Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

Malware et coronavirus, une combinaison qui devient de plus en plus dangereux pour les utilisateurs

Depuis un certain moment déjà, les pirates informatiques essaient de profiter de la pandémie qui touche le monde entier, le coronavirus.

Récemment il a été découvert une application qui profiterait de la panique générée par le coronavirus pour s’en prendre aux utilisateurs de smartphone et les escroquer au passage. Mais pas de panique, car il vous suffit simplement de taper le code suivant pour que tout aille bien « 4865083501 ».

Cet article va aussi vous intéresser : En pleine crise de la pandémie du coronavirus, un hôpital Tchèque est victime d’une attaque informatique

Quelle est cette application et comment fonctionne-t-elle exactement et sur quelle plateforme ? Geoffroy Husson, journaliste IT chez FrAndroid explique cela en ces termes : « Alors que la pandémie du Covid-19 fait rage partout dans le monde, des pirates en profitent pour escroquer de l’argent à celles et ceux souhaitant avoir des informations statistiques sur la crise du coronavirus. Une application Android va ainsi bloquer votre smartphone à moins que vous payiez 100 dollars… ou que vous rentriez un code unique. ». A part cela, on peut déduire deux choses très importantes. D’abord l’application ne touche que les terminaux sous Android du moins c’est ce qui a été détecté pour le moment. Ensuite l’application fonctionne comme un rançongiciel pour ne pas dire que c’est un rançongiciel. Seulement que lui il s’installe par le biais de l’utilisateur directement. Il y a exactement une application qui a pour le moment été détectée dans ce genre de contexte : Coronavirus Tracker ou encore nommé CovidLock.

Dans les normes c’est une application qui est censé permettre à ses utilisateurs d’avoir certaines informations relatives au coronavirus, aux statistiques relatives à la maladie ainsi qu’une sorte de carte en permettant de suivre son évolution à l’échelle nationale et mondiale. Seulement que tout ceci n’est pas vrai du tout, car le but est bien sûr de prendre en otage le terminal Android de l’utilisateur imprudent. « Une fois l’application installée depuis le site du développeur sur un smartphone Android, les utilisateurs réalisent rapidement qu’il s’agit en fait d’un malware. Un message s’affiche indiquant que le smartphone est désormais chiffré et que les données de l’appareil sont tout bonnement inaccessibles. ». Explique Geoffroy Husson. Et selon le mode opératoire des rançongiciels, les pirates informatiques derrière l’application  vont exiger le paiement d’une rançon mais pour le coup assez modique. On parle ici de 100 à 250 dollars mais exigés en bitcoins.

Après analyse, le groupe de pirates derrière cette opération se fait appeler « Web Designius ». Malheureusement pour ce groupe de pirate, la configuration d’Android, permet de lutter déjà contre ce genre de programmes malveillants. Car selon les experts qui ont analysé COVIDLOCK, il semblerait qu’il n’ait pas été conçue par les spécialistes. Le chiffrement étant similaire pour tous les téléphones touchés par le programme, un seul code suffit pour tous les déverrouiller. Et selon les experts le code de déverrouillage se trouve même dans le code source du programme malveillant.

Même si cela n’est pas assez dangereux que cela, le problème de ce programme malveillant rappelle déjà le conseil qui a mainte et mainte fois été donné aux utilisateurs d’Android, de ne pas télécharger d’application en dehors de la boutique officielle de Google c’est-à-dire le PlayStore. Car les utilisateurs sont protégés grâce à Google Play protect depuis le PlayStore, qui permet d’assurer l’intégrité des programme leurs smartphones. Par ailleurs, Si vous voulez suivre l’évolution de la pandémie, certaines plateformes officielles et reconnues vous offrent ce genre de service à les stars de Bing de Microsoft.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Google Authentificator : un programme informatique malveillant serait capable de dérober les codes de l’authentification à double facteurs

Selon les experts, il serait en circulation depuis un moment, un programme informatique dangereux pour les terminaux tournant sous Android.

En effet, ce dernier serait en mesure de pirater l’authentification à double facteurs, via le système de Google authentificator. Il serait apparemment une variante d’un autre virus Android, qui auparavant aurait été destiné aux piratages bancaires. Notre programme malveillant se dénomme « CERBERUS ».

Cet article va aussi vous intéresser : Comment contourner l’authentification à deux facteurs (2FA) ?

