Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

Alerte ! Un nouveau virus ça se fait passer pour des messageries populaires d’Android

Les spécialistes de la société de cybersécurité ESET en fait la découverte en un nouveau malware.

Un logiciel espion qui cible particulièrement les utilisateurs du système d’exploitation de Google Android. Il aurait été conçu par un groupe de pirate classé dans la catégorie des menaces persistantes avancées, le groupe APT-C-23. Ce qui rend encore plus dangereux ce programme malveillant, c’est sa capacité à se faire passer pour des applications de messagerie déjà connues, pour facilement duper les utilisateurs que ce nous sommes.

Cet article va aussi vous intéresser : Valak: focus sur un virus qui menace les données personnelles

En avril dernier, lors d’un tweet publié par un certain @malwrhunterteam que tout commence véritablement. La publication met en évidence la découverte de virus informatique qui jusque-là et peu connu. Après la publication, les chercheurs en sécurité informatique de la société ESET vont alors se pencher sur la question. Après une enquête minutieusement menée, ils se sont rendu compte que le programme malveillant Android/SpyC23.A était lié d’une certaine manière au groupe APT-C-23, les pirates informatiques qui seraient actifs depuis au moins 2017.

« C’est une nouvelle version améliorée de leur logiciel espion mobile », a noté Lukas Stefanko, un chercheur en sécurité chez ESET. En clair, une version un peu plus dangereuse de logiciel qui existait bel et bien. « Android/SpyC23.A » est en réalité une nouvelle version de logiciel développé par le groupe de pirates d’APT-C-23, destiné à des pratiques d’espionnage. Les cibles principales de ces cybercriminels à travers le malware sont des utilisateurs des smartphones Android au Moyen-Orient.  Selon les spécialistes, la nouvelle version est beaucoup dangereuse, est difficile à détecter. C’est en 2017 que la toute première version a été identifié par Qihoo 360 Technology. On le connaissait sous la dénomination de « Two-tailed Scorpion ». Il faut signifier par ailleurs que APT-C-23 utilise aussi des composants Windows pour ses cyberattaques.

Pour en revenir à « Android/SpyC23.A », le chercheur d’ESET qui l’ont étudié de plus près affirment que le logiciel espion a été détecté dans certaines applications prenant la forme de logiciel de messagerie connu tel que Telegram ou encore Threema. Pour aller plus loin les cybercriminels au même créer une boutique d’application en ligne, pour faciliter la mise en scène et trompé les utilisateurs. Une boutique qui contient à la fois des applications officielles et des applications truquées.

« Les pirates utilisent des techniques d’ingénierie sociale pour tromper les victimes et les conduire à octroyer différents privilèges sensibles au malware. Par exemple, la permission de lire les notifications est présentée comme étant une fonction de chiffrement des messages », a souligné Stefanko.

Une fois les autorisations obtenues, le logiciel malveillant peut permettre alors de surveiller les différentes tâches effectuées sur le smartphone infecté. Il peut aussi permettre à ses utilisateurs de transférer des fichiers vers des serveurs appartenant au groupe de pirates.

Face à la menace, société de sécurité informatique recommandant utilisateur de se limité qu’aux applications présentent sur la boutique officielle. Elle recommande aussi de faire très attention lorsque vous validez les autorisations demandées par les applications que vous installez. La dernière recommandation et l’installation de solutions de sécurité.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Valak: focus sur un virus qui menace les données personnelles

Le programme malveillant connu sur le nom de Valak commence à s’étendre de plus en plus sur le web, cela est une société spécialisée dans la sécurité informatique.

Le logiciel malveillant se propagerait à travers un document Word, ajouté comme pièce jointe dans certaines correspondances électroniques. L’objectif de ce virus : voler le maximum des données personnelles.

Cet article va aussi vous intéresser : Cybersécurité : un nouveau virus fait son apparition selon le FBI et la NSA

Cet état de fait a été mis en avant par l’entreprise américaine CheckPoint, une spécialiste dans la fourniture de solutions de sécurité informatique de niveau mondial. On peut s’en rendre compte dans son rapport produit sur les 10 programmes malveillants les plus dangereux pour le mois de septembre 2020. Au premier rang de ce classement, c’est le célèbre Emotet, un virus qui a su profiter de la crise de la Covid-19 pour se propager encore plus.

