Archives pour la catégorie Virus

Les virus font toujours autant parler d’eux. Ils sont de plus en plus performant et de plus en plus redoutable. Notre mission est de vous informer et de vous protéger des menaces du Web.

Des virus informatiques derrières le virus du Covid-19

Aujourd’hui, des centaines d’applications ont été conçues concernant la propagation du virus de COVID-19.

Des sites internet aussi. Cependant toutes ces plateformes ne sont ce qu’elles semblent être. En effet, les cybercriminels ont décidé de leur côté de profiter comme ils peuvent de la pandémie. Et pour cela, ils conçoivent au même titre que les institutions officielles de lutte contre la pandémie, mais pas pour les mêmes raisons, des plateformes numériques tels que des sites web ou des applications permettant d’induire en erreur les utilisateurs du web de plus en plus inquiet à la recherche des informations fiables sur la maladie.

Cet article va aussi vous intéresser : Le coronavirus : l’appât de choix des pirates informatiques

Grâce à cette stratégie, ils arrivent à infiltrer des système informatique et réseau domestique, et même des réseaux sociaux pour dérober des données importantes ou mener d’autres activités de cyberdélinquance. En effet, il a été enregistré ces derniers temps plusieurs noms de domaines et en lien direct avec le coronavirus. Selon les spécialistes la moitié de ses liens sont suspects, donc pourrait être contrôlé par de potentiels pirates informatiques.

« Avec la crise du Covid-19, les pirates informatiques ne chôment pas. Le confinement imposé dans de nombreux pays a poussé les entreprises à mettre en télétravail leurs salariés. Mais les outils informatiques à domicile peuvent se révéler bien plus vulnérables que les logiciels et les infrastructures déployés au bureau. C’est le risque des « shadow IT », les outils personnels utilisés à des fins professionnelles, auxquels on peut ajouter le téléphone portable où sont parfois téléchargées des applications douteuses. » notait Nathalie Hernandez, journaliste. Par ailleurs, Un responsable des solutions de communications sécurisées de Ercom, Romain Waller explique que les menaces informatiques prennent diverses formes et ce n’est pas tout. Il n’y pas que les pirates les pirates informatiques qui en profitent. Apparemment, certaines autorités y ont vu une aubaine pour étendre leur surveillance sur leurs populations. Selon la société américaine de cybersécurité dénommée Lockout, les autorités de la Libye moi aussi mis en place une application Android qui permet d’espionner la population. Cette application prend la dénomination de Corona live 1.1. application supposée donner de façon officielle et en temps réel certaines informations relative à l’expansion du virus COVID-19, mais qui en fait cache un programme malveillant permettant d’espionner les utilisateurs mais aussi de prendre le contrôle de certaines fonctionnalités de l’appareil infecté tel que le micro, l’appareil photo ou encore les messages.

En outre, la pandémie du coronavirus, est un vecteur de cybermalveillance mondiale. Déjà au début de l’épidémie cela avait été constaté en Asie. « Dès le début de l’épidémie, les attaques ont commencé. On a observé leur progression en même temps que celle du virus », observe Romain Waller, d’Ercom. « [La contamination est partie] d’Asie. ».  Selon la société de sécurité FireEyes, il a été observé une augmentation des activités de cybercriminalité de la part de certains groupes de pirates chinois. Et cela depuis le début du mois de janvier 2020 au moment où les virus commençaient à se répandre de plus en plus hors de Chine. La société de cybersécurité a signifié que 75 % de sa clientèle dans le secteur de la télécommunication, de l’humanitaire et de la santé, a été victime de ses pirates informatiques. Ce qu’elle a qualifié « d’une des plus vastes campagnes chinoises de cyber-espionnage observées ces dernières années. »

Pour lutter contre cette recrudescence de la cybermalveillance, plusieurs responsables experts de la cybersécurité ont décidé de se réunir pour faire barrière au programmes informatiques malveillants et aux cyberattaques profitant de la pandémie. Plus de 400 volontaires constituent cette nouvelle équipe, parmi lesquels on peut trouver des experts provenant des grandes firmes tel que Microsoft, Facebook ou encore Amazon.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Malware et coronavirus, une combinaison qui devient de plus en plus dangereux pour les utilisateurs

Depuis un certain moment déjà, les pirates informatiques essaient de profiter de la pandémie qui touche le monde entier, le coronavirus.

Récemment il a été découvert une application qui profiterait de la panique générée par le coronavirus pour s’en prendre aux utilisateurs de smartphone et les escroquer au passage. Mais pas de panique, car il vous suffit simplement de taper le code suivant pour que tout aille bien « 4865083501 ».

Cet article va aussi vous intéresser : En pleine crise de la pandémie du coronavirus, un hôpital Tchèque est victime d’une attaque informatique

Quelle est cette application et comment fonctionne-t-elle exactement et sur quelle plateforme ? Geoffroy Husson, journaliste IT chez FrAndroid explique cela en ces termes : « Alors que la pandémie du Covid-19 fait rage partout dans le monde, des pirates en profitent pour escroquer de l’argent à celles et ceux souhaitant avoir des informations statistiques sur la crise du coronavirus. Une application Android va ainsi bloquer votre smartphone à moins que vous payiez 100 dollars… ou que vous rentriez un code unique. ». A part cela, on peut déduire deux choses très importantes. D’abord l’application ne touche que les terminaux sous Android du moins c’est ce qui a été détecté pour le moment. Ensuite l’application fonctionne comme un rançongiciel pour ne pas dire que c’est un rançongiciel. Seulement que lui il s’installe par le biais de l’utilisateur directement. Il y a exactement une application qui a pour le moment été détectée dans ce genre de contexte : Coronavirus Tracker ou encore nommé CovidLock.

Dans les normes c’est une application qui est censé permettre à ses utilisateurs d’avoir certaines informations relatives au coronavirus, aux statistiques relatives à la maladie ainsi qu’une sorte de carte en permettant de suivre son évolution à l’échelle nationale et mondiale. Seulement que tout ceci n’est pas vrai du tout, car le but est bien sûr de prendre en otage le terminal Android de l’utilisateur imprudent. « Une fois l’application installée depuis le site du développeur sur un smartphone Android, les utilisateurs réalisent rapidement qu’il s’agit en fait d’un malware. Un message s’affiche indiquant que le smartphone est désormais chiffré et que les données de l’appareil sont tout bonnement inaccessibles. ». Explique Geoffroy Husson. Et selon le mode opératoire des rançongiciels, les pirates informatiques derrière l’application  vont exiger le paiement d’une rançon mais pour le coup assez modique. On parle ici de 100 à 250 dollars mais exigés en bitcoins.

Après analyse, le groupe de pirates derrière cette opération se fait appeler « Web Designius ». Malheureusement pour ce groupe de pirate, la configuration d’Android, permet de lutter déjà contre ce genre de programmes malveillants. Car selon les experts qui ont analysé COVIDLOCK, il semblerait qu’il n’ait pas été conçue par les spécialistes. Le chiffrement étant similaire pour tous les téléphones touchés par le programme, un seul code suffit pour tous les déverrouiller. Et selon les experts le code de déverrouillage se trouve même dans le code source du programme malveillant.

Même si cela n’est pas assez dangereux que cela, le problème de ce programme malveillant rappelle déjà le conseil qui a mainte et mainte fois été donné aux utilisateurs d’Android, de ne pas télécharger d’application en dehors de la boutique officielle de Google c’est-à-dire le PlayStore. Car les utilisateurs sont protégés grâce à Google Play protect depuis le PlayStore, qui permet d’assurer l’intégrité des programme leurs smartphones. Par ailleurs, Si vous voulez suivre l’évolution de la pandémie, certaines plateformes officielles et reconnues vous offrent ce genre de service à les stars de Bing de Microsoft.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Google Authentificator : un programme informatique malveillant serait capable de dérober les codes de l’authentification à double facteurs

Selon les experts, il serait en circulation depuis un moment, un programme informatique dangereux pour les terminaux tournant sous Android.

En effet, ce dernier serait en mesure de pirater l’authentification à double facteurs, via le système de Google authentificator. Il serait apparemment une variante d’un autre virus Android, qui auparavant aurait été destiné aux piratages bancaires. Notre programme malveillant se dénomme « CERBERUS ».

Cet article va aussi vous intéresser : Comment contourner l’authentification à deux facteurs (2FA) ?

Pour les chercheurs de Threatfabric, car c’est bien sûr eux qui ont fait la découverte, le programme malveillant pourra servir à contourner des plateformes que les utilisateurs voudraient accéder. Ce qui pose un véritable problème de sécurité car il va mettre en mal ce système qui depuis longtemps a été considéré comme étant le plus sûr. Pour cela, les experts ont peur que cela ne se vulgarise.

Il faut noter que ce programme malveillant a été détecté depuis 2019 sur plusieurs forums. Généralement c’était des plateformes dédiées à la location de produit. A l’origine, il était capable de servir d’enregistreur de frappes. Permettant ainsi à ses éditeurs de récupérer pas mal de références appartement aux utilisateurs piégés tel que des SMS, les contacts des utilisateurs, les appels effectués, etc… Dans d’autres cas, il était peut-être possible pour les pirates informatiques de contrôler les smartphones même à distance. Voire même installer des applications à l’insu de l’utilisateur principal.