Pour les chercheurs de Threatfabric, car c’est bien sûr eux qui ont fait la découverte, le programme malveillant pourra servir à contourner des plateformes que les utilisateurs voudraient accéder. Ce qui pose un véritable problème de sécurité car il va mettre en mal ce système qui depuis longtemps a été considéré comme étant le plus sûr. Pour cela, les experts ont peur que cela ne se vulgarise.

Il faut noter que ce programme malveillant a été détecté depuis 2019 sur plusieurs forums. Généralement c’était des plateformes dédiées à la location de produit. A l’origine, il était capable de servir d’enregistreur de frappes. Permettant ainsi à ses éditeurs de récupérer pas mal de références appartement aux utilisateurs piégés tel que des SMS, les contacts des utilisateurs, les appels effectués, etc… Dans d’autres cas, il était peut-être possible pour les pirates informatiques de contrôler les smartphones même à distance. Voire même installer des applications à l’insu de l’utilisateur principal.

Mais depuis peu le virus a muté, ayant aujourd’hui d’autres fonctionnalités que l’on lui connaît. C’est-à-dire, voler les codes identifications permettant d’authentifier à plusieurs facteurs, et cela, via Google authentificator : « Le cheval de Troie peut désormais aussi voler les codes 2FA générés par l’application Google Authenticator, en abusant les privilèges d’accessibilité. Lorsque l’application est lancée, le cheval de Troie peut obtenir le contenu de l’interface et le transmettre au serveur [des pirates, ndlr]. Une fois encore, on peut en déduire que cette fonctionnalisée sera utilisée pour contourner les services d’authentification qui dépendent de codes OTP » , expliquent les spécialistes de Threatfabric.

Ce qui serait rassurant dans tout cela, c’est que pour le moment l’usage d’un tel programme n’est pas du tout répandu. Heureusement. Il semblerait que cela n’est qu’une phase de test car les éditeurs n’ont pas entrepris une campagne de publicité autour de leur programme informatique.

 Raison de plus, pour demeurer sur ses gardes. Car, il est clair que l’authentification à double facteurs est devenu dorénavant la cible des pirates informatiques. La méthode la plus sûre jusqu’à présent trouvé pour accroître la sécurité des utilisateurs sur le web. Et sans mentir c’est la méthode la plus recommandée aujourd’hui par les experts. Si le système d’authentification via envoie de SMS a toujours été critiqué comme étant vulnérables à cause de la technique de la Sim Swapping. Phénomène qui a rendu l’utilisation de Google authentificator très célèbre, est aujourd’hui en train d’être pris à revers par CERBERUS. La prudence est dorénavant de mise. À croire qu’on ne peut être protégé nul part.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Italie : Quand le Coronavirus sert de raison aux attaques de spams

SophosLabs a mis en lumière une stratégie des pirates informatiques permettant d’infecter ou t’attaquer par la procédure de phishing les terminaux à travers un piratage via des spams.

Les spams reçus par les personnes ciblées contiennent un programme malveillant Trickbot. Pour inciter leurs victimes à cliquer sur messages, les pirates informatiques vont utiliser le succès médiatique autour du coronavirus et bien sûr cela marche.

Cet article va aussi vous intéresser : L’approche de Trend Micro de la cybercriminalité en 2020

Le virus fait peur, et les pirates informatiques profite de cette grande confusion. Comment vous direz ? C’est simple. Ces derniers vont concevoir des documents cliquables qui font références à des messages relatifs aux virus, des informations concernant des méthodes à respecter pour éviter la maladie, etc. Derrière ces documents seront cachées les programmes malveillants qui seront prêts à infecter les terminaux des personnes les plus imprudentes.

« Les cybercriminels derrière Trickbot sont probablement des attaquants habiles qui tirent parti de la peur actuelle pour effrayer les gens et les inciter à cliquer. Bien que ce soit le cas en Italie actuellement, nous nous attendons à une attaque similaire dans d’autres pays où les craintes d’une épidémie de COVID-19 sont élevées. La meilleure approche pour éviter ce type de cyberattaque est de désactiver les macros, d’être très prudent avant de cliquer, mais aussi de supprimer les e-mails suspects ou provenant d’une source inconnue. » a expliqué Chester Wisniewski, le responsable de recherche chez SophosLabs. « Chaque fois qu’il y a un sujet d’intérêt public comme le COVID-19 ou les incendies en Australie, nous voyons que les cybercriminels essayent de tirer parti de nos inquiétudes pour en faire une opportunité. Nous devons rester vigilants et nous méfier des communications entrantes en temps de crise et ne demander conseil qu’à nos autorités de santé publique ». Continue-t-il.

Alors quelques conseils pour ne pas se laisser distraire, et préserver l’intégrité de ses données informatiques ainsi que de son terminal

  1. N’ayez pas l’habitude de cliquer sur des liens que vous recevez par email en particulier quand vous ne connaissez pas expressément les destinataires. En ce qui concerne les conseils concernant le coronavirus, les photos de catastrophes naturelles, il est préférable de passer par des moyens officiels car il existe toujours des plateformes créées par les institutions publiques à ce genre d’effets.
  • Faites très attention au nom utilisé par les expéditeurs des messages que vous recevez. En effet il est courant pour ces personnes d’utiliser des dénominations assez courantes appartenant aux institutions publiques telle que l’Organisation mondiale de la santé, la banque mondiale Exetera. Pour être sûr exactement adresse mail ou éviter tout simplement de vous fier à cela.
  • Le contenu des messages que vous recevez. Il arrive souvent quels sont parsemés de fautes d’orthographe de grammaire.
  • Ne partagez jamais vos données personnelles sans aucune raison véritable. En clair ne donner pas vos informations personnelles.
  • Eviter surtout d’utiliser le même mot de passe sur plusieurs sites internet.
  • Activer toujours l’authentification à double facteurs.
  • Soyez prudent et dès instant que vous vous sentez quelque chose de suspect se passe sur un site web sur lesquels vous avez entrer vos coordonnées, penser immédiatement à changer vos mots de passe et pour vos identifications.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Les cartes mères Gigabytes, les cibles du rançongiciel Robinhood

Les pirates informatiques qui se servent du fameux programme malveillant Robinhood ont décidé d’exploiter des failles de sécurité présente dans le driver des cartes mères Gigabytes.

L’objectif est d’éliminer la protection antivirus liés aux terminaux cibles.

On se rappelle qu’en fin d’année 2019, la ville américaine de Baltimore avait été paralysée sur le plan informatique par un programme malveillant de type rançongiciel. Ce programme se fait appeler Robinhood. Mais sa célébrité ne se limite pas simplement à l’attaque de la ville de Baltimore dans le Maryland. La ville de Greenville dans la Caroline du Nord a été aussi victime du même programme malveillant. Les experts de la sécurité informatique de la société de cybersécurité Sophos, après avoir étudié ce logiciel malveillant ont décrit certaines de ses particularités. Les utilisateurs se basent essentiellement sur une faille de sécurité (CVE-2018-19320) qui fut découverte en 2018.

Cet article va aussi vous intéresser : 4 questions à répondre pour un système de sécurité plus sûr

La vulnérabilité en question est à présent dans les cartes mères Gigabytes. Le fournisseur de cette technologie alors mis fin à la production du driver vulnérable. Cependant, « il existe toujours et il demeure apparemment une menace », ont signifié les experts de Sophos : « Verisign, dont le mécanisme de signature de code a été utilisé pour authentifier numériquement le pilote, n’a pas révoqué le certificat de signature, celui d’Authenticode reste donc valide. ».

Par ailleurs, le fournisseur Taiwanais Gigabyte n’est pas le seul fabricant dont les productions sont exposées à la faille de sécurité. En effet cela a été détecté sur plusieurs autres drivers ne provenant pas de ce dernier. Et cela à travers plusieurs stratégies utilisées par les pirates informatiques. Parmi les autres fabricants de VirtualBox pour la vulnérabilité CVE-2008-3431. ASUS pour CVE-2018-18537, ASUS pour CVE-2018-18537 et CPU-Z pour CVE-2017-15302.

La mise en place du programme Robinhood va consister pour les pirates informatiques, à utiliser la vulnérabilité découverte dans les cartes mères pour bloquer le fonctionnement normal des systèmes en bloquant les processus et les tâches qui seraient alors liés « à des produits de sécurité de protection des terminaux et périphériques endpoints de façon à permettre au ransomware RobbinHood d’être opérationnel. » expliquent les chercheurs : « C’est la première fois que nous observons l’envoi par le biais d’un driver signé mais vulnérable d’un ransomware capable de charger dans le noyau Windows un driver malveillant non signé et supprimer les applications de sécurité de l’espace noyau (…) Les pirates utilisent plusieurs types de fichiers pour réaliser cette attaque, extraites vers le répertoire C:\WINDOWS\TEMP. Dont l’application STEEL.EXE qui tue les processus et fichiers des produits de sécurité utilisant les drivers du noyau Windows, ROBNR.EXE pour déployer un driver non signé, GDRV.SYS, un driver signé Authenticode à la date de validité dépassée mais contenant une vulnérabilité, et RBNL.SYS, le driver malveillant qui tue les processus et efface les fichiers en mémoire noyau. ».