Si Valak a attiré l’attention des spécialistes de la sécurité, c’est parce que son nom a commencé à s’étendre plus que d’habitude. De venir ici une menace à ne plus négliger, à cause de sa propagation. Les comptes en ligne, les ordinateurs et les entreprises en sont dorénavant menacés par ce logiciel malveillant qui jusque-là était discret

Le temps qu’il a connu comme étant le virus des données personnelles à cause de sa propension à vouloir les subtiliser. Il a donc un danger à ce niveau qu’il faut surveiller de près. Ce virus à cible à tout le monde. Les entreprises, les organismes publics, les particuliers. Les chercheurs font aperçu l’activité de ce programme malveillant vers la fin de l’année 2019. A ce moment, il agissait plus tôt quand même propagateur de virus. Avec la nouvelle version en circulation, il devient le même un virus à part entière. En d’autres termes, il ne se contente plus de propager à travers les terminaux des virus. Il est lui même un virus et sans prendre directement aux ordinateurs pour en extraire les informations.

Apparemment, le logiciel malveillant cible particulièrement les informations stockées sur Microsoft Exchange, selon le chercheur de checkpoint. Ce qui dans un certain sens pourrait limiter son champ d’action. Cependant, il est aussi capable apparemment de dérober des identifiants de connexion sur des ordinateurs qu’il aurait infectés. C’est qui malheureusement mets les comptes en ligne en danger. Mais il est fort à parier que les services populaires sont généralement les plus ciblées tels que Facebook, Google, ou encore les plateformes bancaires. Les informations tel que les certificats de domaine seraient aussi concerné par Le champs ciblé de Valak. Et cela se comprenait nettement car, lorsque le certificat HTTPS d’un site l’entreprise est contourné, les données générées où échangées par les visiteurs du site ne sont plus cryptées ils peuvent être alors récupérées par les pirates informatiques. Ce qui est assez effrayant quand on imagine la possibilité des informations qui peuvent être volées sur un site dédié aux transactions, peu importe dans la nature. Tous les visiteurs du site web cibler dans ce contexte sont exposés.

La directrice de la recherche et l’intelligence sur les menaces chez Check Point, Maya Horowitz explique certains points sur le virus : « Ces nouvelles campagnes diffusant Valak sont un autre exemple de la façon dont les acteurs de la menace cherchent à maximiser leurs investissements dans des formes établies et éprouvées de logiciels malveillants. Avec les versions mises à jour de Qbot qui ont émergé en août, Valak est destiné à permettre le vol de données et d’identifiants à grande échelle auprès d’organisations et d’individus. Les entreprises devraient envisager de déployer des solutions anti-malware qui peuvent empêcher ce contenu d’atteindre les utilisateurs finaux, et conseiller à leurs employés d’être prudents lors de l’ouverture de courriels, même lorsqu’ils semblent provenir d’une source fiable. ».

À la question de savoir comment se protéger de Valak, il faut d’abord appréhender son mode de propagation. Le système est un classique pur. La propagation par document Word infecté une logique de phishing courant. Une pratique connue mais qui est toujours aussi efficace. Il est donc en recommandé une grande vigilance dans le traitement des courriels des pièces jointes. Si la provenance d’un courrier électronique vous est méconnu, vous devez tout simplement éviter ouvrir. Au cas où vous pouvez visiter le site VirusTotal qui veut offre la possibilité de scanner des pièces jointes sans avoir à les ouvrir. Avec cette précaution supplémentaire, vous pouvez éviter beaucoup de désagrément. Enfin, utiliser une solution antivirus pour bloquer ce genre de menace en amont.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

De plus en plus de collectivités touchées en France par les ransomwares

Le mardi dernier, la ville de Mitry-Mory voyait ses données confidentielles publiées sur internet.

Depuis le début de l’année, les collectivités locales sont de plus en plus touchées par les attaques au rançongiciel. La crise sanitaire à d’une certaine manière profiter aux pirates informatiques qui ont le vent en poupe.

Cet article va aussi vous intéresser : L’île de France à l’épreuve des ransomwares

La longue liste des collectivités françaises touchées par les attaques vient de s’allonger avec Mitry-Mory en Seine-et-Marne. Les pirates informatiques ayant essayer de faire chanter les responsables de la ville sans succès ont décidé de publier en ligne les données dérober sur le système informatique de la ville dont il avait le contrôle. L’objectif bien sûr est de faire pression sur la collectivité pour qu’elle puisse céder au chantage. Selon les premiers responsables de la ville, elle ne payera de toute manière pas les rançons demandées. D’ailleurs elle n’aurait reçu « aucune nouvelle demande de rançon ».

