ponctuelle l’accès à Internet. Cela à cause d’un conflit entre deux entreprises informatique, Cyberbunker et Spamhaus.

Notons que Spamhaus et une organisation à but non lucratif qui a pour objectif d’apporter son aide à des fournisseurs de courrier électronique en les aidant à filtrer les contenus indésirables et les spams. De son côté Cyberbunker est perçu comme un hébergeur qui prends la responsabilité d’abriter n’importe quel type de contenu sauf bien sûr « hormis la pédopornographie et tout ce qui est lié au terrorisme ». Cependant cette dernière est soupçonnée de souvent héberger des services de spams, de ce fait elle a été placée sur la liste noire de la première. Cela s’est soldé par une vengeance informatique. Spamhaus a vu ses serveurs touchés par une attaque par déni de service. L’attaque a eu pour conséquence le ralentissement total du web

3- WannaCry, le ransomware

Aujourd’hui, c’est sans doute l’attaque informatique la plus célèbre. Ce piratage a eu lieu, du moins a officiellement débuté en 2017 précisément durant le mois de mai. C’est plus de 300 000 ordinateurs dans le monde entier, fonctionnant sur le système d’exploitation de Microsoft c’est-à-dire Windows qui ont été infectés. Le virus à l’origine a connu une propagation figurante, considéré à cette époque comme inédite. « Un groupe de pirates prétendait alors avoir piraté la NSA en dévoilant tous ses outils de l’époque. Et parmi ces outils figuraient une faille de Windows — touchant jusqu’à Windows 10 —, qui a été utilisée un mois après pour créer WannaCry » affirme Corinne Henin.

Il faut noter que beaucoup d’internautes et organisation ont été littéralement contraints de payer la rançon dans le but de pouvoir récupérer leurs données. Les dégâts causés par cette attaque informatique se sont évalués à hauteur de 4 milliards de dollars américains. La France a été le quatrième pays le plus touché par cette propagation de programme malveillant avec près de 20 000 ordinateurs infectés. « Avant, les gens ne prenaient pas forcément conscience du problème. Avec WannaCry, ils ont perdu leurs données ainsi que l’accès à leur infrastructure… » souligne la spécialiste.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage