Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cybersécurité, Téléphonie

Les logiciels espions Cytrox et Intellexa blacklistés par les USA

Le département du commerce US met sur liste noire les logiciels espions commercialisés par les entreprises Cytrox et Intellexa. Les utilisateurs sont dorénavant considérés comme étant dans l’illégalité.

L’une des méthodes du département du commerce américain, mais aussi de l’administration fiscale de l’Oncle Sam, est de mettre sur liste noire les entreprises et/ou leurs dirigeants. Bilan, les entreprises ne peuvent plus faire du business sur le sol des USA, mais aussi avec la moindre société américaine ou ayant des appointances avec les Etats-Unis d’Amérique. Par exemple, une banque travaillant avec une société blacklistée, et travaillant avec les USA, doit stopper son interaction avec le mouton noir au risque d’être poursuivi par les autorités étasuniennes.

Dans le nouveau cas repéré, la mise sur liste noire des sociétés Cytrox et Intellexa. Ces actions constituent la première initiative majeure sur les logiciels espions depuis que Biden a publié un décret exécutif restreignant l’utilisation par le gouvernement des logiciels de surveillance. Le département américain du Commerce a ajouté à sa liste noire commerciale les fournisseurs de logiciels espions Cytrox et Intellexa. Deux entreprises liées à des opérations d’espionnage de journalistes, d’hommes politiques et d’un dirigeant de Meta en Grèce. La raison invoquée pour l’inclusion sur la liste noire est « pour le trafic de cyber-exploits utilisés pour accéder aux systèmes d’information, menaçant ainsi la vie privée et la sécurité des individus et des organisations dans le monde entier« .

La liste complète des entités incluses est Intellexa SA basée en Grèce, Cytrox Holdings Zrt. en Hongrie, Intellexa Limited en Irlande et Cytrox AD en Macédoine du Nord.

Intellexa est connu pour son logiciel espion Android Predator qui a été décrit par les chercheurs comme l’un des logiciels espions les plus répandus après Pegasus de la société israélienne NSO. Cytrox a également été précédemment interdit par Meta pour des opérations de surveillance sur la plate-forme. Dans le cas de Meta [Facebook] 300 comptes liés à la société Black Cube, basée en Israël, ont été supprimés. Ils fonctionnaient comme des personnages fictifs pour établir des contacts avec des cibles. La société a supprimé des centaines de comptes appartenant à des sociétés connues sous le nom de Israel Cobwebs Technologies, Cognyte, Black Cube, Bluehawk CI, BellTroX (basée en Inde), Cytrox et une entité inconnue en Chine.

Pendant ce temps, sur Twitter

Trois comptes Twitter semblant être liés au gouvernement chinois ont été identifiés pour diffuser de la propagande auprès du public en Amérique latine. Les chercheurs de la société de cybersécurité Nisos ont publié une analys, indiquant que malgré les efforts précédents abandonnés par la société de médias sociaux pour étiqueter les médias d’État, ces comptes ont réussi à échapper à cette mesure.

Ces comptes Twitter transmettent des messages pro-Pékin au Paraguay, au Costa Rica, au Chili et au Brésil, et ils sont probablement liés au China News Service, une branche de propagande gouvernementale active dans le monde entier. Le réseau de comptes Twitter identifié fait partie d’un réseau plus large comprenant des comptes gouvernementaux chinois, des groupes de réflexion sino-latino-américains, des journalistes autoproclamés et d’autres acteurs diffusant des messages pro-chinois similaires.

Ces trois comptes Twitter ont été créés en juillet 2021 pour le plus ancien et en novembre 2021 pour les deux autres, à une époque où Twitter étiquetait encore les comptes affiliés à des États. Cependant, en avril 2023, Twitter a suspendu l’étiquetage de ces comptes suite à des critiques concernant la manière dont elle avait qualifié la National Public Radio de « média affilié à l’État« .

L’un des comptes connectés à ces trois comptes Twitter propose un lien vers une application qui, une fois téléchargée, recueille des informations personnellement identifiables auprès des utilisateurs. Ce compte demande également des autorisations à Twitter qui pourraient donner accès aux comptes des utilisateurs ainsi qu’aux comptes de médias sociaux chinois, Weibo et Weixin (WeChat).