La commune explique sa position ferme parce « qu’aucune donnée confidentielle ou dommageable pour les administrés n’a été volée ». Il faut rappeler que la ville avait été attaquée durant la semaine du 18 et du 19 juillet 2020. Le rançongiciel utilisé ici est célèbre en son genre et il s’agit de « DoppelPaymer ». 

À cause du développement du télétravail dû à la crise sanitaire, les systèmes informatiques des collectivités ont été plus que vulnérables. La multiplication des postes de travail à distance a été un facteur déterminant dans cette explosion de la cybercriminalité dirigée contre elles. Et il faudra s’attendre à encore plus d’attaques les mois à venir.

« Entre janvier et septembre 2020, l’industrie, les collectivités territoriales et la santé ont été les secteurs d’activité les plus affectés par les attaques par rançongiciels traitées par l’Agence nationale de la sécurité des systèmes d’information (Anssi) », souligne François Deruty, sous-directeur Opérations de l’Anssi, lors du lancement du Cybermois, un événement de sensibilisation qui débute généralement en octobre chaque année.

Par ailleurs, selon un rapport fourni par le club des professionnels de la sécurité informatique, 30 pour 100 des collectivités interrogées lors de leurs enquêtes (environ 200) ont affirmé avoir été touchée par un rançongiciel. Et 53% des collectivités locales ne communiquent même pas sur les incidents informatiques donc elles sont victimes. Certaines ont dû informer leurs administrés parce qu’elles n’ont pas réussi à cacher l’incident.

Voici quelques collectivités ayant été recensées par le CLUSIF comme étant victime de cyberattaque.

– Saint-Paul-en-Jarez, dans la Loire, en janvier. La collectivité a été touchée par Sodinokibi, un ransomware qui a apparu en avril 2019 et qui a été utilisé contre plusieurs villes de l’État du Texas, selon un rapport de l’Agence Nationale de Sécurité des systèmes d’information.

– en Isère, plusieurs communes ont été victimes du même genre de cyberattaque, notamment Crêts-en-Belledonne ou Tullins-Fure, toujours en début d’année.

– La région Grand-Est a été victime début du mois de février par le rançongiciel « Dridex »

–  La métropole d’Aix-Marseille-Provence, e mars, avec la ville de Marseille et de Martigues, victimes de rançongiciels, causant ainsi de nombreux dégâts à la veille des élections municipales. Les attaques ont coïncidé avec le début de la période de confinement.

–  Dans le Morbihan, 2 communes ont été aussi touché par des attaques informatiques.

Dans la foulée, l’Agence nationale de sécurité de système d’information avait publié un ensemble de mise en garde suivi d’une mise à jour des informations connues sur le cryptovirus Mespinoza/Pysa, un programme malveillant utilisé contre les systèmes informatiques des collectivités bucco-rhodaniennes.

En début du mois de septembre, les données qui ont été collectées lors de ces différentes cyberattaques ont été mises en ligne par les pirates informatiques. « Il est désormais important de prendre en compte ce nouveau risque sur la confidentialité des données qui peut notamment amener des implications importantes liées à la réglementation RGPD », souligne Le Gendarme de la cybersécurité sur ces nouvelles pratiques.

Durant le mois de juillet, en plus des attaques informatiques qui ont cibler la ville de Mitry-Mory, le département d’Eure-et-Loir a été aussi touché par des incidents de ce genre. La collectivité a été littéralement paralysée pendant plusieurs jours au niveau informatique.

En outre, « 90% des attaques pourraient être réglées avec des mises à jour régulières, des mots de passe solides et des sauvegardes hors ligne. » note l’expert pour cybermaveillance.gouv.fr, la plateforme gouvernementale de prévention des cybermenaces, Jean-Jacques Latour.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un malware qui vole le code d’authentification à double facteur

L’authentification à multiples facteurs se présente aujourd’hui comme l’un des protocoles de sécurisation des accès les plus efficaces.

Cela permet de protéger ses accès et aussi de pouvoir se connecter sans craindre une fois des tentatives de phishing. Surtout lorsque on veut se connecter via un autre appareil. L’application de l’authentification à double facteur est étendue sur plusieurs secteurs financiers. Des secteurs bancaires au réseau sociaux en passant par les utilitaires administratifs.

