Archives de catégorie : backdoor

Antivirus, backdoor, Communiqué de presse, Cybersécurité, Logiciels, Securite informatique

Une nouvelle technologie brevetée contre l’espionnage audio

Afin d’aider les utilisateurs à se protéger contre la menace d’une surveillance audio, Kaspersky Lab a fait breveter une méthode pour contrer les accès non autorisés au microphone des machines Windows.

Pour contrôler l’accès aux données audio de l’utilisateur, il est nécessaire de surveiller toutes les requêtes adressées au micro dans le système d’exploitation, afin de bloquer tout accès non autorisé ou provenant d’un programme non fiable. Il ne suffit pas à l’utilisateur de simplement couper le micro ou de le recouvrir avec du ruban adhésif, car cela n’empêche pas un intrus d’enregistrer les sons autour de l’ordinateur moyennant des haut-parleurs ou d’autres méthodes. Or Windows n’offre actuellement en standard aucune protection spéciale contre les accès non autorisés aux données audio de l’utilisateur. C’est pourquoi les experts de Kaspersky Lab ont développé une nouvelle méthode, qu’ils ont fait breveter.

La technologie de Kaspersky Lab filtre les commandes internes envoyées au service Windows Audio, ou reçues par ce dernier, et signale la création de chaque nouveau flux audio par toute application quelle qu’elle soit. Ensuite, elle fait appel à la fonction Application Control de Kaspersky Lab, qui classe tous les programmes en diverses catégories (fiable, restreint, non fiable) suivant sa réputation, son contenu et son fabricant. Si un programme considéré « non fiable » ou bien « restreint » tente d’accéder au micro, sa requête est immédiatement bloquée.

Alexander Kalinin, chercheur senior en sécurité chez Kaspersky Lab et l’un des inventeurs de la technologie, commente : « La vie privée des utilisateurs est primordiale à nos yeux. C’est pourquoi nous développons des technologies permettant de préserver leur univers numérique de tout accès malveillant. En matière de protection audio, la principale difficulté tient à l’existence d’un système de multiplexage des flux audio dans Windows, de sorte que plusieurs applications peuvent enregistrer des sons simultanément. Cependant, nous avons pu résoudre ce problème facilement grâce à notre riche infrastructure de pilotes pour le noyau, qui comprend un mécanisme de contrôle des commandes entre les services Windows ».

La protection Audio fait partie des technologies de protection de la vie privée incorporées aux solutions de sécurité de Kaspersky Lab pour les particuliers. Elle intervient ainsi aux côtés de la technologie qui avertit l’utilisateur de tout accès à sa webcam intégrée ou connectée, ou encore de la navigation privée, qui bloque toute tentative de collecte des données personnelles via un navigateur web. Ces deux dernières fonctionnalités sont disponibles sur Mac et PC. Pour en savoir plus sur le brevet US9652625, suivez ce lien. Kaspersky Lab détient aujourd’hui plus de 580 brevets déposés aux Etats-Unis, en Russie, dans l’Union européenne et en Chine.

Apple, backdoor, Cyber-attaque, Cybersécurité, Espionnae, ios, Logiciels, OS X, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone

Fruitfly : code malveillant pour MAC

Un commentaire

Le malware, nommé Fruitfly, a été détecté en janvier 2017. Le chercheur en sécurité pour Synack, Patrick Wardle, a récemment détecté une variante du virus qui serait présente dans certains MAC depuis au moins cinq ans.

Fruitfly, le malveillant pour MAC ! Les capacités de ce logiciel-espion couvrent plusieurs fonctionnalités comme l’activation des webcams et micros, la modification d’un fichier ou l’enregistrement de la saisie clavier. L’espion peut alors surveiller les gestes de l’utilisateur mais aussi subtiliser ses données. Fruitfly a touché 400 appareils selon Mashable, principalement aux États-Unis, mais le chiffre pourrait être revu à la hausse selon le chercheur en sécurité.

Patrick Wardle voit dans ce virus une attaque sans but financier : Un pirate a conçu cet espiogiciel pour espionner des utilisateurs, en précisant que ce logiciel d’espionnage a été conçu pour de la surveillance de pointe. Le chercheur, qui a déjà travaillé pour la NSA, a déjà vu ce type de surveillance auparavant mais d’habitude, on voit ça dans des logiciels gouvernementaux ou d’État-nation selon lui.

Wardle estime que les créateurs de cette variante de Fruitfly avaient déjà abandonné leur malware. La menace est d’ailleurs en partie oubliée puisque les adresses des serveurs et les noms de domaines utilisés par le malware sont déjà désactivés.

La première version de FruitFly avait été détectée par Malwarebytes. La version cachée depuis 5 ans dans des centaines de MAC serait l’évolution de la souche découverte par MB. Jérôme Ségura, Expert en sécurité chez Malwarebytes nous livre les premiers éléments d’analyse sur ce nouveau malware : « Après la découverte de la première version du malware Mac FruitFly (détecté sous le nom de OSX.Backdoor.Quimitchin par Malwarebytes). FruitFly2 est lui aussi écrit avec du code assez rudimentaire. Ce genre de découverte nous rappelle que les Macs ne sont pas à l’abri des virus informatiques.« 

Comme le montrait ZATAZ.COM, les logiciels espions pour MAC existent, certains sont mêmes offerts. 2017 a déjà battu le record de l’année ou le nombre de malwares ciblant Apple a été le plus important. La légende selon laquelle posséder un Mac met à l’abri des malwares doit être reconsidérée car nous constatons de plus en plus d’infections où l’utilisateur se fait duper et installe un programme malveillant sur un MAC.

Android, backdoor, Cyber-attaque, Cybersécurité, Patch, Piratage, Smartphone, Social engineering, Téléphonie

CopyCat : 14 millions de terminaux Android infectés, 1 million de revenus en 2 mois

La Research Team de Check Point vient d’identifier un tout nouveau malware – CopyCat – qui a infecté 14 millions de terminaux Android, dont 8 millions ont subi un « rootage », ce qui permet à l’attaquant d’obtenir des accès système qu’un utilisateur lambda ne possède pas (contrairement à un administrateur par exemple). 

Cette cyberattaque a permis aux cybercriminels de récolter 1,5 millions de dollars, en deux mois, grâce à de la publicité malveillante. CopyCat utilise une toute nouvelle méthode pour générer et voler des revenus issus de la publicité.
Le logiciel malveillant, baptisé CopyCat par les chercheurs utilise une nouvelle technique pour générer et voler des revenus publicitaires. Alors que les utilisateurs infectés par CopyCat sont principalement en Asie du Sud-Est, CC a touché plus de  280 000 utilisateurs d’Android aux États-Unis.
CopyCat est un logiciel malveillant entièrement développé avec de vastes fonctionnalités, y compris des dispositifs d’enracinement, l’établissement de la persistance et l’injection de code dans Zygote – un démon responsable du lancement d’applications dans le système d’exploitation Android – qui permet aux logiciels malveillants de contrôler toute activité sur le périphérique.
CopyCat est une vaste campagne qui a infecté 14 millions d’Android dans le monde, et piégeant 8 millions d’entre eux, dans ce que les chercheurs décrivent comme un taux de réussite sans précédent. Les chercheurs de Check Point estiment que le malware a généré 1,5 million de dollars pour le groupe derrière la campagne.
backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Paiement en ligne, Patch, Piratage, ransomware, ransomware, Securite informatique

La cyberattaque Petya attribuée au groupe TeleBots

2 commentaires

La cyberattaque dite « Petya » pourrait être attribuée au groupe TeleBots. Il existe des similitudes entre les nombreuses campagnes menées contre l’Ukraine, l’amélioration des outils utilisés par le cyber-groupe entre décembre 2016 et mars 2017 et la menace Diskoder.C (Petya).

Petya ne serait pas un ransomware mais une attaque du groupe TeleBots à l’encontre de l’Ukraine ! « La cyberattaque de 2016 menée contre les institutions financières ainsi que le développement d’une version Linux du malware KillDisk par TeleBots, ont attiré l’attention des chercheurs. En parallèle, le nombre croissant d’attaques contre les systèmes informatiques que connaît l’Ukraine nous ont fait pointer du doigt le groupe TeleBots, » déclare Anton Cherepanov, Senior malware researcher chez ESET.

Le mode opératoire du groupe TeleBots est l’utilisation systématique du malware KillDisk qui réécrit les extensions de fichiers des victimes. L’obtention d’une rançon n’est donc pas leur objectif principal, car les fichiers cibles ne sont pas chiffrés, mais réécrit. Si l’évolution du malware contient de nouvelles fonctions, comme le chiffrement ou l’ajout de leurs coordonnées, l’objectif de KillDisk n’est toujours pas de récolter de l’argent.

Entre janvier et mars 2017, TeleBots a compromis une société d’édition de logiciels en Ukraine, utilisant alors des tunnels VPN pour accéder aux réseaux internes de plusieurs institutions financières. Au cours de cette campagne, les cybercriminels ont utilisé tout un arsenal d’outils en Python, SysInternals PsExec et des logins de session Windows volés pour déployer un nouveau ransomware. Il fut détecté comme Win32/Filecoder.NKH et fut suivi par une version pour Linux, détecté comme Python/Filecoder.R.

TeleBots a ensuite lancé un nouveau malware le 18 mai 2017 : Win32/Filecoder.AESNI.C (également appelée XData). Ce ransomware s’est principalement diffusé en Ukraine via une mise à jour du logiciel financier M.E.Doc, largement utilisé en Ukraine.

Le malware se déploie juste après l’exécution du logiciel, ce qui lui permet de se répandre automatiquement à l’intérieur d’un réseau compromis. Bien qu’ESET ait mis à la disposition un outil de déchiffrement pour la plateforme Windows, cette attaque ne fut pas très médiatisée.

Le 27 juin 2017, l’épidémie de ransomwares de type Petya (Diskoder.C) ayant compromis de nombreux systèmes notamment en Ukraine, a permis de montrer la capacité du malware à remplacer le MBR par son propre code malveillant, code qui a été emprunté au ransomware Win32/Diskoder.Petya : c’est pourquoi certains chercheurs ont nommé cette menace ExPetr, PetrWrap, Petya ou NotPetya.

Cependant, contrairement au ransomware original Petya, les auteurs de Diskcoder.C ont modifié le code MBR de telle sorte que la récupération de fichiers ne soit pas possible, malgré l’affichage des instructions de paiement. Une fois le malware exécuté, il tente de se propager à l’aide de l’exploit Eternablue, en s’aidant de la backdoor DoublePulsar. Il s’agit de la même méthode utilisée par le ransomware WannaCry.

Le malware est également capable de se diffuser de la même manière que le ransomware Win32/Filecoder.AESNI.C (XData), en utilisant Mimikatz, pour obtenir des mots de passe, puis en exécutant SysInternals PsExec. En outre, les attaquants ont mis en place une troisième méthode de diffusion à l’aide d’un mécanisme WMI.

Ces trois méthodes ont été utilisées pour diffuser les ransomwares, cependant et contrairement à WannaCry, l’exploit EternalBlue utilisé par le malware Diskoder.C cible uniquement des ordinateurs ayant un adressage interne.

Lier TeleBots à cette activité permet de comprendre pourquoi les infections se sont étendues à d’autres pays que l’Ukraine. ESET a analysé les connexions VPN entre les employés, les clients et les partenaires mondiaux de l’éditeur ainsi que le système interne de messagerie et d’échange de documents. Tout cela a permis aux cybercriminels d’envoyer des messages aux victimes (spearphishing). Les pirates ayant eu accès au serveur légitime de mise à jour ont diffusé des mises à jour malveillantes automatiquement (aucune interaction avec l’utilisateur ne fut nécessaire).

« Avec une infiltration si poussée dans l’infrastructure de l’éditeur du logiciel M.E.Doc et de sa clientèle, les pirates disposaient des ressources nécessaires pour diffuser Diskoder.C. Bien qu’il y eut des dommages collatéraux, cette attaque a permis de démontrer la connaissance approfondie de leur cible par les pirates. D’autre part, l’amélioration du kit d’exploit EternalBlue le rend encore plus sophistiqué, ce à quoi devront faire face les acteurs de la cybersécurité dans les prochaines années, » conclut Anton Cherepanov.

 

backdoor, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Du matériel IBM infiltré par un code malveillant dès l’usine

Un outil pirate découvert dans du materiel IBM destiné à certains serveurs du géant de l’informatique. Une fois branchée, elle télécharge un logiciel d’espionnage.

Ambiance espionnage numérique dans les bureaux d’IBM. Le géant de l’informatique vient d’alerter ses clients que des clés USB fournies avec les systèmes IBM Storwize V3500, V3700 et V5000 Gen 1 contiennent un fichier qui a été infecté par un code malveillant. Ni les systèmes de stockage IBM Storwize, ni les données stockées sur ces systèmes ne sont infectés par ce code malveillant. En attendant, dès qu’elle est connectée cette clé USB télécharge un cheval de Troie, un logiciel d’espionnage.

Lorsque l’outil d’initialisation est lancé depuis le lecteur flash USB, ce dropper (logiciel qui va télécharger un autre programme, NDR) se reproduit dans un dossier temporaire sur le disque dur du bureau ou de l’ordinateur portable en fonctionnement normal. Avec cette étape, le fichier malveillant est copié avec l’outil d’initialisation vers le dossier temporaire suivant:

Sur les systèmes Windows:% TMP% \ initTool
Sur les systèmes Linux et Mac: / tmp / initTool

IBM propose de contrer le code malveillant en détruisant « le lecteur flash USB afin qu’il ne puisse pas être réutilisé. » ou en réinstallant les utilitaires contenu sur ce dernier. Les éditeurs d’antivirus ont baptisé le code pirate sous les noms de Pondre, Torjan Dropper, Windex.

backdoor, Cybersécurité, Hacking, Microsoft, Mise à jour

La faille de Microsoft Office CVE-2017-0199 utilisée pour diffuser l’espion LatentBot

Une faille dans Microsoft Office utilisée depuis des semaines par des pirates pour diffuser le logiciel espion LatentBot.

L’espion LatentBot aimait Office ! Microsoft vient de corriger une vulnérabilité dans Office. Une faille qui permet de cacher des instructions malveillantes dans un document sauvegardé au format .RTF. Dès le 4 mars 2017, des documents malicieux exploitant CVE-2017-0199 ont été utilisés pour délivrer le malware LATENTBOT. Le malware, qui possède une capacité de vol d’identités, n’a depuis lors été observé que via des pirates aux motivations financières. LATENTBOT est un type de malware modulaire et extrêmement bien caché qui a été découvert pour la première fois par FireEye iSIGHT Intelligence en décembre 2015. Il possède une variété de capacités, dont le vol d’identités, l’effacement de disque dur et de données, la désactivation de logiciel de sécurité, et l’accès à distance du poste de travail. Récemment, nous avons identifié des campagnes LATENTBOT utilisant Microsoft Word Intruder (MWI). Les documents leurre distribuant le malware LATENTBOT utilisent des méthodes de manipulation génériques, de type document.doc ou hire_form.doc.

Des échantillons de FINSPY et de LATENTBOT partagent la même origine

Cette faille a permis à d’autres pirates de diffuser un autre outil d’espionnage, FINSPY. Un logiciel légalement commercialisé par la société Gamma group. Des artefacts partagés dans les échantillons de FINSPY et de LATENTBOT suggèrent que le même assembleur a été utilisé pour créer les deux, ce qui indique que l’exploit 0day a été fourni à la fois pour des opérations criminelles et de cyber espionnage en provenance de la même source.

Des campagnes de spam DRIDEX juste après la divulgation de CVE-2017-0199

A la suite de la divulgation des caractéristiques de la faille zero day le 7 avril 2017, celle-ci a été utilisée dans des campagnes de spam DRIDEX, qui continuent encore à ce jour. Nous ne pouvons confirmer le mécanisme par lequel les acteurs ont obtenu l’exploit. Ces acteurs peuvent avoir exploité les connaissances sur la faille obtenues dans les termes de la divulgation, ou y avoir eu accès lorsqu’il est devenu clair que la diffusion d’un patch était imminent. Une campagne de spams a été diffusée le 10 avril 2017, exploitant un leurre « Scan Data. » Le document en attachement exploitait CVE-2017-0199 pour installer DRIDEX sur l’ordinateur de la victime.

Perspectives et implications

Même si un seul utilisateur de FINSPY a été observé exploitant cet exploit zero day, la portée historique de ce malware, dont les capacités ont été utilisées par plusieurs états nations, suggère que d’autres clients y ont eu accès. De plus, cet incident confirme la nature globale des cyber menaces et l’intérêt de disposer d’une perspective mondiale – un incident de cyber espionnage ciblant des russes peut fournir l’occasion d’en savoir plus et d’interdire des activités criminelles visant des individus parlant une autre langue ailleurs.

backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Piratage, Social engineering

Turla, les cyber-espions de l’espace

Le groupe de cyber-espions Turla détourne les liaisons Internet par satellite pour infecter leurs victimes. Un rapport détaillé porte sur l’analyse des techniques et méthodologies employées par le groupe, dont la backdoor Carbon.

L’éditeur de solutions de sécurité informatique ESET révèle que le groupe Turla dispose d’un large éventail d’outils visant à récolter les données provenant d’institutions européennes et américaines (USA). Pour éviter de se faire repérer, le groupe Turla change ses outils à chaque nouvelle opération et modifie également les mutex et les noms de dossier de chaque version : dans les trois années qui ont suivi le développement de la version nommée Carbon, les chercheurs ont détecté huit versions actives à ce jour.

Connu pour être minutieux, le groupe Turla effectue d’abord un travail de reconnaissance sur les systèmes de leur victime avant de déployer leurs outils tels que Carbon :

  • la première étape d’infection peut avoir lieu soit parce que l’utilisateur reçoit un e-mail infecté (spear-phishing), soit parce qu’il navigue sur un site Internet compromis
  • généralement, les pirates ciblent les sites fréquemment utilisés par leur victime (technique connue sous le nom d‘attaque de point d’eau : surveillance des habitudes de navigation de la victime)
  • lorsque le système est infecté, une backdoor (comme Tavdig ou Skipper) s’installe sur la machine de la victime
  • une fois la phase de reconnaissance terminée, une seconde backdoor (comme Carbon) est installée sur des systèmes clés

L’architecture de Carbon repose sur un dropper qui installe les composants du malware et le fichier de configuration, ainsi qu’un composant qui communique avec les serveurs C&C et un orchestrateur qui gère les tâches et les expédie vers d’autres ordinateurs du réseau. Pour communiquer avec le serveur C&C et exécuter l’orchestrateur, Carbon s’injecte dans un processus légitime (DLL).

« On note des ressemblances entre la backdoor Carbon et les autres outils utilisés par ce groupe (rootkit Uroburos), notamment dans l’implémentation des objets de communication. Les structures et les tables virtuelles sont identiques, si ce n’est qu’il y a moins de canaux de communication pour Carbon », explique le rapport d’ESET. « Cette backdoor pourrait être la version allégée de Uroburos, sans composant de noyau ni d’exploits ».

backdoor, BYOD, Cyber-attaque, Cybersécurité, DDoS, Entreprise, IOT, Mise à jour, Patch, Piratage

DDoS : Le meilleur ami de Mirai est Vietnamien

L’équipe d’intervention d’urgence de Radware, spécialiste de la disponibilité applicative et de la sécurisation des centres de données, vient de dévoiler un nouveau rapport sur la propagation d’attaques DDoS via des équipements connectés insuffisamment protégés.

Si les vecteurs d’attaque DDoS sont nombreux, la méthode la plus utilisée est la suivante : les attaquants scannent Internet à la recherche d’équipements vulnérables à des attaques par injection de commande spécifiques.

Les commandes utilisées dans ces attaques IoT donnent l’instruction à l’équipement ciblé de télécharger le malware sur une serveur distant pour ensuite l’exécuter.

Une fois le malware exécuté, l’équipement est embrigadé dans un botnet et utilisé pour perpétrer des attaques DDoS.

Dans ce contexte, les mots de passe par défaut sont une bénédiction pour les cybercriminels : admin/admlin ; 0000 ; …

DDoS : Good morning vietnam !

Radware a mis en place un « pot de miel » surveillant l’activité sur le port 23, Telnet. Ce dernier a enregistré 300 tentatives de connexion par jour effectuées par des équipements situé partout dans le monde. Parmi ces appareils, on dénombrait des routeurs, des NAS, des lecteurs/enregistreurs de vidéo et des caméras web.

L’un des équipements les plus utilisés pour lancer des DDoS se trouve principalement au Vietnam. Cet appareil, le VNPT’s GPON IGATE GW040, a été largement infecté pour la simple et bonne raison que ses logins de connexion par défaut ont été divulgués sur Internet.

Cet appareil supporte le protocole d’administration à distance TR-069 et dispose d’un accès Telnet/SSH ouvert. La plupart des constructeurs fournissent sur leurs sites internet des documentations dans lesquelles on trouve les mots de passe par défaut, c’est le cas du GPON IGATE GW040. qBot, Hajime, Mirai et autres scanners utilisent un set de logins de connexion par défaut. Le fichier « scanner.c » de Mirai comporte par exemple 62 mots de passe par défaut de nombreux équipements et les créateurs de botnets recherchent en permanence de nouveaux logins et de nouveaux équipements pour les enrôler. (Radware)

backdoor, Cybersécurité, Entreprise, Fuite de données, Sécurité, Smartphone

APT ViperRAT

Le niveau de sophistication croissant des logiciels de surveillance tels que ViperRAT est une menace pour les entreprises et les gouvernements.

Se basant sur les données recueillies grâce aux données collectées sur son réseau mondial de plus de 100 millions de capteurs qui correspondent à la quasi-totalité du code mobile dans le monde, l’équipe de recherche de Lookout Mobile Security, spécialiste de la cybersécurité mobile, a capturé une perspective approfondie et des éléments nouveaux sur le mobile APT ViperRAT. L’équipe de chercheurs a déterminé que ViperRAT est une menace très sophistiquée, qui a été utilisée comme on le sait pour cibler et espionner, entre autres la Force de Défense Israélienne, mais qui surtout, confirme l’évidence émergente que les risques de cyberattaques mobiles contre les entreprises et les gouvernements représentent aujourd’hui un véritable problème.

En scrutant le Cloud mobile de Lookout, les experts de la société ont identifié sur ViperRAT les nouveaux éléments suivants :

:: 11 nouvelles applications ont été identifiées qui n’ont encore jamais été rapportées.

:: L’équipe de recherche a pu identifier et analyser en temps réel des serveurs de commande et de contrôle (C2) malveillants et déterminer comment l’attaquant peut créer des nouvelles applis malveillantes infectées capables de s’installer secrètement et le type d’informations et d’activités qu’elles peuvent surveiller et espionner.

:: Identification des IMEI des personnes ciblées ainsi que les types de contenu exfiltrés.

:: Après analyse, il semblerait que les pirates qui utilisent ViperRAT peuvent exfiltrer une quantité importante d’informations sensibles des appareils mobiles qu’ils attaquent. L’exfiltration d’images et de contenus audio semble cependant être une priorité. Les attaquants peuvent aussi prendre le contrôle de l’appareil photo pour prendre des clichés. Il a été identifié 8929 dossiers avaient été exfiltré à partir des périphériques compromis et que 97 % de ceux-ci étaient des images chiffrées probablement prises avec l’appareil photo de l’appareil mobile infecté. Des fichiers générés automatiquement sur le C2 incitent à penser que des commandes ont aussi été émises pour rechercher et exfiltrer des documents PDF et Office. En cas de fuite d’information, ceci peut être problématique pour une entreprise ou un organisme gouvernemental.

:: Les échantillons ViperRAT sont capables de communiquer aux serveurs C2 via une API exposée ainsi que des websockets.

:: Finalement, le ViperRAT ne serait peut-être pas nécessairement un outil de surveillance du Hamas tel que certains rapports semblent l’indiquer. Selon un article de blog publié par Lookout ViperRAT est opérationnel depuis un certain temps, avec ce qui semble être une application de test qui est initialement apparue à la fin de l’année 2015. En effet, les experts commentent qu’il est à ce stade difficile d’identifier si les organisations qui ont émis ces rapports liant ViperRAT au Hamas avaient basé leurs conclusions sur les résultats de leurs propres études indépendantes ou sur le rapport Israélien d’origine qui avait été rapporté à l’époque dans la presse. Selon Lookout, le Hamas n’est pas connu pour ses capacités mobiles pointues, ce qui conduit à conclure qu’ils ne sont probablement pas directement responsables pour ViperRAT et qu’il pourrait donc s’agir d’un autre acteur non identifié à ce stade.

Le niveau de sophistication croissant de ce genre de logiciel de surveillance est inquiétan. Dans l’ensemble, le type d’informations dérobées peut permettre à un pirate de savoir où une personne se trouve, avec qui elles est en contact (y compris en accédant aux profils photos des contacts), les messages qu’ils envoient, les sites Web qu’ils visitent, l’historique de recherches, faire des captures d’écran qui révèlent les données des autres applications installées sur l’appareil, les conversations, et avoir accès aux images et photos contenues dans le téléphone.

L’analyse indique qu’il existe actuellement deux variantes distinctes de ViperRAT. La première variante est une application First Step qui effectue un profilage de base d’un appareil, et qui, sous certaines conditions tente de télécharger et d’installer un composant de programme de surveillance beaucoup plus complet, qui est la deuxième variante. « Les appareils mobiles sont aujourd’hui à la frontière du cyberespionnage, et autres motifs criminels potentiels. Les entreprises et les fonctionnaires et membres des gouvernements utilisent tous les jours des appareils mobiles pour leur travail ce qui signifie qu’aujourd’hui plus que jamais les responsables IT et de la sécurité de ces organisations doivent intégrer la mobilité dans leur stratégie de sécurité. » Explique Michael Flossman, Chercheur en Sécurité chez Lookout Mobile Security dans un article publié sur le blog de Lookout.

Apple, backdoor, Cybersécurité, escroquerie, Espionnae, iOS, OS X, Particuliers, Téléphonie

Les utilisateurs Mac visés par une variante du malware Xagent

Le malware Xagent s’attaque désormais aux utilisateurs Mac pour détourner des mots de passe et des sauvegardes iPhone.

Les pirates responsables de la menace APT28 ont renforcé leur arsenal – la charge utile du malware Xagent peut maintenant cibler des utilisateurs sous macOS dans le but de voler des mots de passe, faire des captures d’écran mais également voler des sauvegardes iPhone stockées sur le Mac. L’année dernière, nous avions publié une étude complète sur ce qui s’est révélé être l’une des plus grandes campagnes de cyber-espionnage, liée à la Russie.

L’échantillon auquel nous nous intéressons aujourd’hui, Bitdefender a pu mettre la main sur ce dernier lors d’un audit client, est lié à la version Mac du composant Xagent de Sofacy / APT28 / Sednit APT. Cette porte dérobée modulaire avec des capacités avancées de cyber-espionnage est probablement installée sur le système via le downloader Komplex.

Une fois installée avec succès, la porte dérobée vérifie si un débogueur est attaché au processus. S’il en détecte un, il s’arrête lui-même pour empêcher l’exécution. Sinon, il attend qu’une connexion Internet soit établie avant de lancer la communication avec les serveurs C&C. Une fois la communication établie, la charge utile démarre les modules.

L’analyse préliminaire montre que la plupart des URL des serveurs C&C prennent l’apparence de noms de domaines Apple. Une fois connecté au C&C, la charge utile envoie un “HelloMessage“, puis génère deux fils de communication s’exécutant en boucles infinies. Le premier utilise des requêtes POST pour envoyer des informations au C&C, tandis que le deuxième surveille les requêtes GET pour des commandes.

Où ces modules d’espionnage macOS s’installent-ils ?

L’analyse révèle la présence de modules capables de sonder les configurations matérielles et logicielles du système, d’obtenir la liste des processus en cours d’exécution, d’exécuter des fichiers supplémentaires, d’obtenir des captures d’écran et de récolter les mots de passe du navigateur. Mais le module le plus important, du point de vue de la collecte d’informations, est celui qui permet aux pirates d’exfiltrer les sauvegardes d’un l’iPhone stockées sur un Mac corrompu.
Tous ces modules sont en attente d’analyse (un document détaillé documentant toutes les fonctionnalités des modules sera disponible sous peu.)

Notre précédente analyse d’échantillons connus pour être liés au groupe APT28 montre un certain nombre de similitudes entre le composant Sofacy / APT28 / Sednit Xagent pour Windows / Linux, et le binaire macOS actuellement étudié par nos équipes. Pour une fois, la présence de modules similaires a été détectée, tels que FileSystem, KeyLogger et RemoteShell, ainsi qu’un module de réseau semblable appelé HttpChanel. D’autres indicateurs montrent que l’échantillon d’aujourd’hui utilise également une adresse URL d’un serveur C&C identique au cheval de Troie OSX Komplex de Sofacy / APT28 / Sednit, moins le TLD (apple – [*******] .net pour Komplex vs apple – [* ******]. Org pour Xagent).

L’expertise forensique du binaire révèle aussi des chaînes binaires identiques dans les clients Komplex et Xagent, comme : Chaîne binaire Komplex: « / Users / kazak / Desktop / Project / komplex » ; Chaîne binaire Xagent Mac: « / Users / kazak / Desktop / Project / XAgentOSX ».

Les équipes Bitdefender concluent donc cette première étape des analyses en supposant que c’est le composant Komplex découvert en septembre dernier qui a été utilisé afin de diffuser le malware Xagent sur macOS. L’enquête est en cours. Une étude complète sera bientôt mise à disposition par l’éditeur de solution de sécurité informatique. De manière générale, les utilisateurs Mac soucieux d’éviter les malwares tels que Xagent devraient toujours éviter les App store alternatifs, et ne se fier qu’au Store officiel et aux développeurs disposant d’une bonne renommée.

*Analyse fournie par Tiberius Axinte, Responsable Technique chez BitdefenderLabs