Les chercheurs ont averti que cela pourrait permettre au gouvernement chinois de surveiller potentiellement les récits et d’obtenir des informations sur les dissidents résidant à l’étranger, une activité déjà signalée par des acteurs liés au gouvernement chinois par d’autres moyens.

Les chercheurs ont souligné que bien qu’ils ne puissent pas établir définitivement le lien entre ces comptes Twitter et le gouvernement chinois, les comptes identifiés font des efforts pour éviter de lier directement les utilisateurs au China News Service, qui est l’organisation médiatique chinoise liée à l’État d’où provient la majorité de leur contenu lié à la Chine.

Selon un rapport de juin 2020 d’Alex Joske, un chercheur du renseignement sino-australien, le China News Service est l’un des plus grands réseaux médiatiques du Parti communiste chinois, disposant de nombreux bureaux à l’étranger.

Ces opérations en Amérique latine font partie de l’avancée majeure de la Chine dans cette région au cours des deux dernières décennies, tant sur le plan économique que technologique. Le rapport indique que la Chine a renforcé ses liens militaires avec des pays comme le Venezuela, l’Argentine, la Bolivie, l’Équateur et le Pérou, tandis que Cuba a également cherché à renforcer ses liens militaires avec la Chine, comme en témoigne la présence présumée d’une base d’espionnage chinoise sur l’île.

La Chine chercherait à influencer les perceptions politiques et culturelles dans cette zone géographique, en particulier pour contrer les perceptions défavorables suite à la pandémie de COVID-19 présumée originaire de Chine.

Bien que les comptes Twitter identifiés (« hoy_paraguay », « hoy_chile » et « hoyCosta ») aient un nombre limité d’abonnés, le réseau implique également des diplomates et des ambassades chinois. De plus, ils sont suivis par un compte en portugais (« NmqbChinaNews ») qui se concentre sur les relations sino-brésiliennes.

Cyber-attaque, Cybersécurité, DDoS

Augmentation alarmante des cyber attaques DDoS

Cloudflare signale une « augmentation alarmante » de la sophistication DDoS, une escalade ces derniers mois. La guerre RussoUkrainienne n’y serait pas pour rien !

Les attaques utilisées pour rendre les sites Web et les services Web inaccessibles évoluent et deviennent de plus en plus préoccupantes, a déclaré la société Cloudflare. Le deuxième trimestre de 2023 a vu « une escalade alarmante dans la sophistication » des attaques par déni de service distribuées DDoS, affirme le fournisseur de solution web, soulignant une prolifération d’attaques numériques plus ciblées conçues pour perturber des sites Web et d’autres services connectés.

La société a déclaré dans son rapport sur les menaces du deuxième trimestre qu’elle avait suivi des milliers d’attaques lancées par un consortium de groupes hacktivistes pro-russes, une augmentation des attaques ciblées sur le système de noms de domaine et un 600 % d’augmentation des attaques DDoS sur les sites Web de crypto-monnaie.

Bien que les attaques DDoS soient parfois considérées comme peu sophistiquées et plus gênantes qu’autre chose, elles peuvent être très perturbatrices. « La récupération d’une attaque DDoS peut durer beaucoup plus longtemps que l’attaque elle-même – tout comme un boxeur peut avoir besoin d’un certain temps pour se remettre d’un coup de poing au visage qui ne dure qu’une fraction de seconde« , ont écrit Omer Yoachimik et Jorge Pacheco. Une intensité, en particulier concernant les menaces dans le contexte de la guerre russe contre l’Ukraine.

Les machines virtuelles basées sur le cloud et les serveurs privés virtuels permettent des attaques plus importantes dans le cadre d’une « nouvelle génération de botnets« . Ces nouveaux botnets sont capables de fournir des milliers de fois plus de trafic que les réseaux traditionnels. Pour rappel, en février, une telle attaque a produit la plus grande attaque DDoS jamais enregistrée.

Parmi les développements préoccupants au cours des trois derniers mois, figure l’augmentation de 15 % des attaques HTTP DDoS , qui ciblent les sites Web et les passerelles tierces vers ces sites, alors même que ce type d’attaque a diminué d’année en année.

« Il semble que les acteurs de la menace derrière ces attaques aient délibérément conçu les attaques pour essayer de surmonter les systèmes d’atténuation en imitant habilement le comportement du navigateur de manière très précise, dans certains cas, en introduisant un degré élevé de randomisation sur diverses propriétés telles que les agents utilisateurs et JA3 empreintes digitales pour n’en nommer que quelques-unes, ont écrit les auteurs. Dans bon nombre de ces attaques, il semble que les acteurs de la menace essaient de maintenir leur taux d’attaque par seconde relativement bas pour essayer d’éviter la détection et de se cacher parmi le trafic légitime.« 

Microsoft a subi une telle attaque début juin dans le cadre d’un assaut plus large contre l’entreprise attribué à un groupe qu’il appelle Storm-1359, ou plus largement Anonymous Sudan. Le groupe est affilié à plusieurs réseaux d’hacktivistes pro-russes, dont Killnet, UserSec, et pourrait lui-même être un produit direct ou un groupe travaillant en collaboration avec les intérêts du gouvernement russe.

Cybersécurité, Mise à jour

Des pirates Chinois font faire des économies aux clients de Microsoft Cloud

Microsoft a annoncé qu’il étendrait l’accès à un ensemble élargi de journaux de sécurité à davantage de clients sans frais supplémentaires. Cette décision fait suite aux révélations selon lesquelles des pirates basés en Chine ont exploité les vulnérabilités de l’infrastructure cloud de Microsoft pour accéder aux données de messagerie de plusieurs agences gouvernementales et fonctionnaires américains.

Les membres du personnel de sécurité du département d’État américain ont découvert une opération d’espionnage chinoise à la mi-juin 2023 en utilisant des journaux de données anormales disponibles uniquement dans le niveau premium du service Cloud de Microsoft. Une option « payante » qui a suscité des critiques sévères à l’égard de Microsoft de la part de responsables américains et d’experts en cybersécurité. La société facturait des frais supplémentaires pour ces fonctions de sécurité essentielles.

Pour remédier à cette situation, Microsoft a décidé de modifier ses prix et de fournir « l’accès à des journaux de sécurité cloud plus étendus pour tous nos clients dans le monde sans frais supplémentaires » à partir de septembre 2023. De plus, la durée de conservation des journaux par défaut sera désormais de 180 jours, contre 90 jours auparavant.

Bien que la Cybersecurity and Infrastructure Security Agency ait qualifié cette initiative de « pas en avant significatif vers l’avancement des principes de sécurité par la conception« , certaines critiques persistent. Le sénateur Ron Wyden a déclaré que le changement de prix n’était pas suffisant pour remédier aux violations passées, soulignant que Microsoft semblait privilégier la monétisation des produits complémentaires de cybersécurité plutôt que de fournir des systèmes sécurisés de base.

Malgré cela, Microsoft a souligné qu’il était en étroite collaboration avec la CISA (2)pour répondre aux besoins de sécurité en constante évolution du monde moderne. L’enquête sur l’opération de piratage en Chine se poursuit, alors que les autorités cherchent à comprendre comment une telle attaque sophistiquée a pu se produire.

Cybersécurité, Securite informatique

Une fuite de données inattendue pour VirusTotal

Une fuite de données inattendue a secoué le monde de la cybersécurité en juin dernier. Un fichier de clients VirusTotal s’est retrouvé accidentellement sur Internet, exposant une liste de 5 600 noms, parmi lesquels figuraient des employés des services secrets américains de la NSA et des services de renseignement allemands.

VirusTotal est essentiellement une immense base de données de logiciels malveillants. Les utilisateurs peuvent soumettre des fichiers suspects ou des liens vers des sites Web douteux, qui sont ensuite comparés aux bases de données de 70 fabricants d’antivirus pour détecter toute activité suspecte. Cela a permis la création d’une archive mondiale d’outils d’attaque numérique, une précieuse bibliothèque de codes malveillants. Cependant, cette plateforme n’est pas exempte de critiques, car elle peut potentiellement exposer involontairement des données confidentielles, comme l’a averti l’Office fédéral de la sécurité de l’information (BSI) l’année dernière.