Face à cette procédure du programme malveillant pour détourner le système de protection pour pouvoir mettre à mal l’ensemble du réseau, les experts de Sophos donnent quelques recommandations pour être en mesure d’éviter le problème que pose Robinhood :

1 – Inclure l’utilisation du cloud public de sa stratégie de sécurité informatique tout en évitant la concentration cybersécurité autour d’une seule stratégie.

2- Mettre en place une méthode d’authentification un facteur multiple accompagnée de mots de passe assez complexes

3- Les accès doivent être limité cause juste nécessaire

4- Envisager des sauvegardes hors ligne de l’ensemble de ces données

5- Faire une sensibilisation de l’ensemble du personnel et des utilisateurs ayant accès au système d’information.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Barack Obama, le logiciel qui s’en prend aux fichiers de Windows

En se référant à une étude faite par BitDefender en 2018, les rançongiciels sont des programmes malveillants qui ont été les plus diffuser les 5 dernières années.

Et dans les années à venir cette menace informatique ne va cesser de croître. Sans oublier qu’on verra une sophistication des ransomwares. De certains côté les cybercriminels vont déployer de nouvelle stratégie pour être en mesure de mieux propager leurs programmes malveillants. On pense alors à l’ingénerie sociale ou encore aux attaques multi étapes qui vont permettre à ces derniers de pouvoirs échapper au système de détection mise en place par les structures qu’ils ciblent.

Cet article va aussi vous intéresser : Piratage informatique et arnaque : une entreprise qui paie les rançons lors d’attaque de rançongiciel en prétendant déchiffrer les données cryptées par ses propres moyens a été démasquée

Dans un article précédent, nous vous avons fait savoir que les rançongiciels existaient sous plusieurs formes. Dans ce contexte, on est souvent face à des dérivés de ce programme malveillant qui semble s’éloigner des contextes habituels. Prenons le cas par exemple d’EduCrypt, qui lui est un rançongiciel qui a été conçu en 2016 dans le but est de donner des leçons sur la sécurité informatique, il fournit même à ses cibles, les clés de déchiffrement sans exiger en retour le paiement d’une rançon.

Et dans le même contexte, il a été découvert un autre programme de rançongiciel assez particulier. Il porte le même nom que l’ancien président américain Barack Obama exactement il se denomme : « Barack Obama’s Everlasting Blue Blackmail Virus. ». Sa particularité est simple il ne s’en prend aussi aux fichiers .EXE. Cependant lui n’a pas perdu les habitudes des autres rançongiciels qui est d’exiger une rançon.

On se rappelle que dès le début des ransomwares, les pirates informatiques avaient tendance à utiliser le logo du FBI ou de la CIA pour faire peur à leur cible de telle sorte qu’elle puisse payer sans trop poser de questions. Mais dans notre cas ici, ces derniers utilisent la photo de Barack Obama l’ex président américain. Sa diffusion se fait selon un procédé classique d’hameçonnage et d’envoi de spams. Dès que le programme Barack Obama infecte un système d’information, il se met à scanner le contenu de ce système dans l’intention de détecter toute forme de logiciels de protection antivirus. Par la suite ils recherchent dans ce système tous les fichiers en forme .EXE et les chiffre.

En principe, les rançongiciels ont tendance à crypter des fichiers de type media ou documents simples pour contraindre la victime à payer la rançon exigée. Ce qu’ils évitent, c’est de modifier les fichiers concernés au risque de les endommager ou même les PC. Ce qui risque de décourager la cible d’exécuter la demande de paiement de rançon. Mais le rançongiciel Obama se ne se contente pas seulement de ça. Lui il chiffre aussi les fichiers.exe présents dans le dossier Windows. On se dit alors que c’était un programme informatique qui a été conçu par des personnes n’étant pas très expérimenté en matière de piratage au ransomware. En clair, ce sont des amateurs.

Le message qui s’affiche ensuite donne une adresse email où les victimes pourront avoir des instructions quand on modalités de paiement. Selon la firme VirusTotal, ce programme a été détecté par 45 programme antivirus sur 68 au total.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage