Nous avions la puce dans le bras pour rentrer en boîte de nuit, voici venir la puce NFC dans la main pour pirater des téléphones portables.
Seth Wahle est un chercheur en sécurité informatique et technologie sans fil qui a de la suite dans les idées. Il vient de se lancer dans un projet qui demande quelques connaissances en couture et charcuterie.
Il s’est implanté une puce NFC sous la peau de sa main afin de tester son système d’interception de données. Dans sa main gauche, entre le pouce et l’index, du matos acheté sur le site chinois AliBaba. Pour 40 dollars, le voilà avec un outil de 888 bytes de mémoire. Dorénavant, sa main n’a qu’à effleurer un téléphone dont le NFC est branché. Un contact qui lance une page web qui exécute le téléchargement d’un programme comme il l’a expliqué au journal Forbes. Il faut cependant que le téléphone ne soit pas trop protégé pour accepter le téléchargement et l’installation de l’outil pirate.
Il présentera son projet à Miami, du 15 au 17 mai prochains, lors d’un hackfest local.
Les autorités roumaines ont arrêté vingt-cinq cybercriminels qui s’apprêtaient à s’attaquer aux données bancaires de millions de personnes.
Les pirates présumés agissaient en Roumanie, mais aussi en Belgique, Canada, Colombie, République dominicaine, Égypte, Estonie, Allemagne, Indonésie, Italie, Lettonie, Malaisie, Mexique, Pakistan, Russie, Espagne, Sri Lanka, Thaïlande, Ukraine, Émirats arabes unis, Royaume-Uni, Etats-Unis. Data Security Breach a appris que la France a été concernée par ce « gang », sans en avoir pour le moment, la confirmation officielle.
Les présumés pirates s’attaquaient aux banques et fabriquaient des clones de cartes bancaires. Ils auraient retiré plus de 15 millions de dollars via des transactions frauduleuses effectués dans 24 pays différents. Si 25 membres de cette équipe ont été arrêtés, il en resterait 27 dans la nature. C’est la Direction des enquêtes sur la criminalité organisée et le terrorisme (DIICOT), le FBI roumain. Pour éviter la détection, les pirates accéléraient le processus en faisant plusieurs petites transactions sur une courte période, généralement le week-end.
En 2013, par exemple, les pirates ont pu retirer 9 millions de dollars via des guichets automatiques situés dans tout l’archipel du Japon. Le 2 décembre 2013, 42000 transactions, via des Distributeurs de billets automatiques, dans 15 villes roumaines différentes, pour un montant de 5 millions de dollars en espèces.
Dimanche 26 avril, les autorités roumaines ont exécuté 42 mandats de perquisition à travers six villes, saisissant des ordinateurs portables, des téléphones mobiles, et 150,000€ en en espèces, des lingots d’or et des peintures. Une opération qui fait suite à l’annonce des services secrets américains à l’encontre de la campagne CyberHeist qui avait permis à des pirates de mettre la main sur 45 millions de dollars en janvier 2013. En mai 2013, 8 pirates (qui semblent liés à gang roumain) se retrouvaient dans les mains de la justice américaine. Ils avaient retiré 2,8 millions de dollars en quelques heures, via des distributeurs de billets de New-York.
Lors du White Hat Camp de Marrakech (20 au 26 avril 2015), Jérôme Ridet, chercheur en informatique et membre de l’association ACISSI, a démontré que l’outil PowerShell de Microsoft laissait passer les mots de passe en quelques clics de souris.
La commune de Marrakech (Maroc) reçoit la première édition du White Hat Camp, une semaine de conférences (20 au 26 avril 2015), formations et challenge informatique sur le thème du hacking éthique et de la sécurité informatique. L’occasion pour de nombreux chercheurs et vrais professionnels de la sécurité informatique de venir échanger sur leurs découvertes. Parmi les intervenants, le chercheur français, ingénieur réseau, Jérôme Ridet. Ce jeune nordiste est venu expliquer la faiblesse de PowerShell. Une faiblesse qui pourrait faire penser (ce n’est que l’avis de l’auteur de cet article, Ndr) à une porte cachée (backdoor). Certes facilement exploitable avec un peu de curiosité et la lecture complète du mode d’emploi de PowerShell.
PowerShell est un logiciel Microsoft. Il permet aux administrateurs réseau de gérer leurs systèmes. Un outil indispensable qui automatise les taches informatiques comme les créations d’utilisateurs, les gestions des événements, la mise en place des droits utilisateurs… Jérôme Ridet a découvert comment « bypasser » les droits qui peuvent être proposés par un administrateur. Bilan, le « maître des clés » qu’est l’administrateur se retrouve avec un sérieux problème : en quelques commandes, les n’importe quel mot de passe devient accessible. Ils ont beau être chiffrés, les trois commandes (indiquées dans le mode d’emploi, NDR) couplées permettent de mettre la main sur le précieux sésame. « Quand j’ai découvert le truc,explique cet administrateur réseau au site Internet ZATAZ.COM, je n’étais pas sûr de ce que je voyais. Je me suis dit, ce n’est pas possible.«
Une découverte étonnante, d’autant plus dangereuses que les commandes peuvent être automatisées. Si vous rajoutez un petit détail dans les commandes, un intrus peut même faire disparaître la moindre trace de son action. Des commandes qui peuvent être cachées dans une macro (Excel, Word, Access, …). ZATAZ.COM explique que pour se protéger de ce genre de malveillance, il faut refuser la moindre macro dans les documents que vous pouvez recevoir. Ne jamais saisir son mot de passe, même si l’environnement semble sécurisé. Pour l’administrateur, il est vivement conseillé de bloquer l’invite de commande comme par exemple en supprimant ou en renommant CMD.
Décidément, espionner les ordinateurs serait un véritable jeu d’enfant. Aujourd’hui, il suffit d’un navigateur compatible HTML5 pour espionner huit ordinateurs sur 10 de par le monde.
Prenez un ordinateur récent, fonctionnant avec un processeur Intel. A cela rajoutez un navigateur Internet compatible html5, une page malveillante et un peu de Javascript et vous voilà la technique du Spy in the sandbox.
Des chercheurs en sécurité de l’université américaine de Cornell (Yossef Oren , Vasileios P. Kemerlis , Simha Sethumadhavan , Angelos D. Keromytis) ont annoncé avoir découvert comment il était (trop, ndr) simple d’espionner huit ordinateurs sur dix de par le Monde. L’ordinateur n’a besoin que d’être motivé par une puce Intel. Une page d’hameçonnage piégée permet d’actionner un ensemble d’actions malveillantes que les chercheurs ont baptisé exploit « micro architectural« .
Un code Javascript dans la page pirate va ensuite collecter les données qui passent (entrantes et sortantes, ndr). La mémoire « tampon » du processeur est trop rapide. Bilan, les informations en caches peuvent être aspirées. Le processeur est rapide, la mémoire vive beaucoup moins. « Se défendre contre cette attaque est possible, mais les contre-mesures nécessaires peuvent exiger un coût loin d’être négligeable » précise les chercheurs dans le document qu’ils ont diffusé.
Du matériel d’interception de données de cartes bancaires découvert dans un cinéma de Toulouse. Le skimmeur a pu toucher des centaines de cinéphile.
Le skimming, depuis plusieurs années, fait de gros dégâts dans les rangs des utilisateurs de cartes bancaires. Il est important de rappeler les dangers de ce genre de matériel, un skimmeur permet d’intercepter les informations contenues sur la bande magnétique de votre carte bancaire. Des données qui seront recopiées sur une carte vierge. Pour le mot de passe, une mini caméra, un faux clavier, ou le simple fait que le malveillant regarde les 4 chiffres taper par sa victime suffisent à finir l’attaque. Le pirate possède un clone parfait de votre CB. Il n’a plus qu’à la réutiliser ou revendre le clone sur le marché noir 2.0, le Black Market.
C’est cette attaque qui a été découverte à Toulouse, dans le cinéma Gaumont Wilson. Trois individus ont été interpellés. Trois hommes d’origines roumaines (les skimmers de cette région sont malheureusement très répandus, NDR). D’après les autorités locales (SRPJ), c’est le second cas en France visant un Guichet Automatique de Billets installés dans un cinéma. Prudence, un skimmer peut s’installer sur le lecteur d’une pompe à essence, d’un parking, d’un péage…
Si placer votre main au-dessus du code que vous allez rentrer est une bonne solution, assurez-vous tout de même que rien ne bouge sur le Distributeur Automatique de Billets. Boitier de réception de votre carte ; plaque des mots de passe ; Au moindre doute, ne tapez rien. (La Dépêche)
8 français sur 10 utiliseraient chaque mois le Wi-Fi public tout en craignant d’être la cible de hackers. 66% des français préfèrent se connecter au Wi-Fi public non sécurisé et risquer de perdre leurs données personnelles.
Alors que les pirates informatiques peuvent aujourd’hui très facilement accéder aux données personnelles des utilisateurs du Wi-Fi public, Avast Software, éditeur de solutions de sécurité pour mobiles et PC, dévoile les résultats de son étude menée auprès des utilisateurs de réseaux sans fil en France. D’après cette enquête, la plupart des français ont conscience des dangers liés à l’accès aux réseaux Wi-Fi publics pour leurs données mais il semblerait que les bonnes pratiques ne soient pas toujours appliquées.
En effet, 66% des répondants admettent préférer accéder aux réseaux Wi-Fi publics qui ne requièrent pas de nom d’utilisateur ni de mot de passe pour se connecter et ainsi risquer de mettre leurs données personnelles à la portée du premier hacker venu, voire de se faire voler leur identité. Seuls 4% d’entre eux utilisent un réseau privé virtuel (VPN) pour crypter les données, empêcher les pirates informatiques d’avoir de la visibilité sur leur navigation et donc de protéger leurs appareils mobiles. Pourquoi ces négligences ? L’étude d’Avast révèle notamment que 36% des utilisateurs du Wi-Fi font confiance au fournisseur d’accès à internet quant à la sécurisation du réseau alors que rien ne garantit son engagement en matière de protection.
Les risques associés à une connexion aux réseaux Wi-Fi publics sont pourtant bien réels et les utilisateurs ne peuvent les ignorer. Parmi eux, 28% craignent effectivement de se faire voler leurs identifiants et leurs mots de passe, et 39% redoutent que les hackers ne s’emparent de leurs informations bancaires et financières depuis leurs terminaux mobiles. Toutefois, cela ne les empêchent pas de surfer sur des sites sensibles ou d’effectuer des achats susceptibles de mettre en péril la protection de leurs données personnelles et confidentielles. En effet, 10% des répondants affirment réaliser des activités bancaires lorsqu’ils sont connectés aux réseaux sans fil non sécurisés, 4% font du shopping en ligne et 2% effectuent d’autres types de transactions financières.
Le Wi-Fi permet d’accéder facilement à internet dans les lieux publics, raison pour laquelle 47% des français s’y connectent, mais aussi un moyen efficace d’économiser du forfait internet. Aujourd’hui, 8 français sur 10 utilisent chaque mois les réseaux Wi-Fi publics dont 24% plusieurs fois par semaine. Il est donc primordial qu’ils prennent conscience des menaces qui planent sur leurs informations et surtout des conséquences qu’un vol de données ou une usurpation d’identité peut avoir. Les hackers peuvent très facilement avoir de la visibilité sur les mots de passe, les emails, l’historique de navigation ou encore les données confidentielles si les utilisateurs du réseau Wi-Fi public n’utilisent pas de système de protection. Même s’ils sont peu expérimentés, les pirates informatiques peuvent facilement espionner, accéder aux informations d’un utilisateur voire les modifier rien qu’en s’infiltrant dans une borne Wi-Fi ouverte.
Pour être en mesure de protéger leurs données, les internautes et les mobinautes doivent privilégier les connexions aux réseaux Wi-Fi sécurisés moins facilement accessibles pour les hackers. Il est également nécessaire de mettre en place une solution de sécurité performante, que ce soit pour ordinateurs, smartphones et tablettes, qui permette d’identifier les connexions Wi-Fi sécurisées ainsi que d’éventuelles failles sur le réseau, et qui soit aussi en mesure de protéger les données de l’utilisateur lorsqu’il se connecte au Wi-Fi public. Les pirates informatiques sont de plus en plus expérimentés et à l’affût de la moindre faille, mieux vaut donc mettre toutes les chances de son côté pour protéger ses informations personnelles tout en continuant à profiter des avantages du Wi-Fi.
Le botnet Beebone enterré vivant Europol vient de mettre fin au botnet Beebone. Plus de 12000 ordinateurs infectés par ce couteau Suisse malveillant.
Beebone, un bot net connu aussi sous le nom de AAEH, permettait à ses « maîtres » d’injecter des logiciels espions dans les machines infectées. Une arme numérique efficace selon Europol. Le 8 Avril, Le centre anti cybercriminalité d’Europol (EC3) a annoncé avoir pris la main sur l’ensemble des serveurs et noms de domaine qui permettaient d’utiliser le bot Beebone (connu aussi sous le nom de AAEH, ndr).
Avec l’aide des autorités néerlandaises, du FBI et du J-CAT, le Cybercrime Action Taskforce, l’ensemble des points de connexion de cet outil pirate ont été bloqués. Ce botnet permettait d’installer différentes formes de logiciels malveillants dans les ordinateurs des victimes. Les premiers chiffres montrent que plus de 12 000 ordinateurs ont été infectés « mais il est probable qu’il y en a beaucoup plus » confirme Europol.
Cette action a été menée avec l’aide des éditeurs de solutions de sécurité informatique (Intel Security, Kaspersky et de Shadow server) et de la remontée d’informations de leurs antivirus. Les FAI et les CERT (Computer Emergency Response Teams) concernés ont été alertés afin de prévenir les victimes. Les attaques ont visés les Etats-Unis, le Japon, Taïwan et l’Inde. (EC3)
Edward Snowden, l’homme le plus détesté par l’armée américaine vient d’expliquer comment créer un bon mot de passe. Peut-on vraiment faire confiance en l’homme qui lisait des documents top secrets non protégés ?
Cela n’a jamais intrigué personne, mais Edward Snowden, l’ancien analyste de la NSA (Il travaillait pour une entreprise privée, NDR), a en sa possession un grand nombre de documents classifiés, non protégés par un mot de passe, ou encore par un chiffrement quelconque. On parle pourtant de documents, par certains, classés « top secrets ». Un petit aparté en mode « troll » pour revenir sur un commentaire de Snowden lors de l’émission américaine « Last Week Tonight » de John Oliver.
L’animateur s’est rendu à Moscou pour interviewé E.S. Parmi les questions posées par John Oliver : « Qu’est ce qu’un bon mot de passe ? » Snowden a rétorqué qu' »Un mot de passe commun de 8 signes est cassable en moins d’une seconde. » Il conseille de préférer une phrase passe, plus facile à retenir, qu’un mot de passe comportant chiffres, lettres (majuscules, minuscules) et signes de ponctuations.
Le projet proposé par le gouvernement de « Boite noire » va, par certain aspects, plus loin que ce que l’on a pu reprocher aux États-Unis avec le Patriot Act. Cette mesure permettant l’écoute à tout instant de tout le trafic d’un hébergeur ou d’un fournisseur d’accès à Internet dans le but de rechercher de potentiels terroristes semble relativement vaine, très peu ciblée et contre-productive économiquement.
En effet, le but semble vain car les personnes visées savent déjà utiliser les réseaux anonymes comme Tor et les VPN (Par exemples avec Vyprvn ; HMA ; …) pour chiffrer leurs connexions et les faire aboutir ailleurs. D’autre part, ils utilisent déjà des algorithmes de chiffrement (comme PGP) dont nombreux sont considérés comme sécurisés à ce jour, ce qui reviendra à intercepter de la soupe numérique illisible, et non des informations utiles.
De plus, les récentes attaques perpétrées l’ont été par des individus déjà connus du ministère de l’intérieur, celui-ci n’a pas eu besoin d’écouter tout Internet pour les identifier jusqu’ici.
Vouloir identifier des individus déjà connus, qui communiquent de manière chiffrée en analysant des Téraoctets de données par jour à la recherche d’un signal qui n’y sera probablement pas ou sera tout le moins noyé dans l’immensité de l’information semble totalement inutile. Ceci est d’autant plus vrai que la Loi étant publique, les utilisations des réseaux potentiellement à but d’attentats passeront par ailleurs, un autre pays ou un autre réseau et encore une fois, de manière chiffrée.
En contrepartie, les contraintes imposées aux hébergeurs semblent bien démesurées quant aux violations des normes de sécurité internationales comme PCI/DSS ou ISO 2700x qui ne permettent pas l’inclusion d’un matériel externe, non contrôlé par l’hébergeur. Cette Loi ferait donc perdre à nos hébergeurs la plupart de leurs certifications, leur imposerait d’ouvrir leurs réseaux à des tiers, qui ne sont bien souvent pas les plus sécurisés. Il semble inutile de préciser ici que de nombreux sites étatiques se sont déjà fait compromettre, ce qui induirait donc encore plus de danger pour l’hébergeur et ses clients, des risques que par ailleurs il ne maîtrisera pas.
Par ailleurs, et c’est là le plus grave, les clients partiront simplement se faire héberger ailleurs. Dans un pays ayant un respect de la communication et de la vie privée, à nos frontières. C’est déjà l’effet qu’a eu le Patriot Act aux US à l’époque, et dont la portée était moindre. À n’en pas douter, cela détruira un pan de notre économie, un des rares à être encore en croissance, ce qui semble disproportionné pour finalement ne rien trouver.
D’autant plus que la Loi ne semble pas mettre de périmètre à cette écoute systématique. Si l’on n’héberge aucun forum, aucun lieu d’échange, aucune VoIP et aucun blog, ce dispositif sera quand même imposé. Cela semble inutile puisque les personnes recherchées ne pourraient pas utiliser un quelconque service d’un hébergeur de ce type, mais pourtant, celui-ci aurait à installer la Boite noire… A l’inverse, l’usage de Skype ou d’autres réseaux d’échanges non contrôlés par ces dispositifs semble courant chez les personnes visées par ces mesures, et ces moyens de communications sont hébergés à l’étranger (et, là encore, chiffrés).
Beaucoup de questions subsistent, qui seraient réglées par des juristes et des parlementaires dont la spécialité ne semble pas nécessairement liée à l’architecture de réseaux de communications. Il reste par exemple à définir les frontières de cette écoute. Les VPN avec nos clients devront-ils aussi tous être écoutés, chacun avec une boite noire séparée ? Ou devrons-nous rejoindre tous ces VPN au même endroit, leur faisant peser un risque de sécurité colossal pour faire des économies et n’avoir à déployer qu’une seule boite noire ? La téléphonie sur IP est-elle un service concerné ? Nos conversations téléphoniques sont-elles donc aussi visées ?
Au final, quelle garanties seront données contre l’abus de ce pouvoir ? Et pourquoi ne pas laisser les juges, comme c’est le cas actuellement, arbitrer du bien-fondé ou non d’une écoute et la commanditer au besoin, comme la Loi le permet déjà aujourd’hui ? Pourquoi serait-ce aux juristes, Parlementaires et Sénateurs de décider qui, quand et comment ? Quelle garantie que le pouvoir politique en place à un moment donné ne l’utilisera pas comme une arme contre ses opposants ?
M. le Premier Ministre, Mesdames et Messieurs les Députés et Sénateurs, nous ne saurions souligner assez que tout ceci, au-delà d’être bien inutile en termes de résultats, semble être une très mauvaise direction à adopter, tant pour la confidentialité à laquelle chacun n’aurait plus jamais droit que pour le fait que cela tuera net un pan de notre économie, un des seuls encore en croissance.
Jeudi 9 avril, la chaîne de télévision française TV5 Monde a été piratée par des partisans de l’État islamique. Peu de renseignements ont été donnés sur la façon dont l’attaque s’est déroulée. La seule information semi-technique qui était disponible au moment de la rédaction de ce post venait du site web Breaking3Zero.
L’éditeur BlueCoat a envoyé à Data Security Breach son analyse de ce qui semble être le code malveillant en question. Personne, autres que TV5 Monde et l’ANSSI ne disposent d’informations internes, mais nous sommes parvenus à trouver un malware, qui n’est pas totalement identique, mais qui correspond à plusieurs indicateurs révélés par Breaking3Zero. Par exemple, des références aux alias JoHn.Dz et Najaf. Un échantillon de ce hash md5 est 2962c44ce678d6ca1246f5ead67d115a.
Jenxcus and Bladabindi
Cet échantillon semble être un équivalent du virus(Visual Basic Script) worm KJ_W0rm, un dérivé de NJ_W0rm, ancien et particulièrement répandu.Ce malware est connu des antivirus sous le nom de VBS/Jenxcus. Puisqu’il dépend d’un script, le malware est très facile à modifier, ce qui a engendré un très grand nombre de modifications. Jenxcus apparait souvent en compagnie d’un autre malware appelé Bladabindi ou NJ_Rat. Contrairement à Jenxcus, Bladabindi n’est pas un script, mais un exécutable Windows, écrit en .NET. Il possède d’autres caractéristiques et peut, par exemple, prendre des captures d’écran, dérober des identifiants en ligne, mais aussi télécharger et installer d’autres codes malicieux.
Bladabindi peut être créé et configuré en utilisant un outil de création disponible publiquement, rendant ainsi très simple la production de nouvelles versions. Cet outil s’est donc beaucoup répandu, car il est facile à utiliser clandestinement. Bladabindi fait donc aujourd’hui parti des familles de malwares les plus courantes, surtout dans le Moyen-Orient. Aussi, il est devenu tellement fréquent que Microsoft a décidé de prendre des mesures offensives contre lui. Cela a donné lieu à une destruction quelque peu controversée du botnet en juin 2014. Les documents juridiques déposés ont alors identifié les auteurs du clandestin Bladabindi et du worm Jenxcus comme étant Naser Al Mutairi (Koweit), and Mohamed Benabdellah (Algérie). Mutairi aurait utilisé le virus en ligne njq8, et se trouve être probablement la personne mentionnée dans la section Crédits de l’échantillon malware « Najaf ».
Le variant Najaf – md5 2962c44ce678d6ca1246f5ead67d115a
Si l’on compare l’échantillon « Najaf » avec un échantillon type KJ_W0rm, on peut voir qu’il y a des véritables similitudes. Les différences sont surtout dans la façon dont les paramètres hardcodés sont placés dans le code.
Ci-dessus: Najaf vs KJ_W0rm
Fonctionnalité
Le script est plutôt court et simple, et diffère seulement légèrement de KJ_W0rm. Il s’autocopie dans un fichier (ex : C:Users%USERNAME%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup on Win7. Des clés de lancement sont créées sur le registre afin de dérouler le script :
Une fois que cette installation initiale est faite, il s’autocopie sur le dossier racine de tous les supports amovibles connectés. Un dossier raccourci (*.LNK) va aussi se créer. Le script va tenter de restaurer le dossier toutes les six secondes.
A partir de ce moment, le script va entrer dans un circuit très court où il se connectera au serveur configuré de commande et de contrôle (C&C) en HTTP, annonçant qu’il est prêt à accepter les commandes. Le serveur C&C est hardcodé 127.0.0.1, il n’y a donc pas de commande à distance établie et d’adresse de contrôle dans cet échantillon. Cela peut donc dire que l’échantillon est juste un test, ou bien qu’il y a un mécanisme de rebouclage installé sur l’ordinateur où il fonctionne. Le malware donne des informations sur le système, tels que le nom d’utilisateur, le nom de l’ordinateur, l’OS, etc.
Commandes possibles
uninstall
Désinstaller le script
RE
Recharger le script
download
Télécharger un dossier de %url
update
Mettre à jour le script et recharger
execute
Executer un fichier
cmd
Commande shell directe
Attack
Ping flood contre cible donnée
ourl
Ouvrir URL
close
Sortir du script
shutdown
Eteindre l’ordinateur
restart
Redémarrer l’ordinateur
logoff
Fermer la session
Attribution
Sur internet, n’importe qui peut proclamer appartenir à n’importe quel mouvement de son choix. Ils peuvent non seulement utiliser tout type d’outil, prétendre être des personnes complètement différentes, mais aussi mentir autant qu’ils le veulent. Il est donc difficile mais pas impossible de trouver les auteurs des méfaits. Il faut pour cela des données solides, de l’expérience, et souvent l’application des lois. Pour cette raison, nous ne ferons aucune supposition sur qui se cache derrière cette intrusion dans le réseau de TV5. Toutefois, nous pouvons montrer des indicateurs.
L’échantillon 2962c44ce678d6ca1246f5ead67d115a est identique au script VBS mentionné par l’article de Breaking3Zero. Le script contient les mêmes formules de bienvenue, les mêmes JoHn.Dz et Najaf. Security.Najaf semble correspondre au handle en ligne d’un développeur apparemment situé dans la province de Najaf en Irak. Il est un utilisateur très actif sur le forum dev-point[.]com, un forum qui contient beaucoup de NJ-Rat/Worm. Il est qualifié de recodeur, programmeur, dans de nombreux scripts malicieux.
Un exemple est le dossier avec md5 de8e6e14b7e548eda7d4ff33bb3705ad:
Dans ce document, le serveur C&C est défini comme aziza12.no-ip.biz, un domaine qui a aussi été utilisé comme C&C par le malware Bladabindi, tel que l’échantillon avec md5 a5ce6dcb062ceb91a6fce73e99b3514d. C’est un domaine DynDNS, ce qui signifie qu’il n’y a pas de donnée de domaine d’enregistrement consultable. Cependant, si l’on examine l’historique IP de ce domaine, on peut constater qu’il est relié à de nombreuses adresses IP, la plupart situées en Irak. L’une d’elles, 178.73.223.9, a renvoyé cette année au domaine : islamstate.no-ip[.]biz.
Cela ne veut-il rien dire ?
Non, pas nécessairement. Le chevauchement d’IP peuvent arriver pour plusieurs raisons, les alias sur les forums et les malwares internes sont justes des chaînes de textes. NJRat et son malware relié sont utilisés par de nombreux activistes au Moyen-Orient, aussi leur utilisation dans ce piratage, si elle est confirmée, ne peut pas servir de base à une conclusion.
Détection
Les worms VBS basé sur NJ_W0rm et KJ_W0rm devraient à présent être détectés par la plupart des antivirus, même si c’est toujours un défi de détecter de manière fiable des malwares basés sur des textes, car ils sont modifiables très facilement.
Bluecoat a, en tout, cas ajouté une détection pour ces familles dans notre solution Malware Analysis Appliance :
L’attaque de TV5 Monde, tout comme l’attaque Sony, prouve que n’importe quelle entité sur internet est à présent une cible. Tous les conflits portent maintenant la probabilité d’une cyber dimension, car ces attaques sont faciles, peu coûteuses et relativement sans risque. Malheureusement, il ne semble pas y avoir de solution miracle pour cette situation. Les systèmes d’ordinateurs modernes sont tellement interconnectés et complexes qu’il y a toujours une opportunité de méfait si vous êtes persévérant, et vous n’avez même pas besoin de l’être tout le temps. Si le pirate ne peut pas trouver immédiatement un moyen de rentrer, il y a toujours le facteur humain. Les humains sont malheureusement difficiles à corriger. Cependant, des personnes qualifiées peuvent faire la différence entre un gain et une perte. Cela peut paraitre étrange de la part d’un vendeur de boîtes, mais la sécurité ne sort pas d’une boîte. Elle vient des gens qui utilisent les boîtes.
Petites entreprises, grandes menaces : restez informés, restez protégés