Révélations troublantes sur la liste divulguée

La liste, 5 600 clients de VirusTotal, comprend des organismes gouvernementaux de premier plan tels que le Cyber Command américain, le FBI, le département américain de la Justice, la NSA ou encore le service de renseignement allemand MAD. De nombreuses entreprises allemandes sont également concernées, notamment la Deutsche Bahn, la Bundesbank, Allianz, BMW, Mercedes-Benz et Deutsche Telekom. Cette fuite suscite des inquiétudes quant à l’utilisation abusive des données pour l’ingénierie sociale et les attaques de phishing ciblées. Alertés, pas de doute que les « clients » concernés ont changé d’adresse électronique et redoublé de prudence.

Les implications de la fuite de données

Bien que les mots de passe ne soient pas affectés par cette fuite, la liste divulguée permet d’identifier les personnes en charge de la sécurité informatique et de la lutte contre les logiciels malveillants au sein des organisations concernées. Cela pourrait ouvrir la voie à des tentatives d’attaques ciblées contre ces individus. Ce qui rend cette fuite encore plus folle, c’est que VirusTotal appartient à Google. Cette situation soulève des questions sur la sécurité et le contrôle des données chez Google.

Google a rapidement supprimé la liste de la plateforme dès qu’ils ont été informés de la fuite. Ils se sont également engagés à améliorer leurs processus internes et leurs contrôles techniques pour éviter de tels incidents à l’avenir. Le BSI, tout en utilisant VirusTotal comme source d’informations, conseille aux autorités fédérales de ne pas télécharger de fichiers sur cette plateforme. Un courriel de 2022, temporairement retrouvé sur la plateforme de sécurité, montre l’importance de VirusTotal en termes de sécurité informatique et quelles informations critiques peuvent s’y retrouver. Dans ce mail, l’Association allemande pour l’ingénierie des machines et des installations (VDMA) a envoyé un lien vers un portail Web du ministère de l’Intérieur de Rhénanie-Palatinat en tant que service pour ses membres – avec le mot de passe associé.

D’autres entreprises touchées par la fuite, telles que Deutsche Telekom, ont également pris des mesures pour informer leurs employés et prévenir les éventuelles attaques.

backdoor, Cybersécurité, ID, Identité numérique

Threads : fausse application aux couleurs du Twitter de META

Le 5 juillet 2023, l’application Threads, concurrente directe de Twitter développée par Meta, a été lancée aux Etats-Unis et a atteint en quatre jours plus de 100 millions d’utilisateurs, dépassant de loin les précédents records établis par ChatGPT et TikTok. Son indisponibilité actuelle en Europe a encouragé des développeurs malveillants à créer une application jumelle portant quasiment le même nom « Threads for Insta » sur l’Apple Store.

Créée par l’entreprise SocialKit LTD, qui avait déjà créé une fausse application ChatGPT, l’application Threads for Insta reprend les codes graphiques d’Instagram, réseau social auquel la vraie application Threads est liée. Son logo ressemble fortement à celui d’Instagram et incite l’utilisateur à penser qu’il s’agit de l’application légitime. Cette application jumelle est déjà classée à la 5ème place en nombre de téléchargements sur l’Apple Store, et numéro 1 dans la rubrique des réseaux sociaux !

Autre information clé, l’application Threads for Insta indique utiliser de l’intelligence artificielle pour émettre des « threads » alors que l’application officielle ne propose pas cette fonctionnalité.

Quel danger pour les utilisateurs ?

Contrairement à la véritable application Threads, cette supercherie n’est pas gratuite : seule la période d’essai l’est et son utilisation, une fois celle-ci expirée, est payante. Si l’utilisateur n’annule pas son inscription, il sera facturé 2,99 euros par semaine, ou 29,99 euros par mois, ou bien 89,99 euros par an. Pour l’instant, aucune cyberattaque n’a été reportée suite à l’utilisation de cette application. Cependant, les utilisateurs doivent rester vigilants pour ne pas tomber dans le piège d’un hackeur.

Comment être sûr de télécharger la véritable application Threads ?

