Archives de catégorie : backdoor

Comment lutter contre le Shadow IT ?

Le Shadow IT se définit par l’accessibilité au service informatique (généralement par le Cloud) d’une entreprise par une personne externe sans l’accord des gestionnaires informatiques de ladite entreprise. Ce phénomène représente une réelle menace pour les sociétés qui en sont victime, car il peut entrainer une fuite de données sensibles. Pour éviter de subir les effets néfastes du Shadow IT sur vos activités, voici quelques mesures à prendre.

Utiliser le CASB

CASB signifie en Anglais Cloud Access Security Broker. Il s’agit d’un logiciel ultra efficace pour signaler les menaces liées à l’utilisation des applications au sein d’une société. Il représente une réelle alternative pour lutter contre le Shadow IT d’autant plus qu’il permet de renforcer la protection complète des données en partant du Cloud jusqu’à la totalité de votre système informatique. En gros, il permet d’examiner le comportement des utilisateurs, et de maitriser les accès. L’idéal serait d’imposer son utilisation au sein de votre direction informatique en vue d’avoir un contrôle général sur l’utilisation du service Cloud afin de pouvoir dévoiler d’éventuelles contraintes liées au Shadow IT. Cliquez ici pour en savoir plus sur le Shadow IT.

Communiquer efficacement sur les risques liés à ce phénomène

L’informatique est omniprésente dans la quasi-totalité des activités humaines. Ces dernières années, environ 23 % des entreprises ont opté pour l’usage du service Cloud dans le cadre de leurs activités. Si vous êtes chef de société, même si vous n’adoptez pas ce type de service, il y a fort à parier que vos employés en font usage sans passer par votre direction informatique. En réalité, il s’agit d’une technologie qu’on peut obtenir et utiliser gratuitement. L’idéal serait donc de mettre en œuvre une méthode de surveillance capable d’identifier la présence du service Cloud et des appareils qui peuvent poser problème. À la suite à cette démarche, vous allez identifier « qui utilise quoi » au sein de vos locaux. Ainsi, vous pourrez sensibiliser vos salariés sur les risques probables et les conséquences qui peuvent en découler.

Chasse aux backdoors dans des appareils Cisco contrefaits

Une enquête met en lumière l’impact des composants contrefaits dans une infrastructure informatique. Et si derrière la copie se cachait une backdoor.

Des spécialistes de la sécurité matérielle viennent de publier un rapport détaillant une enquête concernant des commutateurs réseau contrefaits. L’enquête a conclu que les contrefaçons étaient conçues pour contourner les processus qui authentifient les composants du système.

L’équipe de sécurité matérielle de F-Secure Consulting a enquêté sur deux versions contrefaites différentes de commutateurs Cisco Catalyst série 2960-X. Les contrefaçons ont été découvertes par une société informatique après une mise à jour logicielle ratée. Une panne courante du matériel contrefait/modifié aux nouveaux logiciels.

D’abord, les enquêteurs ont découvert que si les contrefaçons ne possédaient pas de fonctionnalités de type « backdoor » (porte cachée), elles employaient néanmoins diverses mesures pour tromper les contrôles de sécurité. Par exemple, l’une des unités a exploité ce que l’équipe de recherche pense être une vulnérabilité logicielle non découverte auparavant pour miner les processus de démarrage sécurisés qui assurent une protection contre la falsification des microprogrammes.

« Nous avons découvert que les contrefaçons étaient construites pour contourner les mesures d’authentification, mais nous n’avons pas trouvé de preuves suggérant que les unités présentaient d’autres risques« , a déclaré Dmitry Janushkevich, consultant senior de l’équipe « Sécurité matérielle » de F-Secure Consulting, et auteur principal du rapport. « Les motifs des faussaires se limitaient probablement à gagner de l’argent en vendant les composants.« . Bref, il est indispensable de vérifier minutieusement tout matériel rentrant dans l’entreprise.

Derrière la contrefaçon

Ensuite, les contrefaçons étaient physiquement et opérationnellement similaires à un authentique commutateur Cisco. L’une des études techniques de l’unité suggère :

  • Les contrefacteurs investissent massivement dans la reproduction du design original de Cisco ;
  • Ils ont eu accès à une documentation technique propriétaire pour les aider à créer une copie convaincante.

« Les services de sécurité ne peuvent pas se permettre d’ignorer le matériel altéré/modifié. Ils doivent enquêter sur toutes les contrefaçons présentes dans la société« . Sans démolir le matériel et l’examiner de fond en comble, les organisations ne peuvent pas savoir si un dispositif modifié a eu un impact plus important sur la sécurité.

Enfin, l’impact peut être suffisamment important pour saper complètement les mesures de sécurité et de protection mises en place dans l’organisation.

Pour conclure, voici quelques conseils pour aider les organisations à se prémunir contre l’utilisation de composants contrefaits :

Procurez-vous tous vos composants auprès de revendeurs autorisés
Disposer de processus et de politiques internes clairs qui régissent les procédures de passation de marchés ;
S’assurer que tous les composants fonctionnent avec les derniers logiciels disponibles fournis par les fournisseurs ;
Notez les différences physiques entre les différentes unités d’un même produit, même si elles sont subtiles.

Tycoon, le ransomware qui infiltre les petites et moyennes entreprises dans les domaines de l’éducation et du logiciel

Le rançongiciel Tycoon tente d’infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel.

La société Blackberry Research & Intelligence vient de publier une étude concernant le ransomware Tycoon. La découverte d’une « nouvelle » souche montre que les attaquants deviennent de plus en plus créatifs et ont des programmes R&D qui ne se cachent plus.

Jusqu’à présent, les acteurs de cette menace ont utilisé ce rançongiciel pour infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel. Ce code malveillant utilise un format d’image inhabituel afin de passer inaperçu (Java IMAGE). Il verrouille les accès des administrateurs systèmes en attaquant leur contrôleur de domaine et leurs serveurs de fichiers. La typologie des victimes et le texte de rançon suggèrent un lien avec le ransomware Dharma/CrySIS.

Les pirates désactivent les solutions anti-malware à l’aide de l’utilitaire ProcessHacker. Ensuite, ils modifient les mots de passe des serveurs Active Directory. Cela laisse la victime incapable d’accéder aux systèmes infiltrés.

Le rançongiciel Tycoon se présente sous la forme d’une archive ZIP contenant une version JRE (Trojanized Java Runtime Environment). Le malware est compilé dans un fichier image Java (JIMAGE) situé dans lib\modules.

Il semble exister plusieurs versions de ce code malveillant. Il rajoute comme extension aux documents pris en otage : .grinch ou encore .thanos.

Les victimes, des cibles classiques. Plus fragile à une cyber attaque et plus à même de payer face à la perte de toutes leurs données. A lire, à ce sujet, une technique employée par les pirates opérateurs du ransomware Sodinokibi, découverte par la société en cyber sécurité de Montréal The 8 Brains, à destination des particuliers, PME et étudiants.

NAS et Routeurs Zyxel/Linksys dans la ligne de mire de pirates

Découvertes de plusieurs cyber attaques visant les utilisateurs de stockages connectés Zyxel et routeurs Linksys.

Une ne nouvelle variante de Mirai vise les stockages connectés Zyxel.

Appelé Mukashi, ce malware utilise des attaques par force brute. Mission, s’infiltrer via différentes combinaisons d’identifiants par défaut afin de se connecter aux produits de stockage en réseau Zyxel.

Une cyber attaque qui a pour mission de prendre le contrôle et d’ajouter à un réseau de dispositifs pouvant être utilisés pour conduire des attaques DDoS.

Le PoC (proof-of-concept) de la faille CVE-2020-9054 a été rendu public en février 2019. Une vulnérabilité rapidement exploitée pour infecter des modèles NAS de chez Zyxel avec une nouvelle variante de Mirai : Mukashi. Ce code malveillant utilise la force brute pour s’infiltrer en utilisant différentes combinaisons d’identifiants par défaut, tout en informant son serveur C2 (command & contrôle) de ses réussites. De nombreux serveurs NAS de Zyxel, si ce n’est tous, utilisant les versions de firmware allant jusqu’à 5.21 sont concernés par cette vulnérabilité.

Cette vulnérabilité classée critique (c’est-à-dire un score de 9,8 selon le CVSS v3.1) en raison de son incroyable facilité d’exploitation. Faille découverte à l’origine par la vente de son code en tant que 0-day. Les pirates indiquaient que cet exploit était désormais dans les mains d’un groupe de cyber criminels qui cherchaient à l’intégrer dans l’autre code malveillant, Emotet.

Bot contre Zyxel

Mukashi est un bot qui scanne les ports 23 TCP d’hôtes au hasard. Il utilise la force brute pour s’infiltrer en utilisant différentes combinaisons d’identifiants par défaut et qui renvoie ses essais réussis vers un serveur C2. Comme les autres variantes de Mirai, Mukashi peut également recevoir des ordres de son serveur C&C et de lancer des attaques par déni de service (DoS). Une fois exécuté, Mukashi affiche le message « Protecting your device from further infections. » sur la console. Le malware change alors le nom de son processus en dvrhelper, suggérant que Mukashi a pu hériter de certaines particularités de son prédécesseur.

Avant d’exécuter son opération, Mukashi se lie au port TCP 23448 pour s’assurer qu’il n’y a qu’une seule instance tournant sur le système infecté. Le malware décode quelques chaînes de caractères à la volée lors de son initialisation. Contrairement à ses prédécesseurs qui utilisent le chiffrement xor classique, Mukashi utilise une routine de décryptage personnalisée pour chiffrer ces commandes et ces informations d’identification.

Il est indispensable de mettre à jour le firmware pour ne pas laisser entrer les attaquants. Les dernières versions du firmware sont disponibles en téléchargement. Mieux vaut utiliser des couples identifiants/mots de passe complexes pour éviter les attaques par la force brute.

Chez Linksys

Pendant ce temps, Bitdefender découvrait une nouvelle attaque ciblant les routeurs Linksys. La cyber attaque a pour mission de modifier les paramètres DNS des matériels. Mission, diriger les utilisateurs vers une page web liée au COVID-19. Une page ayant pour mission diffuser des logiciels malveillants. L’attaque a débuté le 18 mars 2020. Elle utilisait le service de raccourcissement d’adresse web TinyURL et quatre stockages Bitbucket.

Les principaux pays touchés auraient été la France, l’Allemagne et les États-Unis. 1 193 téléchargements auraient été détectées en deux jours.

Kit Covi-19 : protéger son entreprise et ses employés

Besoin d’un outil pour sécuriser vos équipes lors du confinement ? Le Kit Cyber Covid-19 a été mis en place par plusieurs entreprises Françaises, à l’initiative de ITrust.

Snake : un ransomware venu d’Iran ?

Le ransomware Snake capable de prendre en otage des systèmes de contrôle industriels. Le code malveillant viendrait d’Iran.

Le rançongiciel « Snake », comme d’autres du genre, chiffre les programmes et les documents sur les machines infectées. Étonnant, les auteurs présumés de ce code serait Iranien, mais surtout, le logiciel de rançonnage pourrait supprimer les copies de fichiers des stations infectées. Ecrit en langage Golang, il chiffre tous les fichiers qu’il rencontrera.

Snake s’attaque à tous les processus du système liés aux ICS et SCADA. En cas de non paiement, il efface l’ensemble des données. Des chercheurs de la société Israélienne Otorio indique que Snake s’attaque à la compagnie nationale de pétrole de Barheïn, BAPCO (Bahrain Petroleum Co.). La société est mentionnée dans la demande de rançon sauvegardé en fichier texte sur la machine prise en otage.

A noter que le code de Snake s’échange sur certains forums pirates comme a pu le constater la société Québécoise spécialiste en cybersécurité The 8Brains. Code simple, mais efficace face à des entreprises qui n’ont pas pris soin de se protéger… un minimum !

Stantinko, un botnet déployant un module de cryptomining

Des chercheurs découvrent que des cybercriminels exploitent le botnet Stantinko, composé de près de 500 000 ordinateurs. Les pirates le déploie maintenant avec un module de minage Monero sur les appareils qu’ils contrôlent.

Actifs depuis 2012 au minimum, les responsables du botnet Stantinko contrôlent près d’un demi-million d’ordinateurs.

Ils ciblent principalement la Russie, l’Ukraine, la Biélorussie et le Kazakhstan.

Récemment, ils ont déployé un nouveau modèle économique. Aprés les NAS et autre caméra de surveillance. Voici le minage de cryptomonnaie.

« Après des années d’activités basées sur la fraude au clic, l’injection de publicités, la fraude sur les réseaux sociaux et le vol d’identifiants, Stantinko mine maintenant Monero. », explique Vladislav Hrčka, l’analyste malware responsable de cette enquête chez ESET.

Depuis août 2018 au moins, les cybercriminels déploient un module de cryptomining sur les ordinateurs qu’ils contrôlent.

Identifié par les produits de sécurité d’ESET sous la dénomination Win{32,64}/CoinMiner.Stantinko, ce module de cryptomining est une version considérablement modifiée du cryptominer open source xmr-stak. Il se démarque surtout par sa technique d’obscurcissement visant à résister aux analyses et à éviter la détection.

En plus de sa méthode d’obscurcissement à la source reposant partiellement sur le hasard, ce module est compilé individuellement. Chaque nouvelle victime, et chaque échantillon sont uniques.

Stantinko utilise plusieurs techniques intéressantes

Pour masquer ses communications, le module n’interagit pas directement avec son pool de minage. Il passe par des proxies dont les adresses IP figurent dans des descriptifs de vidéos YouTube.

Le malware bancaire Casbaneiro utilise une approche similaire pour dissimuler des données dans l’espace de description des vidéos YouTube.

« Nous avons informé YouTube de ces activités abusives et la plateforme a supprimé toutes les chaînes liées à ces vidéos », déclare M. Hrčka.

Stantinko peut également suspendre sa fonction de cryptomining lorsque l’ordinateur fonctionne sur batterie. Lorsqu’il détecte un gestionnaire de tâches. Il peut également détecter les éventuelles autres applications de cryptomining en cours d’exécution. Il est aussi capable d’analyser les processus en cours d’exécution pour identifier les logiciels de sécurité.

CoinMiner.Stantinko est loin d’être le plus dangereux des malwares, mais personne n’a envie que son ordinateur enrichisse les cybercriminels en arrière-plan. Et à tout moment, Stantinko pourrait déployer un nouveau malware potentiellement dangereux sur les postes infectés, ce qui est assez préoccupant.

pour conclure, il est conseillé aux utilisateurs de respecter les principes de sécurité de base et d’utiliser des logiciels fiables pour se protéger contre ce type de menace. Sa télésurveillance numérique !

Découverte du cheval de Troie bancaire Android, Ginp.

Le cheval de Troie Ginp est apparu dans le paysage des menaces en juin 2019 en tant qu’outil d’espionnage. Il vise avant tout les données bancaires. Découverte de cette malveillance.

Le logiciel pirate Ginp, encore peu connu, vise banques et données bancaires transitant par votre smartphone et tablette. Un outil malveillant sous Android.