Cet article va aussi vous intéresser : Google Authentificator : un programme informatique malveillant serait capable de dérober les codes de l’authentification à double facteurs

Méthode supplémentaire ajoutée grâce à une authentification à double facteur consiste tout simplement de confirmer son statut après avoir fait rentrer le mot de passe par un code qui est généré automatiquement et envoyer par sms ou email. En d’autres termes en même si le cybercriminel réussi à dérober le mot de passe, lui sera difficile de mettre la main sur le code authentification qui lui est généré instantanément et envoyer par mail au texto.

Mais cette réalité risque de changer. En effet, il semblerait qu’il existe un programme malveillant qui pourrait briser l’authentification à double facteur.

Le vendredi dernier des chercheurs en sécurité informatique ensemble qui l’a découvert un groupe de cybercriminels iranien avait réussi à développer un nouveau malware Android qui serait en mesure de contourner la fameuse authentification. Et cela en dérobant les codes envoyés par SMS à pour la seconde vérification. Ce groupe de pirate informatique se fait appeler « Rampant Kitten ». Il serait en activité depuis maintenant 6 ans. Selon certaines informations, il serait affilié au gouvernement Iranien et chargé dans ce contexte de mener certaines opérations de surveillance de potentiels des ennemis du pays, des organisations telles que l’organisation de la résistance nationale d’Azerbaïdjan ou celle qui lutte pour le peuple du Baloutchistan.

La découverte de ce nouveau programme malveillant a été faite par les spécialistes de la cybersécurité de CheckPoint Research. Ils l’expliquent dans un rapport publié le vendredi dernier. Apparemment une porte dérobée aurait été créé par c’est informatique sur Android. Grâce à cette ouverture, ce dernier peut facilement accéder à certains l’aspect des smartphones pour nos sous Android tel que les Contacts et les messages texte. Ils seraient aussi capables d’activer le micro des smartphones et d’espionner les utilisateurs. Et bien sur la possibilité de facilement s’emparer des codes pour l’authentification à multiples facteurs.

Pour le moment, on sait que la priorité des cybercriminels est de cibler en particulier les services Google. En effet les chercheurs de checkpoint ont affirmé que le programme malveillant se focalise pour le moment sur les messages de double authentification « contenant la chaîne “G-“, un préfixe utilisé sur tous les messages de vérification envoyés par Google ». En pratique, la cible doit être les utilisateurs des services tel que Google Drive, Gmail, etc.

Pour commencer les cybercriminels procède de par une tactique de phishing classique. Ils produisent une page factice du service Google concerné. Ils attendent simplement que l’utilisateur saisie les informations d’identification nécessaires pour accéder à son compte. Avec l’activation de l’authentification à double facteur, le direct informatique profite pour introduire dans le smartphone de leur cible à travers un sms un cheval de Troie. Malware qui leur donnera accès au message. Ils pourront donc récupérer le code d’identification envoyé en second lieu pour l’authentification double.

Toutefois, les chercheurs de la société de cybersécurité ont précisé que ce programme malveillant n’est pas typiquement destiné au service Google même si pour le moment il semble que c’est seulement que dans cet environnement qu’il se focalise. Mais il semblerait que les pirates informatiques utilisent pour réussir à contourner la double authentification imposée par l’application de messagerie Telegram d’autres réseaux sociaux tels que Facebook ou même Twitter. On retiendra par conséquent que le groupe de pirate iranien “Rampant Kitten” tu n’es pas la seule équipe d’hacker à réussir à briser la double authentification. En 2019, le groupe APT20 avait aussi été pressenti pour avoir contourné ce protocole de sécurité. Cependant, la mise en pratique dans des conditions réelles n’est pas aussi simple que cela a l’air. Mais le risque n’est quand même pas à négliger. Si ce protocole est autant ciblé par le cybercriminel, c’est sûrement que dans un certain sens son efficacité est avérée.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Quand un programme malveillant copie un autre pour plus d’efficacité

Maze est un célèbre ransomware qui a été impliqué dans beaucoup d’attaques informatiques au cours de l’année dernière et cette année, en particulier celle qui a affecté le géant Français Bouygues.

Mais les éditeurs de ce programme ont décidé de passer à la vitesse supérieure. En effet ce célèbre rançongiciel copie le système de camouflage utilisé par un autre célèbre de son genre, Ragnar Locker. Ce camouflage permet au rançongiciel d’être difficilement détectable sachant qu’il se cache derrière une machine virtuelle. Ce qui empêche les systèmes de détection standard de s’apercevoir de sa présence.

