Archives quotidiennes :

backdoor, Cybersécurité

Emotet revient, Lokibot persiste, DarkGate exploite

Un rapport dévoile les méthodes d’infection des familles de logiciels malveillants DarkGate, Emotet et LokiBot. En plus des méthodes de chiffrement unique en leur genre de DarkGate et le retour en force d’Emotet, les exploits de LokiBot se poursuivent, illustrant l’évolution constante du paysage des menaces cyber.

En juin 2023, des chercheurs ont découvert un nouveau loader baptisé DarkGate, doté d’un éventail de fonctionnalités dépassant les capacités habituelles des loaders. Parmi elles, on retrouve un VNC caché, un proxy inverse et des capacités de blocage de Windows Defender, de piratage de l’historique du navigateur infecté, de gestion des fichiers et de vol de jetons Discord.

Le fonctionnement de DarkGate implique une chaîne d’infection en quatre étapes, conçues de manière sophistiquée pour aboutir au chargement de DarkGate. Ce chargeur se distingue par sa façon unique de chiffrer les chaînes de caractères avec des clés personnalisées et une version originale de l’encodage Base64, utilisant un jeu de caractères spécial.

Dans son rapport, la société Kaspersky s’est penchée sur l’activité d’Emotet, un botnet notoire qui a récemment refait surface après avoir été démantelé en 2021. Dans cette nouvelle campagne, les victimes sont amenées à ouvrir, involontairement, un fichier OneNote malveillant qui déclenche l’exécution d’un VBScript caché et déguisé. Le script tente ensuite de télécharger la charge utile malveillante à partir de différents sites web jusqu’à ce qu’il réussisse à s’infiltrer dans le système. Une fois à l’intérieur, Emotet place une bibliothèque de liens dynamiques (DLL) dans le répertoire temporaire, puis l’exécute.

Cette DLL contient des instructions cachées (shellcode), ainsi que des fonctions d’importation chiffrées. En déchiffrant habilement un fichier spécifique à partir de sa section de ressources, Emotet prend le dessus sur le système et parvient à exécuter sa charge utile malveillante.

Une campagne d’hameçonnage ciblant des compagnies de cargos a tenté d’infiltrer les entreprises avec le malware LokiBot. LokiBot est un infostealer identifié pour la première fois en 2016 et conçu pour dérober des identifiants à partir de diverses applications, notamment via des navigateurs et des clients FTP. Les mails de hameçonnage utilisés dans la campagne contenaient un document Excel en pièce jointe invitant les utilisateurs à autoriser les macros.

Les attaquants ont exploité une vulnérabilité connue (CVE-2017-0199) de Microsoft Office, conduisant au téléchargement d’un document RTF. Ce document RTF exploite ensuite une autre vulnérabilité (CVE-2017-11882) pour distribuer et exécuter le logiciel malveillant LokiBot.

Cybersécurité, Securite informatique

Attaques Acoustiques : comment des frappes de clavier deviennent une menace pour vos données

Dans le monde numérique d’aujourd’hui, où les pirates informatiques sont constamment à la recherche de nouvelles méthodes pour accéder à des données sensibles, une menace revient sur le devant de la scéne : les attaques acoustiques.

Des chercheurs d’universités britanniques ont développé un modèle d’apprentissage qui peut voler des données à partir de frappes de clavier enregistrées via un microphone, avec une précision étonnante de 95 %.

L’impact de cette nouvelle attaque a la capacité de compromettre les données les plus sensibles des utilisateurs, allant des mots de passe aux discussions confidentielles. Du moins sur le papier. Contrairement à d’autres attaques nécessitant des conditions spécifiques, les attaques acoustiques sont rendues plus accessibles en raison de la prolifération d’appareils équipés de microphones capables d’enregistrer des sons de haute qualité. Cette situation, conjuguée aux avancées rapides en matière d’apprentissage automatique, rend ces attaques sonores plus dangereuses et accessibles que jamais.

L’évolution des menaces et la nécessité d’une sécurité renforcée

Cette attaque met en évidence la nécessité d’adopter des mesures de sécurité renforcées. Les méthodes traditionnelles de protection, telles que les mots de passe, ne suffisent plus à garantir la sécurité des données. L’authentification multifactorielle, les clés physiques et les systèmes d’entrée sans mot de passe deviennent essentiels pour contrer ces menaces émergentes. Alors que les pirates continuent de rechercher des failles, les entreprises et les individus doivent prendre des mesures proactives pour sécuriser leurs données.

Bien que ce type d’attaque ne soit pas entièrement nouveau, son taux de réussite élevé, atteignant 95 %, est préoccupant. L’idée de capturer les frappes de clavier à partir du son est similaire à la prise d’empreintes digitales via la frappe, incluant la vitesse de frappe, les erreurs et les intervalles entre les touches. Tout cela peut être accompli simplement en écoutant une communication vocale, comme une conversation téléphonique. Cette menace a conduit à l’exploration de concepts tels que l’outil « keytap » développé par Georgi Gerganov en 2018, qui se concentrait sur le son spécifique des claviers mécaniques.

cyberattaque, Cybersécurité, loi

Cyberattaque contre la Commission électorale britannique : Une menace prévisible pour les démocraties modernes

La fragilité croissante des systèmes d’information dans les démocraties modernes a été mise en évidence une fois de plus alors que la Commission électorale britannique a récemment divulgué avoir été victime d’une cyberattaque complexe.

Cette intrusion compromettant les données de millions d’électeurs souligne l’importance de renforcer la cybersécurité pour préserver l’intégrité des processus démocratiques.

Le mardi 8 août, la Commission électorale britannique a révélé être victime d’une cyberattaque sophistiquée qui aurait compromis la sécurité des données de millions d’électeurs. Selon l’organisme de surveillance des élections au Royaume-Uni, des acteurs hostiles non spécifiés ont réussi à accéder aux copies des listes électorales, contenant des informations sensibles telles que les noms, adresses et statuts d’inscription des électeurs entre 2014 et 2022. Cette intrusion a également touché les e-mails et les systèmes de contrôle de la commission, demeurant indétectée jusqu’en octobre de l’année précédente.

Impact potentiel sur la démocratie

La gravité de cette violation de cybersécurité ne peut être sous-estimée. Bien que la Commission électorale affirme qu’aucune élection ni inscription n’a été directement impactée, les conséquences à plus long terme pourraient être préoccupantes. Les cybercriminels ayant désormais accès à une masse d’informations sur les électeurs, ils pourraient propager de la désinformation subtile auprès des 40 millions de citoyens concernés. Cette désinformation pourrait servir à renforcer certaines visions du monde et à semer la discorde. En altérant les données des électeurs ou même les votes eux-mêmes, ils pourraient potentiellement remettre en question l’authenticité et l’exactitude des processus démocratiques.