Mais depuis peu le virus a muté, ayant aujourd’hui d’autres fonctionnalités que l’on lui connaît. C’est-à-dire, voler les codes identifications permettant d’authentifier à plusieurs facteurs, et cela, via Google authentificator : « Le cheval de Troie peut désormais aussi voler les codes 2FA générés par l’application Google Authenticator, en abusant les privilèges d’accessibilité. Lorsque l’application est lancée, le cheval de Troie peut obtenir le contenu de l’interface et le transmettre au serveur [des pirates, ndlr]. Une fois encore, on peut en déduire que cette fonctionnalisée sera utilisée pour contourner les services d’authentification qui dépendent de codes OTP » , expliquent les spécialistes de Threatfabric.

Ce qui serait rassurant dans tout cela, c’est que pour le moment l’usage d’un tel programme n’est pas du tout répandu. Heureusement. Il semblerait que cela n’est qu’une phase de test car les éditeurs n’ont pas entrepris une campagne de publicité autour de leur programme informatique.

 Raison de plus, pour demeurer sur ses gardes. Car, il est clair que l’authentification à double facteurs est devenu dorénavant la cible des pirates informatiques. La méthode la plus sûre jusqu’à présent trouvé pour accroître la sécurité des utilisateurs sur le web. Et sans mentir c’est la méthode la plus recommandée aujourd’hui par les experts. Si le système d’authentification via envoie de SMS a toujours été critiqué comme étant vulnérables à cause de la technique de la Sim Swapping. Phénomène qui a rendu l’utilisation de Google authentificator très célèbre, est aujourd’hui en train d’être pris à revers par CERBERUS. La prudence est dorénavant de mise. À croire qu’on ne peut être protégé nul part.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Italie : Quand le Coronavirus sert de raison aux attaques de spams

SophosLabs a mis en lumière une stratégie des pirates informatiques permettant d’infecter ou t’attaquer par la procédure de phishing les terminaux à travers un piratage via des spams.

Les spams reçus par les personnes ciblées contiennent un programme malveillant Trickbot. Pour inciter leurs victimes à cliquer sur messages, les pirates informatiques vont utiliser le succès médiatique autour du coronavirus et bien sûr cela marche.

Cet article va aussi vous intéresser : L’approche de Trend Micro de la cybercriminalité en 2020

Le virus fait peur, et les pirates informatiques profite de cette grande confusion. Comment vous direz ? C’est simple. Ces derniers vont concevoir des documents cliquables qui font références à des messages relatifs aux virus, des informations concernant des méthodes à respecter pour éviter la maladie, etc. Derrière ces documents seront cachées les programmes malveillants qui seront prêts à infecter les terminaux des personnes les plus imprudentes.

« Les cybercriminels derrière Trickbot sont probablement des attaquants habiles qui tirent parti de la peur actuelle pour effrayer les gens et les inciter à cliquer. Bien que ce soit le cas en Italie actuellement, nous nous attendons à une attaque similaire dans d’autres pays où les craintes d’une épidémie de COVID-19 sont élevées. La meilleure approche pour éviter ce type de cyberattaque est de désactiver les macros, d’être très prudent avant de cliquer, mais aussi de supprimer les e-mails suspects ou provenant d’une source inconnue. » a expliqué Chester Wisniewski, le responsable de recherche chez SophosLabs. « Chaque fois qu’il y a un sujet d’intérêt public comme le COVID-19 ou les incendies en Australie, nous voyons que les cybercriminels essayent de tirer parti de nos inquiétudes pour en faire une opportunité. Nous devons rester vigilants et nous méfier des communications entrantes en temps de crise et ne demander conseil qu’à nos autorités de santé publique ». Continue-t-il.

Alors quelques conseils pour ne pas se laisser distraire, et préserver l’intégrité de ses données informatiques ainsi que de son terminal