En tant que logiciel malveillant bancaire, Ginp incite ses victimes à fournir des informations personnelles et sensibles, telles que des informations d’identification de connexion en ligne, des codes de sécurité bancaires et même des détails de carte de crédit grâce à des attaques par superposition.

Ginp est un trojan construit à partir de rien et recevant de nouvelles fonctionnalités via un autre cheval de Troie, Anubis.

Une méthode qui a tendance à indiquer des acteurs sélectifs et ciblés.

La liste des cibles indique un intérêt évident pour les banques espagnoles. Du moins, pour le moment.

Un total de 24 cibles uniques pour 7 banques différentes. Bien que les objectifs se concentrent sur les institutions espagnoles, la structure utilisée par le ou les auteurs semble indiquer un élargissement possible des objectifs à d’autres pays. Il serait même étonnant que ces pirates n’agissent pas de la sorte.

Ginp est peut-être un test, voir un leurre.

C’est déjà le deuxième nouveau cheval de Troie bancaire découvert cette année. Des logiciels espion qui commencent par une focalisation claire sur des banques européennes.

Étonnante envie et intérêts à commettre une fraude en Europe.

L’attaque par superposition fonctionne toujours en deux étapes: voler les identifiants bancaires et les détails de carte de crédit, maximisant ainsi les chances de recueillir des informations personnelles précieuses auprès des victimes.

The Reat Fabric revient sur ce piège numérique dans une analyse complète qui sera diffusée ce 21 novembre.

Nouvelle tactique furtive de faux-clics publicitaires dans des apps du Google Play Store

Une étude révèle une nouvelle tactique furtive utilisée par des applications malveillantes sur le Google Play Store consistant à cliquer automatiquement et sournoisement sur les annonces publicitaires pour générer du profit.

Cette technique furtive récemment découverte utilise des publicités intégrées – stratégiquement positionnées au-delà de la zone d’écran visible d’un appareil mobile – pour lancer un processus automatisé de clic publicitaire qui génère furtivement des revenus pour des acteurs à risque.

Deux applications populaires (IDEO Note et Beauty Fitness) présentes sur le Google Play Store.

Elle compte plus de 1,5 million de téléchargements à elles deux. Elles ont un comportement trompeur découvert par Symantec.

Les utilisateurs de téléphones mobiles affectés peuvent voir leur batterie s’épuiser. Les performances ralenties. Une augmentation de l’utilisation des données mobiles en raison de visites fréquentes sur les sites publicitaires.

L’application bloc-notes et l’app de mise en forme sont codées avec l’outil légitime développé à l’origine pour protéger la propriété intellectuelle des créations sous Android.

Cela explique également la capacité du développeur à rester sur le Play Store. Sous le radar pendant près d’un an avant détection. (étude)

La Gendarmerie Nationale coupe l’infiltration de Retadup

960 000 ordinateurs de part le monde désinfectés du code malveillant Retadup par le centre de lutte contre les criminalités numériques de la Gendarmerie Nationale.

Les militaires du centre de lutte contre les criminalités numériques (C3N) ont frappé fort en faisant taire le code malveillant Retadup. Après une prise de contrôle du serveur permettant de contrôler plus de 960 000 machines de part le monde, les cyber gendarmes ont désinfectés les machines zombies.

Un sacré coup de frein aux actions malveillantes d’un groupe de pirates connus pour agir de Palestine.

Retadup est un cheval de Troie permettant de surveiller un ordinateur, intercepter les frappes claviers. Il peut aussi mettre la main sur les données financières, dont des cryptomonnaies. ZATAZ explique que la furtivité du logiciel pirate fait de lui un code malveillant redoutable.

Mobile Malware Report – Une application malveillante toutes les 8 secondes

Les experts en sécurité de G DATA ont compté plus de 10 000 nouvelles applications malveillantes chaque jour au cours du premier semestre 2019. Près de 2 millions de nouvelles applications malveillantes au cours des six premiers mois de 2019. En moyenne cela représente une application infectée pour Android qui apparaît toutes les huit secondes.

Le nombre de nouvelles applications malveillantes pour les appareils Android a légèrement diminué au premier semestre 2019. Alors que les experts de G DATA avaient comptabilisé plus de 2 millions d’applications infectées entre janvier et juin 2018, ils en ont trouvé 1,85 million cette année. « Le risque pour les smartphones et autres appareils mobiles reste très élevé « , déclare Alexander Burris, chercheur mobile en chef chez G DATA. « Parce que les smartphones sont devenus des compagnons indispensables, ils sont une cible attrayante pour les cybercriminels. Les logiciels publicitaires ou de rançon, qui nuisent directement à l’utilisateur, sont particulièrement lucratifs. » Fin juin, le nombre total d’applications malveillantes connues s’élevait à près de 94,2 millions.

Trop de versions d’Android

Le potentiel de menace toujours élevé d’Android est favorisé par la forte fragmentation du système d’exploitation. Actuellement, seulement 10 % du parc Android dispose de la dernière version 9. Quant à Android 8 – Oreo – il est seulement utilisé sur 28 % des appareils en circulation. Cela signifie que près de 60 % des appareils utilisent encore des versions datant d’avant août 2017, autrement dit qui sont totalement obsolètes.

Le label Android One de Google tend à corriger ce problème. En optant pour un smartphone portant ce label, l’acheteur est assuré que son appareil recevra les mises à jour du système pendant 2 ans.

L’annonce de la conversion d’une grande partie de l’infrastructure de mise à jour vers la nouvelle version Android Q et de la mise à jour des composants du système indépendamment des surcouches des fabricants permet également d’espérer que le problème des mises à jour sera résolu à terme.

Appareils obsolètes et imports bon marché

Les systèmes d’exploitation et les smartphones obsolètes qui n’ont pas les correctifs les plus récents permettent aux pirates d’installer facilement des logiciels malveillants sur l’appareil. Les raisons de cette situation sont doubles : soit il n’y a pas de mises à jour pour l’appareil, soit les clients ne les installent pas. Mais il peut également arriver que des appareils bon marché importés d’Asie soient vendus avec des logiciels malveillants préinstallés. Ces logiciels malveillants, principalement des spywares, permettent au constructeur malhonnête de récolter des informations sur l’utilisateur et de monétiser ce client par l’affichage de publicités ou l’installation d’applications à son insu. Bref, un logiciel de supervision destiné aux DSI peut faire parti de l’arsenal pour surveiller les installations « bancales ».

Haro sur le Google Play

Depuis quelques mois, le Play store ne fait plus recette auprès des gros éditeurs. Epic Games avait lancé les hostilités l’ année dernière en choisissant de ne pas  sortir son application Android sur la plateforme d’applications de Google. D’autres, tels que Tinder ou Netflix ont fait le choix de détourner le paiement vers leur propre boutique. La commission de 30 % demandée par Google ne passe plus… Si une telle tendance se confirmait, l’émergence de plateformes parallèles pourrait devenir une opportunité pour les cybercriminels.

Des pertes en millions

SimBad, Operation Sheep et Agent Smith sont trois exemples qui illustrent le succès des cybercriminels. 150 millions d’utilisateurs auraient une application Android avec le malware SimBad installé. La deuxième campagne de malware réussie est connue sous le nom d’Operation Sheep. Les applications infectées ont été téléchargées plus de 111 millions de fois. Toutes les applications se trouvent principalement dans les boutiques d’applications tierces. L’agent Smith est le nom de la troisième grande campagne. Elle a infecté 25 millions de smartphones en Asie. Une fois installé, l’agent remplace les applications par des clones infectés afin qu’ils affichent de la publicité. Bref, La transformation numérique des organisations doit prendre en compte ce genre de malveillance.