L’application n’est pour l’instant pas disponible en Europe et aucune date de sortie n’a été annoncée. Toute application dont le lancement a eu un fort impact médiatique est sujette à des tentatives d’usurpation à des fins commerciales (comme c’est le cas ici de Threads for Insta), de collection de données personnelles (revendues par la suite sur le darknet), ou dans le pire des cas, de vol de coordonnées bancaires ou d’informations permettant de lancer une campagne de phishing (ou hameçonnage, technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité).

« Afin de ne pas se faire piéger, l’utilisateur devra tout d’abord rechercher le site officiel de l’entreprise qui, lui, comportera un lien vers l’Apple Store pour effectuer le téléchargement de l’application. confirme à DataSecurityBreach.fr Cassie Leroux, Directrice Produit chez Mailinblack. Il pourra également vérifier assidûment le logo de l’application, les captures d’écran disponibles sur l’Apple Store, ainsi que les conditions générales de vente et d’utilisation.« 

Cybersécurité, Microsoft, Mise à jour, Patch

130 failles corrigées en juillet pour Microsoft

Le Patch Tuesday de ce mois de juillet comprend des correctifs pour 130 CVE, ce qui en fait le plus vaste Patch Tuesday de l’année 2023 jusqu’à présent. Sur les 130 CVE corrigées ce mois-ci, neuf sont jugées critiques et 121 importantes. Ce mois-ci, cinq vulnérabilités ont été exploitées par des hackers sous forme de zero days et Microsoft a publié une alerte concernant l’utilisation malveillante de Microsoft Signed Drivers. »

« Deux vulnérabilités zero-day de contournement des fonctionnalités de sécurité dans Microsoft Outlook (CVE-2023-35311) et Windows SmartScreen (CVE-2023-32049) ont été exploitées dans la nature par des attaquants. Les détails de l’exploitation n’étaient pas disponibles au moment de la publication des mises à jour du Patch Tuesday, mais il semble que les attaquants aient pu avoir recours à l’ingénierie sociale pour convaincre une cible de cliquer sur une URL malveillante. Dans les deux cas, les messages d’avertissement de sécurité conçus pour protéger les utilisateurs ont été contournés. » indique à DataSecurityBreach.fr Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des chercheurs du Threat Analysis Group (TAG) de Google ont révélé un zero day dans le Windows Error Reporting de Microsoft (CVE-2023-36874) qui pourrait permettre à un attaquant de bénéficier de privilèges administratifs. En outre, le Microsoft Threat Intelligence Center (MSTIC) a révélé un zero day dans Windows MSHTML Platform (CVE-2023-32046). Pour exploiter cette faille, il faut convaincre un utilisateur d’ouvrir un fichier spécialement conçu, soit par mail, soit par l’intermédiaire d’un vecteur d’attaque en ligne. Il est également intéressant de noter la présence de mises à jour cumulatives pour Internet Explorer. Malgré l’abandon d’Internet Explorer 11, certains de ses composants, dont MSHTML et EdgeHTML, sont toujours pris en charge par plusieurs versions de Windows Server, ce qui explique pourquoi des correctifs ont été publiés pour ces produits.

Microsoft a également corrigé la CVE-2023-36884, une faille d’exécution de code à distance dans Microsoft Windows et Office qui a été exploitée dans la nature en tant que zero day, et qui a été utilisée dans des attaques ciblées via des documents Microsoft Office corrompus. Ces attaques ont été attribuées à un acteur malveillant connu sous le nom de Storm-0978 ou DEV-0978, qui serait basé en Russie. Storm-0978 est connu pour mener des attaques de ransomware et d’extorsion uniquement, y compris des campagnes de vol d’informations d’identification, contre des cibles en Ukraine, en Amérique du Nord et en Europe.

Enfin, Microsoft a également publié des conseils concernant l’utilisation malveillante de pilotes signés dans le cadre de son programme Microsoft Windows Hardware Developer Program (MWHDP). Il est apparu que certains comptes de développeurs du Microsoft Partner Center soumettaient des pilotes malveillants afin d’obtenir une signature Microsoft. L’utilisation abusive de ces pilotes signés a été découverte dans le cadre d’une activité de post-exploitation, qui exigeait qu’un attaquant obtienne d’abord des privilèges administratifs sur le système ciblé avant d’exécuter les pilotes signés malveillants. Ces comptes de développeurs ont été suspendus et, grâce aux récentes mises à jour de sécurité de Windows, les pilotes malveillants sont désormais considérés comme non fiables.

backdoor, Cybersécurité

Le cheval de Troie WISE REMOTE : un infostealer, RAT, bot DDoS et ransomware réunis

Le monde de la cybercriminalité ne cesse d’évoluer avec l’apparition de nouveaux malwares sophistiqués. Le dernier en date, WISE REMOTE, a été récemment mis en lumière par les experts en cybersécurité de CYFIRMA. Conçu comme un service malveillant (MaaS, Malware-as-a-Service) disponible sur le darknet, il se distingue par sa capacité à se transformer en infostealer, RAT, bot DDoS et ransomware. En quelques semaines seulement, plus de 1000 victimes ont été touchées. Cette menace multifonctionnelle, particulièrement visée sur les systèmes Windows, suscite une préoccupation majeure dans le monde de la cybersécurité.

Aussi sinistre que polyvalent, WISE REMOTE est un malware particulièrement pernicieux découvert récemment sur des forums de pirates informatiques [preuve qu’ils ne sont pas si pro que ça, NDR]. Il est constamment amélioré par ses développeurs qui en assurent la promotion à travers des preuves d’efficacité diffusées sur Discord et Telegram.

Cet infostealer, dont le code est écrit en Go, est également compatible avec les langages de programmation C++, C# et Python, ce qui démontre son niveau d’adaptabilité.

Il s’attaque principalement aux systèmes d’exploitation Windows, notamment les versions 8, 10 et 11. Pour se soustraire aux systèmes de détection d’antivirus, WISE REMOTE utilise une panoplie d’astuces ingénieuses, et chiffré toutes les communications avec son serveur C2 basé en Suisse.

Couteau Suisse de la malveillance

Il s’agit d’un véritable ‘couteau suisse’ du malware, qui sait à la fois collecter des informations système, créer un shell inversé, télécharger et exécuter des fichiers supplémentaires, extraire des informations sensibles des navigateurs, voler des données de portefeuilles de cryptomonnaie, interagir avec des sites web sans consentement, capturer des écrans, et même modifier des journaux système pour masquer son activité malveillante.

Grâce à son tableau de bord sophistiqué, l’opérateur de WISE REMOTE peut surveiller jusqu’à 10 000 ordinateurs infectés simultanément et donner des instructions générales, notamment pour déclencher une attaque DDoS.

À l’heure actuelle, WISE REMOTE Stealer dispose des fonctionnalités suivantes :

Collecte d’informations système et création d’un shell inversé ;
Téléchargement et exécution de fichiers supplémentaires ;
Extraction d’informations à partir des navigateurs (mots de passe enregistrés, cookies, données de cartes bancaires, favoris, historique de navigation, liste des extensions) ;
Vol de données à partir de portefeuilles de cryptomonnaie ;
Ouverture de sites web et interaction avec eux sans le consentement de la victime ;
Capture d’écran ;
Téléchargement de fichiers dans le dossier AppData ;
Création et personnalisation d’agents malveillants ou de modules pour mener des attaques ciblées ;
Modification des journaux système, suppression d’enregistrements pour masquer l’activité malveillante.
Le tableau de bord permet de surveiller jusqu’à 10 000 ordinateurs infectés. L’opérateur a également la possibilité de donner des instructions générales, par exemple, pour effectuer une attaque DDoS ou d’autres actions malveillantes.

Le malware est écrit en Go, bien que les développeurs utilisent également C++, C# et Python. WISE REMOTE vise principalement les systèmes Windows (versions 8, 10 et 11). Diverses astuces sont utilisées pour contourner les antivirus, et les communications avec le serveur C2 (basé en Suisse) sont chiffrées.

Les modules côté client sont importés via le cloud, les données volées sont enregistrées sur le disque (dans le dossier /temp) et effacées après l’envoi. Le builder fourni aux abonnés permet de personnaliser les icônes (adaptées aux méthodes de distribution du malware choisies et à la chaîne d’infection) ; les versions finales pèsent généralement moins de 100 Ko.

backdoor, Cybersécurité

LetCall : un logiciel pirate qui dirige vers un centre d’appel malveillant !

Le code malveillant LetCall intercepte les appels téléphoniques des clients de banques afin de les diriger vers des centres d’appels pirates !

Les experts de ThreatFabric ont étudié la boîte à outils Letscall, qui est utilisée pour le phishing vocal en Corée du Sud. Une caractéristique intéressante de ces attaques est que si la victime essaie d’appeler la banque, le logiciel malveillant intercepte son appel et redirige la victime vers un centre d’appels pirate. En 2022, une attaque similaire avait été detectée. Elle avait été baptisée FakeCalls. Une fois installé, LetCal redirige les appels des victimes vers un centre d’appel contrôlé par des pirates. Là, des opérateurs spécialement formés, se faisant passer pour de vrais employés de banque, peuvent récupérer, sans mal, des informations confidentielles de victimes sans méfiance.

Le groupe derrière Letscall comprend des développeurs Android, des concepteurs, des développeurs d’interface et de backend, et des opérateurs de centres d’appels spécialisés dans les attaques vocales et l’ingénierie sociale. Les experts décrivent Letscall comme un logiciel espion multifonctionnel ou RAT (cheval de Troie d’accès à distance, « cheval de Troie d’accès à distance »). Les victimes téléchargent LetsCall via un site qui imitait la page officielle Google Play Store. L’une des applications a des messages vocaux pré-enregistrés permettant de « discuter » avec le client qui essaie d’appeler sa banque ! (TF)

Cybersécurité, Mise à jour, Patch

Zimbra demande de corriger manuellement une vulnérabilité

Les développeurs de Zimbra demandent aux administrateurs de corriger manuellement une vulnérabilité zero-day qui est déjà activement exploitée par des pirates pour compromettre les serveurs de messagerie Zimbra Collaboration Suite (ZCS).

Comme il n’y a pas encore de correctif, les administrateurs sont priés de se protéger temporairement manuellement. Actuellement, la vulnérabilité n’a pas encore reçu d’identifiant CVE, mais on sait qu’il s’agit d’un bogue XSS découvert par des spécialistes du Google Threat Analysis Group. Bien que Zimbra ne signale pas que le problème est déjà utilisé dans des attaques, Maddie Stone de Google TAG met en garde à ce sujet. Selon elle, la vulnérabilité XSS a été découverte par des spécialistes lors de l’étude d’une cyberattaque ciblée.

Cybersécurité, Microsoft, Mise à jour

Windows Update Restored : mettre à jour votre Windows 95

Un projet indépendant, Windows Update Restored vise à faciliter la mise à jour des anciennes versions de Windows, notamment Win95, 98 et NT 4.0. Attention, danger en cas de connexion web d’OS obsolètes !

Voilà qui est original. Le site Windows Update Restored, mis en place par des amateurs d’ordinateurs rétro, donne accès aux pages Windows Update perdues. Mission, permettre la mise à jour de vieux, trés vieux Windows. L’équipe du projet espère aider ceux qui installent et mettent à niveau les systèmes Windows 95, NT 4.0, 98, Me, 2000 et XP. Le fait est que les anciennes versions de Windows reposaient principalement sur le travail de l’application Web Windows Update, et non sur les outils de mise à jour intégrés, comme c’est le cas actuellement. Et vers la mi-2011, Microsoft a fermé la version du site qui pouvait analyser et mettre à jour Windows 95 et 98.

Le site Windows Update Restored est une version légèrement modifiée du site de Microsoft, un clone du site Windows Update v3.1 (datant de 1997) qui couvre Windows 95, NT 4.0 et Windows 98 (et SE). Le site n’utilise pas SSL ou TLS, donc les anciennes versions d’Internet Explorer peuvent toujours y accéder. Pour accéder aux mises à jour, vous aurez besoin d’au moins Internet Explorer 5.

Étant donné que ce navigateur ne peut plus être téléchargé directement depuis Microsoft, le site Windows Update Restored propose des liens de téléchargement pour IE5 et IE5.5 dans toutes les langues prises en charge.

Pour rappel, à utiliser à vos risques et périls. Les mises à jour pour Windows 95 ont été stoppées il y a 22 ans, et que Windows 98 et ME ont cessé de recevoir des mises à jour en 2006.