  1. N’ayez pas l’habitude de cliquer sur des liens que vous recevez par email en particulier quand vous ne connaissez pas expressément les destinataires. En ce qui concerne les conseils concernant le coronavirus, les photos de catastrophes naturelles, il est préférable de passer par des moyens officiels car il existe toujours des plateformes créées par les institutions publiques à ce genre d’effets.
  • Faites très attention au nom utilisé par les expéditeurs des messages que vous recevez. En effet il est courant pour ces personnes d’utiliser des dénominations assez courantes appartenant aux institutions publiques telle que l’Organisation mondiale de la santé, la banque mondiale Exetera. Pour être sûr exactement adresse mail ou éviter tout simplement de vous fier à cela.
  • Le contenu des messages que vous recevez. Il arrive souvent quels sont parsemés de fautes d’orthographe de grammaire.
  • Ne partagez jamais vos données personnelles sans aucune raison véritable. En clair ne donner pas vos informations personnelles.
  • Eviter surtout d’utiliser le même mot de passe sur plusieurs sites internet.
  • Activer toujours l’authentification à double facteurs.
  • Soyez prudent et dès instant que vous vous sentez quelque chose de suspect se passe sur un site web sur lesquels vous avez entrer vos coordonnées, penser immédiatement à changer vos mots de passe et pour vos identifications.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Les cartes mères Gigabytes, les cibles du rançongiciel Robinhood

Les pirates informatiques qui se servent du fameux programme malveillant Robinhood ont décidé d’exploiter des failles de sécurité présente dans le driver des cartes mères Gigabytes.

L’objectif est d’éliminer la protection antivirus liés aux terminaux cibles.

On se rappelle qu’en fin d’année 2019, la ville américaine de Baltimore avait été paralysée sur le plan informatique par un programme malveillant de type rançongiciel. Ce programme se fait appeler Robinhood. Mais sa célébrité ne se limite pas simplement à l’attaque de la ville de Baltimore dans le Maryland. La ville de Greenville dans la Caroline du Nord a été aussi victime du même programme malveillant. Les experts de la sécurité informatique de la société de cybersécurité Sophos, après avoir étudié ce logiciel malveillant ont décrit certaines de ses particularités. Les utilisateurs se basent essentiellement sur une faille de sécurité (CVE-2018-19320) qui fut découverte en 2018.

Cet article va aussi vous intéresser : 4 questions à répondre pour un système de sécurité plus sûr

La vulnérabilité en question est à présent dans les cartes mères Gigabytes. Le fournisseur de cette technologie alors mis fin à la production du driver vulnérable. Cependant, « il existe toujours et il demeure apparemment une menace », ont signifié les experts de Sophos : « Verisign, dont le mécanisme de signature de code a été utilisé pour authentifier numériquement le pilote, n’a pas révoqué le certificat de signature, celui d’Authenticode reste donc valide. ».

Par ailleurs, le fournisseur Taiwanais Gigabyte n’est pas le seul fabricant dont les productions sont exposées à la faille de sécurité. En effet cela a été détecté sur plusieurs autres drivers ne provenant pas de ce dernier. Et cela à travers plusieurs stratégies utilisées par les pirates informatiques. Parmi les autres fabricants de VirtualBox pour la vulnérabilité CVE-2008-3431. ASUS pour CVE-2018-18537, ASUS pour CVE-2018-18537 et CPU-Z pour CVE-2017-15302.

La mise en place du programme Robinhood va consister pour les pirates informatiques, à utiliser la vulnérabilité découverte dans les cartes mères pour bloquer le fonctionnement normal des systèmes en bloquant les processus et les tâches qui seraient alors liés « à des produits de sécurité de protection des terminaux et périphériques endpoints de façon à permettre au ransomware RobbinHood d’être opérationnel. » expliquent les chercheurs : « C’est la première fois que nous observons l’envoi par le biais d’un driver signé mais vulnérable d’un ransomware capable de charger dans le noyau Windows un driver malveillant non signé et supprimer les applications de sécurité de l’espace noyau (…) Les pirates utilisent plusieurs types de fichiers pour réaliser cette attaque, extraites vers le répertoire C:\WINDOWS\TEMP. Dont l’application STEEL.EXE qui tue les processus et fichiers des produits de sécurité utilisant les drivers du noyau Windows, ROBNR.EXE pour déployer un driver non signé, GDRV.SYS, un driver signé Authenticode à la date de validité dépassée mais contenant une vulnérabilité, et RBNL.SYS, le driver malveillant qui tue les processus et efface les fichiers en mémoire noyau. ».

Face à cette procédure du programme malveillant pour détourner le système de protection pour pouvoir mettre à mal l’ensemble du réseau, les experts de Sophos donnent quelques recommandations pour être en mesure d’éviter le problème que pose Robinhood :

1 – Inclure l’utilisation du cloud public de sa stratégie de sécurité informatique tout en évitant la concentration cybersécurité autour d’une seule stratégie.

2- Mettre en place une méthode d’authentification un facteur multiple accompagnée de mots de passe assez complexes

3- Les accès doivent être limité cause juste nécessaire

4- Envisager des sauvegardes hors ligne de l’ensemble de ces données

5- Faire une sensibilisation de l’ensemble du personnel et des utilisateurs ayant accès au système d’information.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage