Archives de catégorie : Logiciels

Actualités liées logiciels de sécurité informatique et protections numériques des entreprises et particuliers.

Argent, Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, ID, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Propriété Industrielle, Sauvegarde, Securite informatique

Menace : les documents Office peuvent être dangereux

Nous utilisons quasiment tous des documents Microsoft Office. Qu’il s’agisse de documents de travail, de reçus électroniques ou du bail d’un nouvel appartement, les documents Office sont utiles à chacun d’entre nous et c’est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d’un e-mail. Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d’une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système.

Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d’attaque et d’infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d’autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d’infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d’exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s’exécuter sur le système dès l’ouverture du document, sans aucune intervention de l’utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l’utilisateur n’a pas activé les macros, un message apparaît pour lui demander s’il souhaite le faire. Il s’agit de l’un des divers mécanismes de sécurité mis en place par Microsoft afin d’atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d’ouvrir ces fichiers et d’activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l’image de Sofacy.

Comme l’illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d’ingénierie sociale, persuadant l’utilisateur d’activer le contenu afin de pouvoir consulter l’intégralité du document. Dans l’exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l’utilisateur n’active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l’intérieur du document Office. Un exemple de ce vecteur d’attaque est la faille Zero Day CVE-2018-4878dans Adobe Flash Player, exploitée par l’incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d’exécuter du code shell intégré.

Editeur d’équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d’insérer dans des documents des équations mathématiques qui seront interprétées par l’Editeur d’équations Microsoft, un outil ayant pour vocation de faciliter leur écriture :

Comme dans notre exemple précédent, des vulnérabilités dans l’éditeur d’équations s’exploitent par l’intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d’autres, telles que CVE-2018-0802. Toutes deux touchent l’éditeur d’équations, ce qui permet d’amener l’utilisateur à ouvrir un document Office pour l’exécution de code à distance. Des vulnérabilités similaires dans l’Editeur d’équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, identifiées par les chercheurs de l’Unité 42.

Il est à noter que, l’Editeur d’équations Microsoft s’exécutant sous la forme d’un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes pour les documents Office. Ils font référence à d’autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

Un objet OLE2 (lien) s’incorpore dans un document Microsoft Word. Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant. Winword.exe recherche alors dans le handler le type « application/hta » via un objet COM, ce qui entraîne le chargement et l’exécution du script malveillant par l’application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l’exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime « text/html », au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu’Internet Explorer.

CVE-2018-8174

L’exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d’attaques d’exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon se place dans une « sandbox » (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d’autres opérations) à l’instar de tout autre code exécuté à partir d’Internet Explorer. Cette faille peut servir à en exploiter d’autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l’exécution de code arbitraire dans le cadre de l’application Word (winword.exe) et la prise de contrôle du système.

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d’une dizaine d’années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s’expliquer par la difficulté croissante d’exploiter les vulnérabilités des navigateurs, en raison du renforcement de leur protection par leurs développeurs. Quoi qu’il en soit, il est important pour les entreprises de savoir comment se défendre.

Apple, backdoor, Cyber-attaque, Cybersécurité, ios, Logiciels, Mise à jour, OS X, Piratage, Securite informatique, Smartphone

Un ancien hacker de la NSA démontre une faille majeure dans macOS

2 commentaires

La société Apple est généralement considérée comme étant une marque fiable, proposant une sécurité accrue. Un ancien hacker de la NSA démontre une faille majeure dans macOS. Elle permet le contournement des mécanismes de sécurité !

Faille majeure pour Apple ! Lors des conventions de cybersécurité Def Con/Black Hat qui se sont tenues à Las Vegas, début août, Patrick Wardle, un ancien Ninja de la NSA, fondateur de la société DigitaSecurity, a présenté des exemples d’attaques visant les produits Apple, et plus précisément macOS.

D’abord, Patrick Wardle est aussi généreux que doué. Il a expliqué comment un pirate pouvait contourner la plupart des mécanismes de sécurité mis en œuvre par Apple pour protéger macOS.

Wardle explique que les logiciels malveillants peuvent échapper aux méthodes de sécurité en les ciblant au niveau de l’interface utilisateur.

Chez Apple, les avertissements et autres autorisations à la moindre action font partis de l’écosystème des produits de la firme Californienne. Un mécanisme de défense contre les clics indésirables.



Faille majeure

Ensuite, Wardle affirme qu’il est possible d’exploiter ces avertissements en modifiant la façon dont macOS convertit les clics de clavier en clics de souris. Étant donné que macOS interprète deux actions de la souris comme équivalant à cliquer sur OK, il est donc possible d’écrire une ligne de code supplémentaire pour éviter qu’un avertissement n’apparaisse à l’écran. En abusant des nombreuses interfaces de macOS, un code peut s’executer via un code malveillant qui permettra d’ignorer les avertissements. Wardles a baptisé cette action « Synthetic Click ». Des attaques que l’ancien hacker de la National Security Agency a expliqué lors de la Def Con via des attaques automatisées visant macOS Sierra.

https://twitter.com/patrickwardle/status/1029060044900507649

Cependant, Wardle a déclaré que les exploits ne permettent pas à un pirate d’accéder initialement à un appareil Mac, mais qu’ils pourraient exploiter efficacement le sandboxing.

Une possibilité qui laisserait aux applicationx malveillantes de quoi obtenir des autorisations de niveau supérieur. De son côté, Apple a confirmé les correctifs adequates dans son nouveau OS, macOS Mojave.

Pour conclure, Patrick Wardle propose, via sa société, l’outil Do Not Disturb. Une application qui permet d’avertir le propriétaire d’un MacBook en cas d’accès non autorisé. L’application tourne sous iPhone.

Elle permet de surveiller votre ordinateur portable afin de détecter les événements ouverts et vous avertir en temps réel, via une photographie par exemple.

Android, Antivirus, APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Logiciels, Piratage, ransomware, Sécurité, Securite informatique, Smartphone, Virus

Les malwares les plus actifs en France en juillet 2018

3 commentaires

Le Global Threat Index pour le mois de juillet 2018 affiche le top 10 des virus et codes malveillants les plus répandus en France.

Ce dernier rapport virus et malware met en lumière l’augmentation des attaques ciblant l’IoT et la vulnérabilité des réseaux, comme en témoigne l’entrée dans le Top 10 des « Vulnérabilités les plus exploitées au monde » de 3 vulnérabilités en lien avec l’IoT : MVPower DVR router Remote Code Execution (5ème place), D_Link DSL-2750B router Remote Command Execution (7ème place) et Dasan GPON router Authentication Bypass (10ème place).

Au total, ce sont 45% des entreprises du monde entier qui ont été touchées par des attaques ciblant des vulnérabilités en lien avec l’IoT, contre 35% en juin 2018 et 21% en mai. Ces dernières permettent aux cybercriminels d’exécuter des codes malveillants dans le but d’obtenir le contrôle à distance de dispositifs cibles.

Point d’entrée facile

« Ces vulnérabilités, malwares et et virus offrent aux cybercriminels un point d’entrée facile dans les réseaux d’entreprise, ce qui leurs permet de propager un large éventail d’attaques « , a commenté Thierry Karsenti, vice-président technique Europe pour Check Point. « Une fois qu’un dispositif est compromis, il est très facile d’infiltrer d’autres dispositifs connectés. Il est donc essentiel que les entreprises se protègent efficacement et à tous les niveaux.« 

Il est important de noter que Coinhive reste le « malware » le plus répandu dans le monde, avec un impact sur 19% des entreprises mondiales. Cryptoloot et Dorkbot se classent respectivement en deuxième et troisième position, avec un impact global de 7% chacun. Pour rappel, CoinHive n’a rien d’illégal. C’est son utilisation par des malveillants qu’il faut montrer du doigt.

Top 10 des virus et malwares

Nom du malware Description Impact mondial Impact sur le pays
1 – Coinhive Ce cheval de Troie est conçu pour effectuer l’extraction en ligne de la crypto-monnaie Monero lorsqu’un internaute visite une page Web. Le script java implanté utilise les ressources informatiques des utilisateurs finaux pour extraire de la monnaie cryptée. 18.60% 16.02%
2 – Roughted Campagne de publicité malveillante à grande échelle, elle est utilisée pour diffuser divers sites Web et charges embarquées malveillants tels que des escroqueries, des logiciels publicitaires, des kits d’exploitation de vulnérabilité et les logiciels de rançon. Il peut être utilisé pour attaquer n’importe quel type de plateforme et de système d’exploitation, et utilise le contournement des bloqueurs de publicités pour attaquer de la manière la plus efficace. 5.85% 11.60%
3 – Cryptoloot Ce malware utilise la puissance du processeur ou du GPU de la victime et les ressources existantes pour le crypto-miningen ajoutant des transactions à la chaîne de blocage et en libérant de nouvelles devises. Similaire à Coinhive, ce programme est implanté sur des pages Web et utilise le pouvoir de traitement des internautes pour exploiter tous types de crypto-monnaies. 92829 6.92% 7.07%
4 – Conficker Conficker est un virus / ver informatique qui cible le système d’exploitation Windows. Il exploite les vulnérabilités de l’OS pour voler des données telles que des mots de passe. Ainsi, il prend le contrôle des ordinateurs touchés, les transformant en « zombie ». Les ordinateurs contrôlés forment alors un réseau, utile aux hackers. 3.50% 4.09%
5 – Jsecoin Ce mineur JavaScript peut être intégré à n’importe quel site Web.  JSEcoin permet de lancer un mineur directement dans le moteur de recherche en échange d’une navigation Web sans publicité. 5.92% 3.76%
6 – Dorkbot Dorkbot est un virus / ver basé sur un IRC conçu pour permettre l’exécution de code à distance, ainsi que le téléchargement de logiciels malveillants vers le système déjà infecté. Ce dernier permet de voler des informations sensibles et de lancer des attaques par déni de service. Il installe un rootkit en mode utilisateur pour empêcher l’affichage ou l’altération des fichiers et modifie le registre pour s’assurer qu’il s’exécute chaque fois que le système démarre. Il enverra des messages à tous les contacts de l’utilisateur infecté ou détournera un thread existant pour diffuser un lien renvoyant vers la copie du ver. 6.91% 2.98%
7 – Locky Locky est un cheval de Troie ransomware qui cible la plate-forme Windows. Ce logiciel malveillant envoie des informations système à un serveur distant et reçoit une clé de cryptage permettant de crypter les fichiers présents sur le système infecté. 1.72% 2.10%
8 – Fireball Fireball est un logiciel publicitaire largement distribué par la société chinoise de marketing numérique Rafotech. C’est un détourneur de navigateur qui change le moteur de recherche par défaut et installe des pixels de suivi, mais qui peut aussi servir à télécharger des logiciels malveillants. 3.02% 1.99%
9 – Nivdort Appartenant à la famille de chevaux de Troie ciblant la plate-forme Windows, il est capable de recueillir des mots de passe et des informations sur le système ou les paramètres telles que la version Windows utilisée, l’adresse IP, la configuration du logiciel et l’emplacement approximatif. Certaines versions de ce malware sont aussi en mesure de collecter les frappes de touches afin de modifier les paramètres DNS. Nivdort se propage via des pièces jointes de courriers indésirables ou des sites Web malveillants. 2.57% 1.88%
10 – Andromeda Repéré pour la première fois en 2011, Andromeda est un bot modulaire principalement utilisé comme porte dérobée afin de diffuser des logiciels malveillants supplémentaires sur les systèmes infectés. Il peut aussi être modifié dans le but de créer différents types de botnets. 6.35% 1.66%
10b – Ramnit Ramnit est un ver qui se propage principalement par l’intermédiaire de disques amovibles et de fichiers téléchargés vers des services FTP publics. Le logiciel malveillant crée une copie de lui-même pour infecter le système. 2.71% 1.66%

 

Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Piratage, Securite informatique

Une exploit 0-Day pour Internet Explorer utilisée in the wild

Un commentaire

Fin avril 2018, un exploit inconnu jusqu’alors détécté. Après analyse, il s’avère que cet exploit utilise une vulnérabilité zero-day CVE-2018-8174 pour Internet Explorer. L’exploit a été utilisé dans des attaques ciblées. Depuis le 8 mai, Microsoft propose la contre-mesure de sécurité.

Il est intéressant de noter que l’exploit Internet Explorer a été téléchargé au sein d’un document Microsoft Word. C’est la première fois que l’on note l’utilisation d’une telle technique. A noter également qu’une version de Microsoft Word entièrement patchée a été exploitée avec succès. Après cette découverte, Microsoft diffuse un patch disponible ici, depuis mardi 8 mai.

Un exploit est une forme de logiciel qui se sert des bugs ou des vulnérabilités d’autres logiciels pour infecter des victimes avec un code malveillant. Les exploits sont utilisés très largement par les cybercriminels à la recherche de profits mais aussi par des acteurs plus sophistiqués, qui disposent de soutiens étatiques, dans un but malveillant.

Dans ce cas particulier, l’exploit identifié se base sur le code malveillant exploitant la vulnérabilité zero-day – un bug typique « use-after-free » quand un code exécutable légitime, comme celui d’Internet Explorer, comporte une logique de traitement de la mémoire incorrecte. Cela conduit à la communication d’un code avec de la mémoire disponible. Alors que dans la plupart des cas, cela débouche sur un simple crash du navigateur, l’exploit permet aux attaquants de prendre le contrôle de l’appareil.

Des analyses approfondies de l’exploit ont permis de mieux comprendre la chaine d’infection :

  • La victime reçoit un document Microsoft Office RTF malveillant
  • Après avoir ouvert le document malveillant, la seconde phase de l’exploit est téléchargée – une page HTML avec un code malveillant
  • Le code déclenche un bug UAF de corruption de la mémoire
  • Le shellcode qui télécharge la charge malveillante est alors exécuté.

« Cette technique, jusqu’à ce qu’elle soit corrigée, permettait aux criminels de forcer le chargement d’Internet Explorer, peu importe le navigateur habituellement utilisé par la victime. Cela démultiplie le potentiel de l’attaque, pourtant déjà énorme. Heureusement, la découverte proactive de la menace a permis à Microsoft de sortir un patch correctif dans les temps. Nous invitons les organisations et utilisateurs à installer les patchs les plus récents immédiatement après leur disponibilité, car il ne faudra pas beaucoup de temps avant que les exploits de cette vulnérabilité ne trouvent leur place dans des kits d’exploits populaires et soient utilisés non seulement par les acteurs de menaces sophistiqués, mais également par des cybercriminels de plus petit calibre », explique Anton Ivanov, Security Researcher, Kaspersky Lab

Cyber-attaque, Cybersécurité, Logiciels, Piratage, Securite informatique

Drupalgeddon 3 ? Mise à jour urgente de Drupal le 25 avril

Il y aura une version de sécurité de Drupal 7.x, 8.4.x et 8.5.x le 25 avril 2018 entre 16h00 et 18h00 UTC.

Cette mise à jour doit permettre de corriger une faille considérée comme sérieuse. Drupal vous invite à réserver du temps pour les mises à jour de base à ce moment-là, car il existe un risque que des exploits soient développés en quelques heures ou quelques jours. Des attaques qui pourraient mettre à mal les sites sous ce CMS.

Cette mise à jour de sécurité fait suite à celle publiée sous le numéro SA-CORE-2018-002 le 28 mars.

  • Les sites sur 7.x ou 8.5.x peuvent immédiatement se mettre à jour lorsque l’avis est publié en utilisant la procédure normale.
  • Les sites de la version 8.4.x doivent immédiatement mettre à jour la version 8.4.8 qui sera fournie dans l’avis, puis planifier la mise à jour vers la version 8.5.3 ou la dernière version de sécurité dès que possible (puisque la version 8.4.x ne reçoit plus de sécurité officielle couverture).

L’avis de sécurité indiquera les numéros de version appropriés pour chaque version. La page de rapport de mise à jour de votre site recommandera la version 8.5.x même si vous utilisez 8.4.x ou une version plus ancienne, mais la mise à jour temporaire du rétroportage fourni pour la version actuelle de votre site vous permettra de mettre à jour rapidement sans les effets secondaires possibles. mise à jour de version mineure.

Des correctifs pour Drupal 7.x, 8.4.x, 8.5.x et 8.6.x seront fournis en plus des versions mentionnées ci-dessus. (Si votre site est sur une version de Drupal 8 antérieure à 8.4.x, il ne reçoit plus de couverture de sécurité et ne reçoit pas de mise à jour de sécurité.Les correctifs fournis peuvent fonctionner pour votre site, mais la mise à niveau est fortement recommandée. vulnérabilités de sécurité divulguées.)

Cette version ne nécessitera pas de mise à jour de la base de données.

La mise à jour de mars a fait beaucoup de bruit, surtout sur les sites qui n’avaient pas été mis à jour avec des milliers d’attaques et infiltrations par des mineurs malveillants de cryptomonnaies. (Source : Luc T.)

Antivirus, backdoor, Cyber-attaque, Cybersécurité, DDoS, Logiciels, Piratage, ransomware, Securite informatique

8,4 millions de malwares en 2017

Les experts G DATA ont comptabilisé le nombre de nouveaux codes malveillants sur l’année 2017. Avec l’indice des attaques bloquées ils ont également défini les dangers les plus actifs. Ils communiquent le résultat de leur recherche.

Afin d’avoir une vue d’ensemble de l’évolution quantitative des logiciels malveillants, les types de logiciels malveillants sont comptés en fonction de leur signature. Au-delà du simple comptage, seules les variantes qui partagent les mêmes morceaux de code malveillant sont prises en compte. En 2017, le nombre de nouveaux logiciels malveillants a augmenté de 22,9% par rapport à 2016 pour atteindre 8 400 058.

22 attaques par utilisateur

Le nombre de nouveaux spécimens de programmes malveillants apporte un premier niveau d’information, mais n’indique pas l’activité de ceux-ci. Un seul logiciel malveillant peut en effet avoir plus d’impact que des milliers. Pour définir cet indice de dangerosité des codes, les attaques détectées par les solutions G DATA sont remontées et comptabilisées. La moyenne des attaques sur le second semestre 2017 pour 1000 utilisateurs est de 119,4. Autrement dit, chaque jour, un utilisateur d’une solution G DATA sur huit, est confronté à une attaque bloquée. Cela représente en moyenne 22 attaques par utilisateur sur le second semestre 2017.

 

Android, Antivirus, Chiffrement, Cyber-attaque, Cybersécurité, escroquerie, ios, Logiciels, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Vie privée, Virus, Windows phone

Sites pornographiques : Le Français, un chaud lapin 2.0

Selon une étude, 33 % des adultes français consultent des sites pornographiques au moins 1 fois par jour. 40% d’entre eux ont déjà été contaminés par un virus informatique en visitant des sites pour adultes.

Une étude, réalisée en octobre 2017, sur les cyber-risques associés à la consultation de sites pornographiques vient de produire ses chiffres. Réalisée auprès de 1000 Français, cette étude Kaspersky révèle que 33 % des adultes consultent des sites pornographiques au moins 1 fois par jour, et ce pour une durée moyenne de 22 minutes par visite… soit l’équivalent de 4 jours par an ! Et cette pratique n’est pas sans risque : 40% contaminés par un virus informatique en consultant ces sites. Parmi les autres chiffres, 17% ignoraient que les smartphones et tablettes s’infectaient. 18 % croient protéger leur ordinateur en effaçant leur historique de navigation. 20 % pris en flagrant délit de consultation d’un site pour adultes. 23 familles de malwares Android ont été identifiées comme exploitant la pornographie.

Vous retrouverez la liste complète à la fin de cette brève. 21 % des personnes interrogées accusent leurs proches pour ne pas avoir à en assumer la responsabilité. 18 % protégés en utilisant un navigateur web en mode privé. 22 % reconnaissent consulter des sites pornographiques au travail.

Top 10 des virus informatiques

1. Le cheval de Troie : Sous couvert d’un programme d’apparence inoffensive, il véhicule une charge malveillante.
2. Le téléchargement « drive-by » : Il s’agit d’une méthode courante de propagation de malware. Les cybercriminels recherchent des sites web non sécurisés afin d’implanter un script malveillant dans le code de leurs pages.
3. Le détournement de clic : Cette méthode consiste à inciter un utilisateur à cliquer sur un objet sur une page web tout en lui faisant croire qu’il clique sur un autre.
4. Les bots Tinder : Ces programmes automatiques se font passer pour de véritables utilisateurs sur les sites de rencontre.
5. Le chat-phishing : Des cybercriminels fréquentent des sites de rencontre ou des forums, y encourageant les utilisateurs à cliquer sur des liens vers des forums de live sex et autres sites pornographiques.

Ransomware et pornware

6. Le ransomware : Les cybercriminels utilisent des « bloqueurs » pour interdire à la victime l’accès à sa propre machine, invoquant souvent la présence de « contenu pornographique illicite » en misant sur le fait que quiconque ayant consulté des sites pour adultes est moins enclin à se plaindre aux autorités.
7. Le vers : Ce type de programme se reproduit sans écrire son code dans d’autres fichiers. Au lieu de cela, il s’installe une fois sur la machine d’une victime puis recherche un moyen de se propager à d’autres.
8. Le pornware : Il peut s’agir d’un programme authentique mais aussi d’un adware installé par un autre programme malveillant et conçu pour afficher du contenu inapproprié sur la machine de la victime.
9. Le spyware : Logiciel d’espionnage qui permet à un pirate d’obtenir subrepticement des informations sur les activités en ligne de la victime et de les exfiltrer de sa machine.
10. Le faux antivirus : De prétendus logiciels antivirus exploitent la crainte des utilisateurs. Des malwares dans votre machine pendant le visionnage de contenus pornographiques.

Base de données, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Leak, Logiciels, Particuliers, Piratage, ransomware, ransomware, Sauvegarde, Securite informatique, Vie privée

RGPD et Ransomware : des actions judiciaires à prévoir dès mai 2018 ?

Votre société a été touchée par un ransomware ? En mai 2018, des actions judiciaires lancées par vos clients pourraient rajouter une couche d’ennuis à votre entreprise.

RGPD et actions judiciaires ! Le 18 janvier 2018, la société américaine Allscripts était touchée par un ransomware. Classique attaque qui chiffre les fichiers des ordinateurs infiltrés. Une cyberattaque possible via le clic malheureux d’un employé sur un mail piégé. Une attaque qui a perturbé l’entreprise, mais aussi directement ses clients. Ces derniers ne pouvaient accéder à leurs dossiers de patients ou de facturation.

Bilan, une plainte de recours collectif (Class action) a été déposée contre Allscripts. Le fournisseur de dossiers de santé électroniques (DSE) va se retrouver devant la justice. Un de ses prestataires, Surfside Non-Surgical Orthopedics, basé en Floride, spécialisé dans la médecine sportive, a déposé une plainte contre DSE.

Actions judiciaires, rançongiciel …

En en raison de l’attaque, Surfside indique qu’il « ne pouvait plus accéder aux dossiers de ses patients ou prescrire électroniquement des médicaments« .  Bilan, rendez-vous annulé, pertes d’argent… Allscripts est l’un des fournisseurs de dossiers médicaux électroniques (DSE) les plus répandus dans le monde.

L’entreprise est toujours à travailler, plusieurs jours après cette « attaque », à restaurer certains de ses systèmes informatiques suite au rançongiciel.

Fait intéressant, le type de ransomware utilisé dans l’attaque [SamSam ransomware] était le même que celui utilisé dans une attaque contre Hancock Health, un autre système de santé basé dans l’Indiana, début janvier 2018. Dans ce cas, les responsables du système de santé ont fermé tout le réseau Hancock Health et ont finalement payé le pirate. Il aurait reçu 55 000 dollars en bitcoin.

SamSam a également été utilisé contre le système de santé intégré MedStar Health, en mars 2016. Bleeping Computer a noté que d’autres attaques ont signalées, impliquant SamSam, dans les machines de l’Adams Memorial Hospital (Indiana).

Les systèmes d’Allscripts desservent environ 180 000 médecins et 2 500 hôpitaux. Il n’est pas clair si la société a payé une rançon.

Android, Antivirus, APT, backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Espionnae, ID, Leak, Logiciels, Mise à jour, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée

Skygofree : un puissant logiciel de surveillance pour Android

Skygofree : des chercheurs ont découvert un implant mobile avancé, actif depuis 2014 et conçu pour une cybersurveillance ciblée, peut-être afin de constituer un produit de « sécurité offensive ». Cet implant, nommé Skygofree, comporte des fonctionnalités inédites, telles que l’enregistrement audio suivant la géolocalisation via des appareils infectés. Le spyware se propage à travers des pages web imitant celles de grands opérateurs mobiles.

Skygofree est un logiciel-espion élaboré, à plusieurs modules, qui permet à des pirates de prendre totalement le contrôle à distance d’un appareil infecté. N’ayant cessé d’évoluer depuis la création de sa première version fin 2014, il est désormais capable d’intercepter les conversations et les bruits ambiants lorsque l’appareil infecté se trouve à un endroit donné, une fonctionnalité jamais vue jusque-là. Parmi les autres capacités avancées et inédites figurent des services d’accessibilité permettant de pirater des messages WhatsApp ou encore la possibilité de connecter l’appareil infecté à des réseaux Wi-Fi contrôlés par des individus malveillants.

Un logiciel espion très élaboré qui prend totalement le contrôle de l’appareil infecté.

L’implant exploite diverses vulnérabilités pour obtenir un accès root. Il peut également prendre des photos et des vidéos. Capturer des appels. Voler des SMS. Lancer une géolocalisation de l’appareil, des événements de l’agenda voire des informations professionnelles stockées en mémoire. Une fonction spéciale permet de contourner une technique d’économie de la batterie employée par un grand fabricant : l’implant s’ajoute alors à la liste des « applications protégées » de façon à ne pas être désactivé automatiquement lorsque l’écran est éteint.

Les pirates paraissent également s’intéresser aux utilisateurs Windows et les chercheurs ont découvert un certain nombre de modules développés récemment et ciblant cette plate-forme.

La plupart des pages web factices servant à répandre l’implant ont été enregistrées en 2015 alors que, selon les données télémétriques de Kaspersky Lab, la campagne de diffusion était à son paroxysme. La campagne est toujours en cours et le domaine le plus récent a été enregistré en octobre 2017. Les données indiquent plusieurs victimes à ce jour, toutes en Italie.

« Un malware mobile avancé est très difficile à identifier et à bloquer, et les développeurs qui se cachent derrière Skygofree en ont clairement tiré profit, en créant et faisant évoluer un implant capable d’espionner largement ses cibles sans éveiller les soupçons. Les éléments que nous avons découverts dans le code malveillant et notre analyse de l’infrastructure nous portent à croire avec un haut degré de certitude que les auteurs des implants Skygofree travaillent par une société informatique italienne proposant des solutions de surveillance, à la manière de HackingTeam », commente Alexey Firsh, analyste en malware spécialisé dans l’étude des attaques ciblées chez Kaspersky Lab.

Pour s’en protéger, être attentifs aux emails entrants, et équipés de logiciels de sécurité.

Les chercheurs ont identifié 48 commandes différentes pouvant être mises en œuvre par les pirates, pour un maximum de souplesse d’utilisation.

Pour assurer la protection contre la menace des malwares mobiles avancés, Kaspersky Lab recommande vivement l’installation d’une solution de sécurité fiable, capable d’identifier et de bloquer ces menaces sur les appareils des utilisateurs. Les utilisateurs sont en outre invités à faire preuve de prudence lorsqu’ils reçoivent des e-mails provenant de personnes ou d’entreprises inconnues ou comportant des demandes ou pièces jointes inattendues et de toujours vérifier à deux fois l’intégrité et l’origine des sites web avant de cliquer sur des liens. En cas de doute, mieux vaut contacter l’exploitant du site pour en avoir le cœur net. Les administrateurs système, pour leur part, doivent activer le contrôle des applications dans leur solution de sécurité mobile afin de maîtriser les programmes potentiellement dangereux vulnérables à cette attaque.

Kaspersky Lab détecte les versions de Skygofree sur Android sous HEUR:Trojan.AndroidOS.Skygofree et HEUR:Trojan.AndroidOS.Skygofree.b, et les versions Windows sous UDS:DangerousObject.Multi.Generic.

De plus amples informations, notamment la liste des commandes de Skygofree, les indicateurs d’infection (IoC), les adresses des domaines et les modèles d’appareils ciblés par les modules de l’implant, consultez le site Securelist.com.

Notes

Skygofree est nommé ainsi parce que le mot a été utilisé dans l’un des domaines. Le malware n’a rien à voir avec Sky, Sky Go ou une quelconque filiale de Sky, et n’affecte pas le service ou l’application Sky Go.

Argent, backdoor, Base de données, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Justice, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Securite informatique

Jugement de la FTC : Lenovo doit demander l’accord de ses clients pour les espionner

La Federal Trade Commission, la FTC, a donné son accord final à un règlement avec Lenovo Inc. Le constructeur d’ordinateurs avait été accusé de modifier les navigateurs. Des logiciels installés dans ses machines afin d’engranger les bénéficies des publicités qui s’y affichaient.

Dans sa plainte, la Federal Trade Commission ( FTC – Commission fédérale du commerce ) a déclaré qu’à partir d’août 2014, Lenovo a commencé à vendre aux États-Unis des ordinateurs portables grand public équipés d’un logiciel de publicité préinstallé. Appelé VisualDiscovery, cet outil interférait avec la façon dont le navigateur interagissait avec les sites Web. Il affichait de la publicité au profit de Lenovo. A cela s’est ajoutait de graves failles de sécurité. Dans le cadre du règlement avec la FTC, Lenovo à interdiction de modifier les fonctionnalités des logiciels préchargés sur ses ordinateurs portables.

Il est interdit à la marque d’injecter de la publicité dans les sessions de navigation Internet des consommateurs. Ensuite, interdit aussi de transmettre des informations sensibles des consommateurs à des tiers. Si la société préinstallé ce type de logiciel, la FTC exige que l’entreprise obtienne le consentement des consommateurs avant que le logiciel puisse fonctionner sur leurs ordinateurs portables. En outre, la société est tenue de mettre en œuvre un programme complet de sécurité. Sécurisation pour la plupart des logiciels grand public préchargés sur ses portables. Et cela durant les 20 prochaines années ! Enfin, ce programme de sécurité fera également l’objet d’audits par des tiers.

Pour conclure, VisualDiscovery est un adware développé par la société américaine Superfish, Inc. VisualDiscovery diffuse des annonces sous forme de pop-up dès qu’un internaute passait sa souris sur une image d’un produit vendu dans une boutique numérique.