Cet article va aussi vous intéresser : Attaque de Bouygues construction : 3 choses à savoir

Cette nouvelle technique employée par les éditeurs de maze a été découverte par la société britannique de cybersécurité Sophos durant le mois de juillet. Et cela suite à une tentative d’intrusion qui a vite été interceptée. Le groupe de cybercriminel derrière cette tentative n’a pas encore été détecté.

On retiendra alors que les cybercriminels disposent dorénavant de plus de moyens qui leur permet de disséminer plus facilement leur rançongiciel. Du moins, c’est ce qui semble évident avec la découverte de se Sophos. Une découverte qui est survenue 4 mois après l’utilisation de cette technique par Ragnar Locker. La technique permet aux éditeurs de logiciels de rançonnage de dissimuler leur programme malveillant derrière des machines virtuelles. Ce qui empêche les programmes de sécurité que la cible de les détecter plus facilement. Le cas devient alors compliqué lorsqu’on sait à quel point le rançongiciel Maze à été impliqué dans la cyberattaque de plusieurs grosses entreprises à travers le monde à savoir le géant coréen LG, Bouygues construction, Leon Grosse, Canon, Xerox, Cognizant, SK Hynix…

« Lors de l’incident Maze, les acteurs de la menace ont distribué la charge utile de chiffrement de fichier du ransomware sur le disque dur virtuel de la machine virtuelle (un fichier d’image de disque virtuel Virtual Box .vdi), qui a été livré dans un fichier d’installation Windows .msi de plus de 700 Mo en taille », explique la spécialiste de la sécurité Sophos dans un billet de blog. « Les attaquants ont également regroupé une copie épurée, vieille de 11 ans, de l’hyperviseur Virtual Box dans le fichier .msi, qui exécute la VM comme un terminal non déterminé, sans interface utilisateur. » ajoute t’elle. Cependant, cela est différent la tactique qui a été utilisée lors de l’attaque du géant portugais de l’énergie EDP, avec le logiciel Ragnar Locker. Ici, le programme malveillant avait été déployé dans une machine virtuel sur Windows 10.

La société Britannique de sécurité informatique Sophos a expliqué avoir découvert la nouvelle technique le des simulations du rançongiciel Maze lors d’une enquête mini durant le mois de juin après qu’une organisation ait été ciblées par une attaque informatique. Le montant de la rançon exigée par les cybercriminels était à hauteur de 15 millions de dollars. Alors, on peut imaginer que c’est une grosse organisation qui a été attaquée même si Sophos se garde de donner son nom. Les cybercriminels ont tendance à adapter le prix en fonction de leur cible. « L’enquête a également révélé plusieurs scripts d’installation qui ont révélé les tactiques des attaquants et ont révélé qu’ils avaient passé des jours à se préparer à lancer le ransomware en créant des listes d’adresses IP à l’intérieur du réseau de la cible, en utilisant l’un des serveurs de contrôleur de domaine de la cible et en exfiltrant données au fournisseur de stockage cloud Mega.nz », note Sophos.

D’après cette dernière, le pirate informatique a réussi leur coup après avoir réussi plus de 3 fois. Car les deux premières tentatives ont échoué. Ils avaient essayé de lancer des fichiers exécutables de leur programme malveillant en utilisant les tâches planifiées de Windows Update Security Patches et Google Chrome Security Update ou Windows Update Security. Selon les explications de Sophos : « La machine virtuelle a apparemment été configurée à l’avance par quelqu’un qui savait quelque chose sur le réseau de la victime, car son fichier de configuration (« micro.xml ») mappe deux lettres de lecteur qui sont utilisées comme lecteurs réseau partagés dans cette organisation particulière, vraisemblablement ainsi peut crypter les fichiers sur ces partages ainsi que sur la machine locale. Il crée également un dossier dans C: \ SDRSMLINK \ et partage ce dossier avec le reste du réseau ». La société de sécurité informatique explique que : « À un moment donné (on ne sait pas quand et comment, exactement, cela a été accompli), le logiciel malveillant a écrit également un fichier nommé startup_vrun.bat. Nous avons trouvé ce fichier dans c: \ users \ Administrator \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Startup, ce qui signifie qu’il s’agit d’un mécanisme de persistance qui repose sur le redémarrage de l’ordinateur avant que les attaquants ne lancent le malware. ». Le script a permis aux cybercriminels de mettre une commande afin de stopper l’ordinateur immédiatement après avoir copié 3 fois le même fichier, qui se trouvait dans la racine du disque. Les pirates informatiques ont attendu que la machine soit rallumée pour que le script s’exécute et produit les conséquences qui ont suivi.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage