Archives de catégorie : backdoor

backdoor, Cybersécurité

L’outil « Terminator » dévoilé : une menace sournoise pour les antivirus ?

Un programme universel prétendument « légal » cache une attaque pirate de type BYOVD et cible les systèmes de sécurité. Il est vendu 300 $.

Sur le forum Ramp, une plate-forme spécialisée dans la malveillance numérique, une découverte inquiétante a été faite : l’outil « Terminator » promu par un individu se faisant appeler Spyboy, se présente comme une solution universelle et « légale » pour désactiver n’importe quel antivirus ou solution EDR. Cependant, il a été révélé que ce programme miracle dissimule une attaque BYOVD (Bring Your Own Vulnerable Driver), mettant en évidence une faille de sécurité présente dans le pilote zam64.sys de Zemana.

Cette vulnérabilité permet l’exécution de commandes en mode kernel, qui sont utilisées pour arrêter les processus des antivirus.

L’auteur de cette attaque sournoise a pris soin d’éviter toute responsabilité légale en ne vendant pas séparément le logiciel pour certaines solutions EDR, telles que Sophos et CrowdStrike. De plus, un avertissement préalable interdit explicitement l’utilisation de rançongiciels et de logiciels de blocage, exonérant ainsi l’auteur de toute responsabilité. C’est du moins ce qu’il pense !

Terminator ne coute que 300 $

L’outil « Terminator » propose 24 plates-formes différentes, et son prix est étonnamment abordable : 300 dollars chacune ou 3 000 dollars pour le package complet. Cette tarification agressive pourrait potentiellement attirer l’attention de cybercriminels mal intentionnés en quête d’un moyen efficace de contourner les systèmes de sécurité.

Cependant, il est important de noter que pour lancer cette attaque, l’utilisateur malveillant doit disposer de privilèges d’administrateur sur l’ordinateur cible. De plus, il doit réussir à tromper la victime afin qu’elle autorise la demande de contrôle de compte d’utilisateur (UAC). Ces conditions rendent l’attaque plus difficile à exécuter, mais pas impossible pour les cybercriminels expérimentés.

Dans un article publié sur Reddit, l’expert a déclaré que « Terminator » se contente de détourner un pilote légitime et signé, zamguard64.sys ou zam64.sys, au niveau du noyau. Ce pilote est ensuite copié dans le répertoire C:\Windows\System32\ avec un nom aléatoire de 4 à 10 caractères. Une fois chargé avec les droits du noyau, le pilote modifié par « Terminator » est utilisé pour arrêter les processus antivirus au niveau de l’utilisateur.

L’ampleur de la menace posée par « Terminator » est préoccupante, d’autant plus que seuls quelques moteurs antivirus ont été capables de détecter cette menace lorsqu’elle a été soumise à l’analyse de VirusTotal.

Pour contrer cette attaque, des experts en sécurité recommandent l’utilisation de règles YARA et Sigma pour détecter le pilote vulnérable utilisé par « Terminator ». Les règles YARA et Sigma fournies par la communauté de la cybersécurité peuvent être consultées et utilisées pour renforcer la détection de cette menace. Elles sont disponibles sur les liens suivants :

YARA Rules : Lien vers les règles YARA. Sigma Rules : Lien vers les règles Sigma et Lien vers les noms des pilotes vulnérables.

La découverte de cet outil sur un forum de hackers russophones a suscité une inquiétude accrue au sein de la communauté de la cybersécurité. Bien que des entreprises comme CrowdStrike aient rapidement déclaré qu’il s’agissait simplement d’une autre implémentation du concept BYOVD, il est indéniable que « Terminator » représente une menace potentielle pour les systèmes de sécurité.

Les utilisateurs doivent rester vigilants et prendre des mesures de précaution pour se protéger contre de telles attaques. Il est essentiel de maintenir les systèmes d’exploitation et les logiciels de sécurité à jour, d’utiliser des mots de passe forts et de ne pas autoriser des demandes UAC douteuses. De plus, il est recommandé d’adopter une approche multicouche en matière de sécurité, en combinant des solutions antivirus, EDR et XDR pour une meilleure protection contre les menaces.

backdoor, Cybersécurité

Le virus qui fait disjoncter les réseaux électriques

Un nouveau malware potentiellement lié à la Russie serait capable de causer des dommages physiques aux réseaux électriques. En décembre 2021, un utilisateur russe a téléchargé ce logiciel malveillant sur le service d’analyse antivirus de Google, VirusTotal.

Baptisé CosmicEnergy par Mandiant, ce malware présente des similitudes avec Industroyer, utilisé par la Russie pour attaquer l’infrastructure énergétique de l’Ukraine en 2016 et 2022. Les chercheurs ont également découvert un commentaire dans le code du malware le reliant à un projet nommé « Solar Polygon » organisé par Rostelecom, la plus grande entreprise de télécommunications russe, dans le but de former des spécialistes de la cybersécurité.

En septembre 2022, Les autorités Russes avaient annoncé une dépense de 1,9 milliard de roubles (22 millions d’euros) pour la création et le développement en Russie du « National cyber training ground » pour la formation et l’éducation de spécialistes dans le domaine de la sécurité de l’information. Le projet est mis en œuvre par Rostelecom. Dans le cadre du cyberpolygone, des scénarios étaient annoncés pour les secteurs bancaire, pétrolier et énergétique, et il est prévu d’étendre le polygone aux réseaux de raffinage du pétrole et de communication dorsale.

Bien que les chercheurs n’aient pas encore suffisamment de preuves pour déterminer l’origine et les intentions précises de CosmicEnergy, cette découverte est préoccupante, car les pirates pourraient réutiliser ce logiciel malveillant pour cibler les infrastructures critiques existantes.

CosmicEnergy vise un protocole de communication couramment utilisé dans l’industrie de l’énergie électrique en Europe, au Moyen-Orient et en Asie. Ce protocole facilite l’échange de données entre les centres de contrôle et les appareils, y compris les unités terminales distantes (RTU) essentielles à l’exploitation et au contrôle des systèmes de transmission et de distribution électriques.

Le malware dispose de deux outils de perturbation, PieHop (écrit en Python) et LightWork (écrit en C++), utilisés pour mener des attaques. Bien que l’échantillon de PieHop analysé contienne des erreurs, celles-ci pourraient être corrigées facilement par les pirates s’ils décidaient de le déployer.

CosmicEnergy fait partie d’une lignée de malwares industriels tels qu’Industroyer, Triton et Incontroller, qui exploitent des protocoles non sécurisés de l’industrie. Ces logiciels malveillants peuvent être réutilisés et cibler plusieurs victimes, profitant des faiblesses de conception des environnements industriels. De plus, la disponibilité de projets open source implémentant ces protocoles facilite la tâche des pirates.

La découverte de ce malware présente une menace immédiate pour les organisations concernées, car les environnements industriels non sécurisés sont peu susceptibles d’être corrigés rapidement, soulignent les chercheurs. (Mandiant)

backdoor, Cybersécurité

Les pirates d’Evasive Panda utilisent des mises à jour d’applications légitimes pour diffuser des malwares

Le groupe Evasive Panda, opérant dans la sphère sinophone, utilise des mises à jour d’applications légitimes pour diffuser des malwares. Des utilisateurs d’une ONG internationale en Chine continentale ont été visés par ces malwares, distribués via des mises à jour de logiciels développés par des entreprises chinoises. Cette activité a été attribuée avec une quasi-certitude au groupe Evasive Panda, qui utilise la porte dérobée MgBot à des fins de cyberespionnage.

Des chercheurs ont découvert une campagne menée par Evasive Panda, au cours de laquelle des canaux de mise à jour d’applications légitimes chinoises ont été détournés pour distribuer le programme d’installation du malware MgBot, la principale porte dérobée de cyber espionnage utilisée par le groupe. Les utilisateurs chinois des provinces de Gansu, Guangdong et Jiangsu ont été ciblés par cette activité malveillante, qui a débuté en 2020 selon la télémétrie d’ESET. La plupart des victimes sont des membres d’une organisation non gouvernementale internationale.

En janvier 2022, il a été découvert que lors des mises à jour d’une application chinoise légitime, la porte dérobée MgBot d’Evasive Panda était également téléchargée. Des actions malveillantes similaires s’étaient déjà produites en 2020 avec plusieurs autres applications légitimes développées par des entreprises chinoises.

Evasive Panda utilise la porte dérobée personnalisée MgBot, qui a connu peu d’évolutions depuis sa découverte en 2014. À notre connaissance, aucun autre groupe n’a utilisé cette porte dérobée. Par conséquent, nous attribuons avec quasi-certitude cette activité à Evasive Panda. Au cours de notre enquête, nous avons découvert que lors des mises à jour automatiques, plusieurs composants logiciels d’applications légitimes téléchargeaient également les programmes d’installation de la porte dérobée MgBot à partir d’URL et d’adresses IP légitimes.

Lors de l’analyse des méthodes utilisées par les attaquants pour diffuser des malwares via des mises à jour légitimes, les chercheurs d’ESET ont identifié deux scénarios distincts : des compromissions de la chaîne d’approvisionnement et des attaques « adversary-in-the-middle » (AitM).

Étant donné le caractère ciblé des attaques, nous supposons que les pirates ont compromis les serveurs de mise à jour de QQ afin d’introduire un mécanisme permettant d’identifier les utilisateurs ciblés, de diffuser le malware, de filtrer les utilisateurs non ciblés et de leur fournir des mises à jour légitimes. Nous avons en effet enregistré des cas où des mises à jour légitimes ont été téléchargées via ces protocoles détournés. D’autre part, les attaques de type AitM ne seraient possibles que si les attaquants étaient en mesure de compromettre des appareils vulnérables tels que des routeurs ou des passerelles, et d’accéder à l’infrastructure des fournisseurs d’accès Internet.

La conception modulaire de MgBot lui permet d’étendre ses fonctionnalités en recevant et en déployant des modules sur les machines compromises. Cette porte dérobée est capable d’enregistrer les frappes au clavier, de voler des fichiers, des identifiants, ainsi que des contenus provenant des applications de messagerie QQ et WeChat de Tencent. Elle est également capable de capturer des flux audio et de copier le texte du presse-papiers.

Evasive Panda, également connu sous les noms de BRONZE HIGHLAND et Daggerfly, est un groupe de pirates sinophones actif depuis au moins 2012. Les recherches d’ESET ont révélé que ce groupe mène des opérations de cyberespionnage ciblant des individus en Chine continentale, à Hong Kong, à Macao et au Nigéria. Une victime de cette campagne se trouvait au Nigéria et a été infectée via le logiciel chinois Mail Master de NetEase.

APT, backdoor, Cybersécurité

Le FBI a annoncé avoir neutralisé un virus du FSB

Le Bureau fédéral d’enquête des États-Unis annonce la neutralisation d’un code malveillant du nom de Snake. Le malware serait une arme numérique du FSB, le service de sécurité russe.

Dernièrement, une l’alerte lancée dans un blackmarket russe de la tentative du service de renseignement russe FSB d’intercepter des informations du pirate auteur de stealer (logiciel voleur de données), Titan Stealer, affichait les nombreux fronts cyber de ce service de renseignement russe.

Le Département de la Justice explique comment le FBI venait de mettre fin à la vie de Snake, un présumé code malveillant exploité par le FSB. Selon le Bureau Fédéral d’Investigation, Snake aurait exploité un réseau P2P pour les basses besognes de ses exploitants. Selon le communiqué officiel de l’agence, la gestion de ce réseau était assurée par le « Centre 16 » du Service fédéral de sécurité russe (FSB). Snake est connu sous un autre nom, Turla.

Le FBI estime que cette division a utilisé différentes versions du malware Snake pendant près de 20 ans pour voler des documents confidentiels provenant de centaines de systèmes informatiques dans au moins 50 pays membres de l’OTAN.

Lors de l’opération baptisée Medusa [le même nom qu’un groupe de pirates utilisateurs de ransomwares], le malware a été désactivé sur les appareils compromis faisant partie du réseau unifié à l’aide de l’outil Perseus développé par le FBI. Le processus impliquait un contact physique avec les ordinateurs infectés. Des appareils provenant d’autres pays ont également été découverts dans le réseau, et les autorités américaines ont envoyé toutes les recommandations nécessaires à leur égard.

« Le ministère de la Justice, en collaboration avec nos partenaires internationaux, a démantelé un réseau mondial d’ordinateurs infectés par des malwares utilisés par le gouvernement russe pendant près de deux décennies pour mener des cyber espionnages, y compris contre nos alliés de l’OTAN« , a déclaré le procureur général des États-Unis, Merrick Garland. Nous continuerons à renforcer notre défense collective contre les efforts de déstabilisation de la Russie, visant à compromettre la sécurité des États-Unis et de nos alliés ».

Le DOJ affirme que le gouvernement américain « contrôlait des agents du FSB » affectés à l’utilisation de Turla. Ces agents auraient mené des opérations quotidiennes en utilisant Snake à partir d’une institution du FSB à Ryazan. Le virus lui-même est qualifié de « logiciel malveillant à long terme le plus complexe du FSB pour le cyber espionnage ».

Snake permet à ses opérateurs de déployer à distance des outils malveillants supplémentaires pour étendre les fonctionnalités du logiciel afin de détecter et de voler des informations confidentielles et des documents stockés sur un appareil spécifique. Un voleur 2.0 comme Titan Stealer.

De plus, le réseau mondial d’ordinateurs compromis par Snake fonctionne comme un réseau P2P caché, utilisant des protocoles de communication spéciaux conçus pour rendre l’identification, la surveillance et la collecte de données difficiles pour les services de renseignement occidentaux et d’autres services de renseignement radio. Après le vol de données, une routage en cascade est utilisé pour les livrer aux opérateurs à Ryazan.

backdoor, Cybersécurité, Téléphonie

Des millions de smartphone à petit prix infectés par du code malveillant

Selon des spécialistes présents lors de l’événement Black Hat Asia, des développeurs peu scrupuleux ont réussi à infecter des millions de smartphones Android avec des micrologiciels malveillants avant même que les appareils ne soient mis en vente.

Des experts ont souligné, lors du rendez-vous Black Hat Asia, que cela affectait principalement les modèles d’appareils Android moins chers. Le problème réside dans l’externalisation, qui permet aux acteurs de la chaîne de production, tels que les développeurs de micrologiciels, d’introduire clandestinement du code malveillant.

Les spécialistes de Trend Micro ont qualifié ce problème de « croissant » pour les utilisateurs et les entreprises. Fedor Yarochkin de Trend Micro explique la situation de la manière suivante : « Quel est le moyen le plus simple d’infecter des millions d’appareils mobiles ? Faites-le à l’usine. Cela peut être comparé à un arbre qui absorbe un liquide : si vous apportez l’infection à la racine, elle se propagera partout, y compris chaque branche et chaque feuille.« 

Selon Yarochkin, cette pré-installation de logiciels malveillants a commencé à se répandre après la baisse des prix des smartphones. La concurrence entre les développeurs de micrologiciels est devenue si intense qu’ils ne pouvaient plus demander des sommes importantes pour leurs produits.

Cependant, il n’y a rien de gratuit dans cette situation. Par conséquent, les développeurs ont commencé à introduire des plug-ins appelés « silencieux« . L’équipe de recherche de Trend Micro a étudié plus d’une douzaine d’images de micrologiciels et a découvert plus de 80 de ces plug-ins. Leur fonction est de voler des données et de fournir certaines informations, ce qui aide les développeurs à générer des revenus. Les logiciels malveillants préinstallés en usine transforment les appareils mobiles en proxy utilisés pour voler des SMS et accéder aux comptes de réseaux sociaux. Ils facilitent également la fraude au clic.

50 fournisseurs de téléphones montrés du doigt !

Les experts ont souligné qu’ils ont pu détecter des logiciels malveillants préinstallés sur les téléphones d’au moins dix fournisseurs, et il est présumé qu’environ 40 autres fabricants pourraient être confrontés à une situation similaire. L’équipe de Yarochkin recommande aux utilisateurs de choisir des smartphones Android de marques connues (donc plus chers) afin de ne pas être victimes de logiciels malveillants préinstallés.

Cette situation est principalement observée sur les modèles d’appareils Android moins chers. Les acteurs de la chaîne de production, tels que les développeurs de micrologiciels, exploitent l’externalisation pour introduire clandestinement du code malveillant. Ces logiciels malveillants préinstallés en usine transforment les smartphones en outils de vol de données, d’accès aux comptes de réseaux sociaux et de fraude au clic. ZATAZ vous alertait de cette situation concernant des claviers d’ordinateurs, ainsi que les boîtiers vidéos vendus sur des plateformes telles qu’Amazon ou AliBaba.

Bien qu’aucun appareil ne soit totalement immunisé contre les menaces, investir dans un smartphone de meilleure qualité peut réduire le risque d’infection par des logiciels malveillants préinstallés. Il est également important de prendre d’autres mesures de sécurité pour protéger son appareil. Les utilisateurs doivent être prudents lors du téléchargement et de l’installation d’applications, en vérifiant leur source et en lisant les avis des utilisateurs. Il est recommandé de garder son système d’exploitation et ses applications à jour en installant régulièrement les mises à jour de sécurité fournies par le fabricant. De plus, l’utilisation d’une solution antivirus fiable sur son appareil peut contribuer à détecter et à bloquer les logiciels malveillants.

Android, backdoor, Cybersécurité, Mise à jour

Fleckpe, le nouveau malware Android au 600 000 victimes

Un nouveau logiciel malveillant du nom de FleckPe aurait déjà infiltré plus de 620 000 appareils Android.

Des experts ont identifié un nouveau malware appelé Fleckpe. Il aurait infiltré plus de 620 000 appareils Android via le Google Play Store. Ce malware, se faisant passer pour un logiciel légitime, a pour objectif de générer des paiements non autorisés et d’inscrire les utilisateurs à des services payants.

Les contributeurs de Fleckpe gagnent de l’argent en prélevant un pourcentage des frais d’abonnement mensuels ou uniques des propriétaires d’Android qui ont été infectés.

Les experts de la société Kaspersky notent que le logiciel malveillant est actif depuis 2022, mais qu’il n’a été détecté que récemment. Les chercheurs ont identifié 11 applications transformées en cheval de Troie dans le Google Play Store se faisant passer pour des éditeurs d’images, des photothèques, des fonds d’écran, etc.

Toutes ces applications ont été supprimées de la boutique officielle. Cependant, les attaquants pourraient héberger d’autres programmes qui n’ont pas encore été détectés. Lorsque Fleckpe est lancé, il décode une charge utile cachée contenant du code malveillant et communique avec un serveur de commande et de contrôle (C&C) pour envoyer des données sur l’appareil infecté.

Les développeurs ont récemment modifié la bibliothèque native pour déplacer le code d’abonnement, laissant la charge utile pour interagir avec les notifications et modifier l’affichage des pages Web.

backdoor, Cybersécurité

Piratage : emplois via LinkedIn, attention danger !

Des hackers nord-coréens visent des spécialistes de la cybersécurité en leur proposant des emplois via LinkedIn.

Des experts ont remarqué que les pirates nord-coréens ont concentré leur attention sur les spécialistes de la sécurité de l’information. Les attaquants tentent d’infecter les chercheurs avec des logiciels malveillants dans l’espoir d’infiltrer les réseaux des entreprises pour lesquelles les cibles travaillent.

La première campagne date de juin 2022. Elle ciblait une entreprise technologique américaine. Ensuite, les pirates ont tenté d’infecter la cible avec trois nouvelles familles de logiciels malveillants (Touchmove, Sideshow et Touchshift).

Peu de temps après, il y a eu une série d’attaques contre les médias américains et européens par le groupe UNC2970. Une cyber attaque reliée par la société Mandiant à la Corée du Nord. Pour ces attaques, l’UNC2970 a utilisé des courriers électronique d’hameçonnage déguisés en offres d’emploi dans le but de contraindre leurs cibles à installer le logiciel malveillant.

Changement de tactique

Les chercheurs affirment que l’UNC2970 a récemment changé de tactique et est désormais passé de l’utilisation de phishing à l’utilisation de faux comptes LinkedIn prétendument détenus par les Ressources Humaines (RH). De tels récits imitent soigneusement l’identité de personnes réelles afin de tromper les victimes et d’augmenter les chances de succès de l’attaque.

Après avoir contacté la victime et lui avoir fait une « offre d’emploi intéressante », les attaquants tentent de transférer la conversation sur WhatsApp, puis utilisent soit le messager lui-même, soit un courriel pour livrer le logiciel piégé. Mandiant a appelée l’outil malveillant Plankwalk.

Plankwalk et d’autres logiciels malveillants du groupe utilisent principalement des macros dans Microsoft Word. Lorsque le document est ouvert et que les macros sont activées, la machine cible télécharge et exécute la charge utile malveillante à partir des serveurs des pirates (principalement des sites WordPress piratés).

En conséquence, une archive ZIP est livrée à la machine cible, qui contient, entre autres, une version malveillante de l’application de bureau à distance TightVNC (LIDSHIFT). L’un des documents utilisés usurpe l’identité du journal New York Times.

Etonnante méthode, donc, de penser que des spécialistes de la cybersécurité vont cliquer sur des fichiers inconnus ! (Mendiant)

backdoor, Cybersécurité

La Bulgarie, le pays le plus e.secure ?

Une étude de l’Union Européenne indique que 22% des entreprises de plus de 10 employés ont connu des incidents de cyber sécurité.

En 2021, dans l’Union Européenne, 22,2% des entreprises (comptant au moins 10 salariés et indépendants) de l’économie marchande ont connu des incidents de cyber sécurité des TIC entraînant différents types de conséquences, telles que l’indisponibilité des services Technologies de l’Information et de la Communication (TIC), destruction, modification de données ou divulgation d’informations confidentielles.

La conséquence la plus fréquemment signalée était l’indisponibilité des services TIC en raison de pannes matérielles ou logicielles (18,7%). L’indisponibilité des services TIC en raison d’attaques provenant de l’extérieur (par exemple, les attaques de rançongiciels, les attaques par déni de service) était beaucoup moins fréquente (3,5%).

Les entreprises de l’UE ont également signalé la destruction ou la corruption de données, causées par deux types d’incidents : en raison de pannes matérielles ou logicielles (3,9%) ou en raison d’une infection par un logiciel malveillant, ou d’une intrusion non autorisée (2,1%).

La conséquence la moins fréquente des incidents de sécurité des TIC était la divulgation de données confidentielles, liée à deux raisons différentes : intrusion, pharming, attaque de type hameçonnage, actions intentionnelles d’employés malveillants (1,1%) et actions non intentionnelles (erreurs d’employés – 1,0 %).

Les entreprises finlandaises enregistrent la plus forte incidence de problèmes de sécurité des TIC

Parmi les pays de l’UE, les pourcentages les plus élevés d’entreprises ayant enregistré des incidents de sécurité TIC entraînant l’indisponibilité des services TIC, la destruction ou la corruption de données ou la divulgation de données confidentielles se trouvaient en Finlande, avec plus des deux cinquièmes (43,8 %), suivie par la Pays-Bas et Pologne (30,1 % et 29,7 %), Tchéquie (29,3 %) et Danemark (26,4 %).

À l’autre extrémité de l’échelle, les parts les plus faibles se trouvaient en Bulgarie (11,0%), au Portugal (11,5%), en Slovaquie (12,3%), en Hongrie (13,4%) et à Chypre (14,3%).

Les TIC, ou Technologies de l’Information et de la Communication, sont des outils et des techniques utilisés pour collecter, traiter, stocker et transmettre des informations. Les TIC englobent un large éventail de technologies, notamment les ordinateurs, les réseaux de communication, les logiciels, Internet, les smartphones, les réseaux sociaux, les applications mobiles, les services en ligne, les médias sociaux, les jeux vidéo, la télévision interactive et la réalité virtuelle. Les TIC ont un impact majeur sur la vie professionnelle et personnelle des individus, ainsi que sur les organisations et la société dans son ensemble.

backdoor, Cybersécurité

Des logiciels malveillants PlugX chinois cachés dans vos périphériques USB ?

C’est à l’occasion d’une intervention pour répondre à un incident lié à Black Basta que des experts ont découvert des outils et échantillons de logiciels malveillants sur les machines de la victime, y compris le logiciel malveillant GootLoader, l’outil des red teams Brute Ratel C4 et un ancien échantillon de logiciel malveillant PlugX. Le logiciel malveillant PlugX s’est démarqué car cette variante infecte tous les périphériques multimédias USB amovibles connectés tels que les lecteurs de disquettes, les clés USB ou les lecteurs flash et tous les systèmes supplémentaires auxquels l’USB est ensuite branché.

Ce logiciel malveillant PlugX masque également les fichiers dans un périphérique USB à l’aide d’une technique nouvelle qui fonctionne même sur les systèmes d’exploitation Windows (SE) les plus récents. Cela signifie que les fichiers malveillants ne peuvent être consultés que sur un système d’exploitation (*nix) de type Unix ou en montant le périphérique USB dans un outil d’analyse forensique.

L’Unit 42 a également découvert une variante similaire de PlugX dans VirusTotal qui infecte les périphériques USB et copie tous les fichiers Adobe PDF et Microsoft Word de l’hôte. Il place ces copies dans un dossier caché sur le périphérique USB créé par le logiciel malveillant. Il n’est pas rare que plusieurs échantillons de logiciels malveillants soient découverts au cours d’une enquête, comme cela s’est produit dans ce cas précis avec GootLoader, Brute Ratel C4 et PlugX. De nombreux acteurs de la menace compromettent les cibles et peuvent coexister simultanément sur la machine affectée.

PlugX

Parce que l’Unit 42 ne peut pas dire de manière concluante si ces échantillons de logiciels malveillants ont été laissés par un groupe ou plusieurs, nous ne pouvons pas attribuer ces outils au groupe de rançongiciels Black Basta. Cependant, la version de Brute Ratel C4 utilisée dans ce cas est la même que celle rapportée par Trend Micro, qui impliquait également le groupe de rançongiciels Black Basta.

PlugX est utilisé par plusieurs groupes de cybercriminels, notamment certains en lien avec la Chine. Il existe depuis plus d’une décennie et a été observé dans certaines cyberattaques très médiatisées, y compris aux Etats-Unis lors de la cyberattaque contre l’Office Gouvernementale de la gestion du personnel en 2015 (OPM/Wired).

Historiquement, une infection PlugX commence par détourner une application logicielle connue et fiable, signée numériquement pour charger une charge utile cryptée créée par l’acteur. Cette technique est utilisée depuis 2010 et est répertoriée dans les techniques MITRE ATT&CK en tant que Hijack execution flow DLL-Side loading ID : T1574.002 Sub-technique T1574.

Dans ce cas, les acteurs de la menace ont décidé de détourner un outil de débogage open source populaire et gratuit pour Windows appelé x64dbg, qui est utilisé par la communauté d’analyse des logiciels malveillants.

La technique utilisée par le logiciel malveillant PlugX pour masquer des fichiers dans un périphérique USB consiste à utiliser un certain caractère Unicode. Cela empêche l’Explorateur Windows et le shell de commande (cmd.exe) d’afficher la structure de répertoire USB et tous les fichiers, les cachant à la victime.

backdoor, Cybersécurité, VPN

24 vulnérabilités découvertes dans le service VPN de Google

L’entreprise américaine Google a engagé le groupe NCC, basé au Royaume-Uni, pour effectuer un audit de sécurité de son service VPN Google One. 24 failles ont été découvertes.

C’est le temps de la promo, c’est le temps de montrer ses biscottos ! Le VPN de Google One est un service de sécurité et de confidentialité des connexions pour les utilisateurs finaux, mis en œuvre par différents clients pour les systèmes d’exploitation les plus utilisés, qui fournissent à la fois une liaison chiffrée et une dissociation des adresses IP.

Sur la base des résultats de l’audit effectué par la société anglaise NCC Group, à la demande de Google, il a été découvert 24 vulnérabilités dans les applications de bureau et mobiles, les bibliothèques et l’architecture VPN, notamment la conception et l’architecture de sécurité, le code de la bibliothèque VPN, la sécurité des applications Windows, l’application MacOS, l’application Android et l’application iOS.

C’est probablement tout ce qu’il y a à savoir sur la sécurité des produits de Google.