Archives de catégorie : Argent

Argent, Banque, Bitcoin, Cybersécurité, Justice, Particuliers

Pirate de données bancaires arrêté en Pologne

Un pirate de données bancaires Polonais, recherché depuis 6 mois, arrêté après avoir volé plus de 100.000 €. Il en avait 800.000 en réserve.

Selon les autorités polonaises, Mateusza C., un internaute de 35 ans originaire de Varsovie, est accusé de piratage bancaire. Lui et un complice [Polsilverem], ce dernier a été arrêté en octobre 2015, auraient réussi à s’infiltrer dans des banques locales pour orchestrer des virements illicites. 100.000 euros ont pu être dérobés et transformés en bitcoin, la crypto monnaie. Les pirates avaient encore la main sur 800.000 euros qu’ils n’ont pu transférer. Connu sur la toile sous le pseudonyme de Pocket, le pirate risque 10 ans de prison. Pendant ce temps, en Russie, le gouvernement de Vladimir Poutine se penche à punir les utilisateurs « malveillants » de Bitcoin. Des peines d’amendes et de prisons sont proposés dans une loi qui doit être votée le mois prochain.

Argent, Banque, Chiffrement, cryptage, Cybersécurité, Emploi, ID, Identité numérique, Paiement en ligne, Particuliers, Vie privée

Le Japon va tester la biométrie pour payer ses achats

Biométrie – Pour préparer les Jeux Olympiques de 2020, attirer les touristes et contrer le cyber crime, le japon va tester, cet été 2016, le contrôle biométrique pour le paiement et la  réservation d’une chambre d’Hôtel.

Cet été, si vous avez la chance de vous rendre au Japon, préparez-vous à sortir vos doigts. Le pays va lancer une grande opération biométrique dédiée au contrôle d’identité et à la sécurisation des paiements.

Le gouvernement Japonais espère ainsi augmenter le nombre de touristes étrangers en utilisant ce système pour soulager les utilisateurs de la nécessité de transporter des espèces ou cartes de crédit. Le Japon veut tester son système afin que ce dernier soit opérationnel pour les Jeux olympiques et paralympiques de Tokyo 2020.

L’expérience permettra aux touristes volontaires, foulant le sol Nippon, d’enregistrer leurs empreintes digitales, identités et données de carte de crédit. Pour inciter les visiteurs à participer, pas de taxe sur les produits. Il suffira de placer deux doigts sur les dispositifs spéciaux installés dans 300 magasins et hôtels du pays. La biométrie permettra aussi d’éviter aux touristes de voir leur passeport copiés dans les hôtels. L’authentification par empreintes digitales suffira.

En 2020, Tokyo attend 40 millions de touristes. Les premiers tests ont eu lieu, depuis octobre 2015, dans le parc à thème du Huis Ten Bosch de Sasebo.

Argent, Base de données, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Particuliers, Piratage, Sauvegarde, Social engineering

Porn Account : 270000 amateurs de pornos piratés

Un internaute a tenté de revendre les données de 270 000 amateurs de sites pornographiques dans le blackmarket. Le business du Porn Account pour les nuls !

Vous avez peut-être entendu à la radio et lu dans la presse généraliste ce piratage de données ayant visé 270 000 amateurs de sites pornographiques. Un piratage qui a débuté via l’attaque par injection SQL de plusieurs sites pour adultes appartenant au groupe Paper Street Media.

Le pirate a expliqué avoir contacté l’entreprise pour « discuter ». Soyons clair, il a tenté de leur soutirer de l’argent en proposant la faille qui lui a permis d’extraire les informations des clients (IP, mail, mots de passe…).

Paper Street Media n’a pas répondu dans le sens de l’internaute. Bilan, l’adolescent a mis en vente, dans le blackmarket, la base de données volée pour 360 euros. Pourquoi revendre les données dans le BM ? Tout simplement pour que les professionnels du porn account puissent sauter sur l’occasion.

Dans cette même boutique qui aurait servi au pirate à revendre cette base de données [je n’ai pas retrouvé le vendeur], d’autres « commerçants » proposent des accès « piratés » aux sites interdit au – de 18 ans de Paper Street Media pour 9 $. Je vous laisse faire l’addition. Nous sommes très très loin des 360 euros réclamés ! « Je peux me faire entre 300 et 500 dollars par semaine » m’indique un de ces vendeurs de Porn Account croisé dans une boutique spécialisée.

Un pirate russe revend des milliers de comptes du site Naughty America.

A noter que j’ai pu consulter [ci-dessus] un document diffusé par un autre pirate informatique. Ce dernier, il est russe, a mis la main sur 150 000 comptes clients du site pornographique Naughty America. Un injection SQL, une backdoor (shell) dans le serveur et les comptes clients ont fini dans les mains du pirate.

Pendant ce temps…

… le groupe hôtelier Trump est de nouveau piraté. Des logiciels d’espionnage ont été retrouvés dans les ordinateurs des hôtels Trump situés à New York, Toronto et Honolulu. Même type d’attaque vécue en juillet 2015. Cela donne une idée de la gestion de la sécurité informatique de ce groupe. Les pirates visaient les identités et les données bancaires.

En ce qui concerne les numéros de CB, pas besoin d’être intelligent pour comprendre l’intérêt. Achats de produits dématérialisés qui seront revendus moitié prix [blanchir l’argent détourné]… En ce qui concerne les informations dédiées aux identités : fraude bancaire [ouverture de compte], usurpation d’identité, …

Argent, Arnaque, Chiffrement, Cybersécurité, escroquerie, ID, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Malware : Steam Stealer cible des milliers de comptes de joueurs en ligne

Le secteur du jeu en ligne, qui représente un marché estimé à plus de 100 milliards de dollars, n’est pas seulement juteux pour les développeurs et les fabricants. Il l’est aussi pour les cybercriminels. « Steam Stealer » fait partie de ces malwares en constante évolution, responsable du piratage de comptes utilisateurs sur la célèbre plate-forme de jeu Steam. Ayant pour objectif de dérober des objets dans les jeux en ligne et des identifiants de comptes afin de les revendre ensuite au marché noir, ce malware est distribué à des cybercriminels selon le modèle MaaS (Malware as a Service) avec des tarifs extrêmement bas débutant à 30 dollars.

Steam est aujourd’hui l’une des plates-formes de divertissement multi-systèmes d’exploitation parmi les plus populaires. Exploitée par Valve, elle compte plus de 100 millions d’utilisateurs inscrits à travers le monde et propose en téléchargement plusieurs milliers de jeux disponibles. Son succès en fait donc une cible de choix pour les groupes de cyber escrocs, qui peuvent revendre les identifiants d’utilisateurs Steam pour 15 dollars pièce au marché noir. Selon les chiffres officiels récemment publiés par la plate-forme, 77 000 comptes Steam sont piratés et pillés tous les mois.

Un nouveau type de malware, connu sous le nom de « Steam Stealer », est le principal suspect du piratage de nombreux comptes utilisateurs de la plate-forme phare de Valve. Tous deux pensent que ce malware a été développé à l’origine par des cybercriminels russophones car ils ont découvert, sur plusieurs forums clandestins consacrés aux programmes malveillants, de nombreux indices linguistiques qui le laissent penser.

Steam Stealer opère selon le modèle MaaS (Malware as a Service) : il est proposé à la vente dans différentes versions, bénéficiant de fonctionnalités distinctes, de mises à jour gratuites, de manuels d’utilisation, de conseils personnalisés pour la distribution, etc. Alors que le prix de base des « solutions » pour ces types de campagnes malveillantes est habituellement de l’ordre de 500 dollars, les programmes « Steam Stealer » sont ridiculement bon marché, pouvant couramment s’acheter pour à peine 30 dollars, ce qui les rend extrêmement attrayants pour les cybercriminels en herbe du monde entier.

La propagation des malwares Steam Stealer passe principalement, mais pas exclusivement, par des sites Web contrefaits qui les diffusent ou encore par des techniques d’ingénierie sociale consistant à envoyer directement des messages aux victimes.

Une fois le malware implanté dans le système d’un utilisateur, il subtilise l’ensemble des fichiers de configuration de Steam. Il localise ensuite le fichier spécifique Steam KeyValue qui contient les identifiants de l’utilisateur, ainsi que les informations relatives à sa session. Forts de ces informations, les cybercriminels peuvent alors prendre le contrôle de son compte.

Au départ, le piratage de comptes de joueurs était un moyen simple pour les scripts kiddies de faire rapidement des profits en les revendant sur des forums occultes. Aujourd’hui, cependant, les criminels ont réalisé la véritable valeur marchante de ces comptes. Leurs opportunités résident désormais dans le vol et la vente d’objets acquis par les utilisateurs dans les jeux et pouvant valoir des milliers de dollars. Les cyberbandes organisées n’entendent tout simplement pas laisser passer un tel pactole.

Les experts de Kaspersky Lab ont dénombré près de 1 200 échantillons de malwares Steam Stealer différents, responsables d’attaques contre des dizaines de milliers d’utilisateurs à travers le monde. C’est particulièrement le cas en Russie et dans d’autres pays d’Europe de l’Est où la plate-forme Steam est très fréquentée.

La communauté des joueurs est devenue une cible très prisée des cybercriminels. Une évolution claire des techniques d’infection et de propagation ainsi que la complexité croissante des malwares eux-mêmes ont conduit à une recrudescence de ce type d’activité. Alors que les consoles sont toujours plus puissantes et que l’Internet des objets est à notre porte, ce scénario va se développer et gagner en complexité. Les développeurs ne doivent pas envisager la sécurité a posteriori mais l’intégrer en amont dans le processus de développement des jeux. « Nous sommes convaincus qu’une coopération avec l’ensemble des acteurs du secteur peut contribuer à améliorer cette situation« , sougline Santiago Pontiroli de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Pour s’en prémunir, les utilisateurs ont besoin d’une solution de sécurité à jour qui leur permette de s’adonner à leurs jeux favoris sans craindre de voir leur compte piraté. La plupart des produits de sécurité offrent un « mode jeu », de sorte que les joueurs ne sont pas dérangés par leurs notifications avant la fin de la partie en cours. Dans le but de protéger les comptes de ses propres utilisateurs, Steam a également pris plusieurs mesures de sécurité destinées à contrer les mécanismes de piratage.

Android, Argent, Arnaque, backdoor, Banque, Chiffrement, cryptage, cryptolocker, Cybersécurité, escroquerie, Logiciels, Particuliers, Smartphone, Social engineering

Malwares mobiles : le volume a triplé en 2015

Le volume de malwares ciblant les utilisateurs d’appareils mobiles a plus que triplé en 2015, comparé à 2014. Les menaces les plus dangereuses observées au cours de l’année dernière sont des ransomwares, c’est-à-dire des malwares capables d’obtenir le contrôle illimité d’un appareil infecté, ainsi que les voleurs de données, y compris les malwares financiers. Ces conclusions sont le résultat du travail de l’équipe de recherche antimalware de Kaspersky Lab, compilées dans son rapport annuel de virusologie.

Les chiffres clés du paysage des menaces mobiles 2015 :
·         884 774 nouveaux programmes malicieux ont été détectés, soit trois fois plus qu’en 2014 (295 539).
Le nombre de Trojans bancaires mobiles a diminué à 7 030, alors qu’ils étaient 16 586 en 2014.
·         94 344 utilisateurs uniques ont été attaqués par un ransomware mobile, soit cinq fois plus qu’en 2014 (18 478).

Explosion du nombre de ransomwares
2015 a été l’année des ransomwares. Une fois un appareil infecté, l’application malicieuse le bloque grâce à une fenêtre pop-up annonçant que l’utilisateur a commis un acte illégal. Pour débloquer son appareil, il doit payer une rançon pouvant aller de 12$ à 100$.

La part d’utilisateurs de produits Kaspersky Lab pour mobiles attaqués par un ransomware est passée de 1,1% à 3,8% entre 2014 et 2015. 156 pays sont concernés par ces attaques, avec en haut de la liste la Russie, l’Allemagne et le Kazakhstan. Le malware Trojan-Ransom.AndroidOS.Small et sa modification, Trojan-Ransom.AndroidOS.Small.o étaient les plus actifs en Russie et au Kazakhstan. Small.o a été le ransomware mobile le plus répondu et détecté l’année dernière. Le nombre de modifications d’applis de ransomware a été multiplié par 3,5, prouvant que les fraudeurs voient un intérêt toujours plus grand à gagner de l’argent grâce au chantage.

En 2016, les malwares vont probablement gagner en complexité et le nombre de modifications va augmenter, augmentant en parallèle le nombre de zones géographiques touchés.

Quand les malwares prennent les pleins pouvoirs (et droits d’accès)
Près de la moitié des 20 plus importants Trojans de 2015 étaient des programmes malicieux diffusant des publicités intrusives sur des appareils mobiles. Les plus répandus l’année dernière étaient les Trojans Fadeb, Leech, Rootnik, Gorpro et Ztorg. Les fraudeurs derrière ces programmes ont utilisé toutes les méthodes à leur disposition pour les propager, à travers des bannières web malicieuses, des faux jeux et d’autres applications légitimes publiées dans des marketplaces légitimes. Dans certains cas, ils étaient présentés comme des logiciels légitimes préinstallés sur l’appareil.

Certaines de ces applis ont la capacité de s’approprier des “super” droits d’accès ou l’accès root. Cela permet aux cyber criminels de disposer de possibilités quasi infinies de modifier les informations stockées sur l’appareil de leur victime. Si l’installation est réussie, il devient presque impossible de supprimer le malware, même après un reset aux paramètres d’usine. Les malwares mobiles pouvant s’octroyer l’accès root sont connus depuis 2011, avec un pic de popularité l’année dernière auprès des cyber criminels. Cette tendance devrait se confirmer en 2016.

Mettre son argent en sécurité
Les Trojans bancaires sont de plus en plus complexes, en dépit d’une diminution du nombre de modifications. La mécanique de ces applis malicieuses n’a pas changé : après avoir infiltré l’appareil ou le système d’un client, le malware se superpose à la page ou à l’application d’une banque. Cependant, l’échelle à laquelle ces malwares peuvent être utilisés s’est accrue en 2015. Maintenant, les cyber criminels peuvent attaquer les clients de douzaines de banques situées dans des pays différents en utilisant un seul type de malware, alors que par le passé ils auraient utilisé des applications malicieuses capables d’attaquer un seul établissement bancaire, voire deux, dans quelques pays. Un exemple d’application aux victimes multiples est le Trojan Acecard, qui dispose d’outils pour attaquer plusieurs douzaines de banques et de services web.

« Avec l’avènement des technologies mobiles, les cyber criminels sont entrés dans une logique de monétisation qui transcende les plates-formes. C’est pourquoi il n’y a rien de surprenant à enregistrer un accroissement de l’activité des ransomwares et autres malwares sur mobiles.  Certains utilisateurs pourraient être tentés de payer, mais cela ne fait que renforcer le modèle des criminels sans aucune garantie de récupérer ses données ou les pleins pouvoirs sur son appareil. Pour limiter les risques, la prudence et la prévention restent encore et toujours la meilleure des protections. » explique Tanguy de Coatpont, directeur de Kaspersky Lab France.

Alerte sur la croissance considérable du malware mobile
Même son de cloche pour Intel Security qui vient de publier un nouveau rapport, intitulé ‘McAfee Labs Threat Report’, sur l’évolution du paysage des menaces ciblant les environnements mobiles.

Tandis qu’historiquement, les cybercriminels concentraient principalement leurs efforts sur les attaques de postes fixes et de PC portables, Intel Security pointe du doigt l’augmentation spectaculaire du nombre de malwares sophistiqués ciblant aujourd’hui les appareils mobiles. L’étude indique qu’au cours des 6 derniers mois, 3 millions d’appareils ont été touchés uniquement par des malwares qui se propagent via les AppStores.

En outre, il a été constaté une nouvelle augmentation de 24 % d’échantillons de malwares mobiles au cours du dernier trimestre 2015 par rapport au trimestre précédent. Parmi les autres chiffres : 37 millions d’échantillons de malware mobile identifié par Intel Security au cours de 6 derniers mois. Plus d’1 million d’URL redirigeant vers des sites malveillants ont été enregistrées sur 4 millions de dispositifs mobiles. Plus de 155 % de ransomwares en 2015 par rapport à l’année passée. 780 millions d’accessoires connectés dans le monde d’ici 2018, là où il en était recensé 500 millions en 2015. « Les appareils mobiles prennent une place prépondérante dans la vie numérique des consommateurs, notamment dans l’usage de services sensibles (banques, achats, etc.). Il est important de veiller à la mise en place d’une protection anti-malware efficace afin de mieux sécuriser les données des utilisateurs », précise John Giamatteo, vice-président chez Intel Security. « Intel Security est très impliqué dans la lutte contre les menaces mobiles, y compris à travers sa collaboration avec des constructeurs grand public, telle que Samsung, pour les aider à mieux intégrer la sécurité en native au sein de leurs produits et permettre aux consommateurs de surfer dans un monde connecté en toute sécurité ».

Argent, Arnaque, Bitcoin, Chiffrement, cryptage, cryptolocker, Cybersécurité, Entreprise, escroquerie, Logiciels, Paiement en ligne, Particuliers, ransomware, Social engineering

Citroni, le ransomware qui attaque les serveurs web

Les experts de Kaspersky Lab auraient découvert une nouvelle variante du ransomware CTB-Locker3 Baptisé Citroni / Onion, il s’attaque aussi aux serveurs web.

A l’origine, CTB-Locker est un malware de type ransomware qui chiffre des fichiers sur le disque dur de ses victimes avant de demander une rançon pour les déchiffrer. Il se démarque pour 3 raisons : Son taux d’infection très élevé ; son utilisation de Tor, des Bitcoins et de Elliptic Curve Cryptography et ses capacités multilingues.

Son objectif n’est plus d’encrypter le contenu des ordinateurs mais de s’attaquer aux serveurs web. Ici, les rançonneurs cherchent avant tout des sites web vulnérables, les attaquent pour y uploader du code et encryptent ensuite l’ensemble des fichiers qui y figurent. Ils modifient alors la page d’accueil de ces sites et y affichent des informations sur la façon de décrypter leur contenu. Ils incluent également des informations sur le montant de la rançon.

Les chercheurs ne savent pas encore comment CTB-Locker est déployé sur les serveurs web, mais il y a cependant un point commun sur plusieurs des serveurs attaqués : ils utilisent tous la plate-forme de blog WordPress. En pratique, les rançonneurs demandent moins de la moitié d’un bitcoin comme rançon, soit environ 150 $ US. Pour le moment, 70 serveurs encryptés dans 11 pays ont été repérés, avec une majorité de victimes aux États-Unis et en Russie. Pour le moment, aucun outil de désencryption n’est disponible, la seule façon de se débarrasser rapidement de cette menace étant de s’assurer de disposer d’une copie de sauvegarde des fichiers du serveur, le tout dans un endroit séparé.

Argent, Arnaque, backdoor, Base de données, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fraude au président, Fuite de données, Leak, Particuliers, Piratage, pourriel, Social engineering, spam

Poseidon : un groupe de pirates informatiques opérant sur terre, dans les airs et en mer

Poseidon, une campagne de piratage ciblant des établissements financiers ainsi que des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et des groupes médias. La France visée par l’attaque.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab annonce la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.

Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent dans les pays suivants :

  • Etats-Unis
  • France
  • Kazakhstan
  • Emirats Arabes Unis
  • Inde
  • Russie

Cependant, la répartition des victimes penche très nettement vers le Brésil, où bon nombre d’entre elles réalisent des opérations via des joint-ventures ou des partenaires.

L’une des caractéristiques du groupe Poseidon réside dans l’exploration active des réseaux d’entreprise sur la base des noms de domaine. Selon le rapport d’analyse consulté par DataSecurityBreach.fr, Poseidon recourt à des e-mails de spear-phishing accompagnés de documents RTF/DOC, comportant généralement un appât sur le thème des ressources humaines, qui installent un fichier binaire malveillant dans le système cible lorsque le destinataire clique dessus. Un autre trait marquant est la présence de chaînes de caractères en portugais du Brésil. La prédilection du groupe pour les systèmes lusophones, comme le révèlent les échantillons, est une pratique inédite.

Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration.

Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.

« Le groupe Poseidon est une équipe de vétérans intervenant sur tous les théâtres d’opérations : terre, air et mer. Certains de ses centres de commande sont implantés chez des fournisseurs d’accès Internet desservant des navires en mer, des connections sans fil ou encore des opérateurs classiques », commente Dmitry Bestuzhev, Directeur de l’équipe GREaT de Kaspersky Lab en Amérique latine. « En outre, plusieurs de ses implants présentent une durée de vie très courte, ce qui a permis à ce groupe de sévir aussi longuement sans se faire repérer. »

Le groupe Poseidon étant en activité depuis au moins 10 ans, les techniques de conception de ses implants ont évolué, ce qui complique pour de nombreux chercheurs la mise en corrélation des indicateurs et l’assemblage des pièces du puzzle. Cependant, en réunissant soigneusement tous les indices, en étudiant la signature de la menace et en reconstituant la chronologie des attaques, les experts ont pu établir vers la mi-2015 que des traces détectées précédemment mais non identifiées appartenaient bien à la même menace, c’est-à-dire le groupe Poseidon.

Argent, Cybersécurité, ID, Identité numérique, Mise à jour, Particuliers, Patch, Phishing, Social engineering

eBay : une inquiétante faille révélée

EBay alerté au sujet d’une vulnérabilité de sa plateforme de vente en ligne qui permet à des cybercriminels de diffuser des campagnes de phishing et des logiciels malveillants.

eBay, le géant de la vente aux enchères et du commerce électronique en ligne, possède des bureaux dans plus de 30 pays et plus de 150 millions d’utilisateurs actifs dans le monde. L’entreprise ayant une clientèle importante, il n’est donc pas surprenant qu’elle soit la cible de nombreuses cyberattaques.

Check Point, éditeur de solution de sécurité informatique, a découvert une grave vulnérabilité dans la plateforme de vente en ligne d’eBay. Cette vulnérabilité permet à un agresseur de contourner la validation de code d’eBay et de contrôler le code vulnérable à distance pour exécuter du code JavaScript malveillant auprès d’utilisateurs ciblés. Sans correction de cette faille, les clients d’eBay continueront d’être potentiellement exposés à des attaques de phishing et de vol de données.

Un agresseur pourrait cibler les utilisateurs d’eBay en leur envoyant une page légitime contenant du code malveillant. Lors de l’ouverture de la page, le code serait alors exécuté par le navigateur de l’utilisateur ou une application mobile, conduisant à plusieurs scénarios inquiétants allant du phishing jusqu’au téléchargement binaire.

Après avoir découvert la vulnérabilité, Check Point en a communiqué les détails à eBay le 15 décembre 2015. Cependant, le 16 janvier 2016, eBay a déclaré n’avoir prévu aucune correction de la vulnérabilité. La démonstration de la méthode d’exploitation est encore disponible en ligne.

Découverte de la vulnérabilité

Roman Zaikin, chercheur de Check Point, a récemment découvert une vulnérabilité qui permet à des pirates d’exécuter du code malveillant sur les appareils des utilisateurs d’eBay, à l’aide d’une technique non standard appelée « JSF**k ». Cette vulnérabilité permettrait à des cybercriminels d’utiliser eBay comme plateforme de phishing et de diffusion de logiciels malveillants.

Pour exploiter cette vulnérabilité, un agresseur a simplement besoin de créer une boutique eBay en ligne, et publier une description malveillante d’un article dans les détails de sa boutique. eBay empêche les utilisateurs d’inclure des scripts ou des iFrames en filtrant les balises HTML. Cependant, grâce à JSF**k, l’agresseur peut créer un code qui va charger du code JS supplémentaire depuis son serveur. Cela lui permet d’insérer du JavaScript qu’il peut contrôler et ajuster à distance, par exemple, pour adapter son attaque à un navigateur différent.

eBay n’effectue qu’une simple vérification, et ne supprime que les caractères alphanumériques des balises de script. La technique JSF**k permet aux agresseurs de contourner cette protection en utilisant un nombre très limité de caractères.

Comme on peut le voir, le message qui apparaît sur l’application eBay (plus précisément dans la boutique de l’agresseur sur le site eBay) incite l’utilisateur non averti à télécharger une nouvelle application mobile eBay en proposant une remise.

L’utilisateur qui appuie sur le bouton « Télécharger », téléchargera à son insu une application malveillante sur son appareil mobile.

« La méthode d’attaque fournit aux cybercriminels un moyen très facile de cibler les utilisateurs en leur envoyant un lien vers un produit très attrayant pour exécuter l’attaque. La principale menace est la diffusion de logiciels malveillants et le vol de données privées. Un agresseur pourrait également proposer une méthode de connexion alternative via Gmail ou Facebook pour détourner des comptes utilisateurs, » précise Oded Vanunu, responsable d’un groupe de recherche chez Check Point. « Check Point reste à l’affût des vulnérabilités dans les applications et les plateformes Internet courantes. En communiquant les menaces au fur et à mesure de leur découverte, nous protégeons l’avenir. »

Argent, Cyber-attaque, Cybersécurité, ID, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Des clients de Neiman Marcus piratés

Le détaillant de produits de luxe Neiman Marcus Group a informé certains de ses clients du piratage informatique de leur compte. Les pirates ont utilisé la méthode du dictionnaire de mots de passe.

Selon la compagnie Neiman Marcus Group, des cybercriminels ont utilisé une attaque automatisée pour tester diverses combinaisons de logins et mots de passe sur les sites de l’entreprise : Neiman Marcus, Last Call, Bergdorf Goodman, Horchow… Un brute force qui aurait débuté vers le 26 Décembre.

La société a déclaré que les pirates avaient réussi à accéder à environ 5 200 comptes. Neiman Marcus Group précise que ce vol n’est pas dû au piratage de son serveur. Il aurait pu rajouter que cela avait été possible en raison de la faiblesse de son outil de gestion des mots de passe [refuser les informations placées dans le formulaire d’inscription ; refuser mot de passe de moins de 10 signes ; refuser un mot de passe sans chiffres, majuscules et autres signes de ponctuation…).

Les internautes ciblés sont aussi fautifs. Il y a de forte chance que les informations utilisées par les pirates provenaient de bases de données déjà piratées. Les contenus (mails, logins, mots de passe) réutilisaient sur d’autres espaces web.

Ce n’est pas la première fois que les clients de Neiman Marcus sont ciblés par des cybercriminels. En Janvier 2014, la société révélait le vol d’au moins 1,1 million de cartes de paiement de ses clients à l’aide de lecteurs de cartes bancaires (POS) piégés par des logiciels malveillants. 350 000 cartes auront effectivement été exploitées par les malveillants.

Argent, backdoor, Cyber-attaque, Cybersécurité, Leak, Mise à jour, Particuliers, Piratage, Virus

Un nouveau malware qui cible les services financiers

Découverte par le SOC (Security Operating Center) de F5 Networks et détectée par les solutions de sécurité F5 WebSafe en novembre 2015, l’attaque Tinbapore représente un risque de plusieurs millions de dollars.

L’enquête des experts en sécurité de F5 révèle que Tinbapore est une nouvelle variante du malware Tinba qui avait jusqu’ici ciblé les organismes financiers en Europe, au Moyen-Orient, en Afrique (EMEA) et aux US. Le malware Tinba original a été écrit en employant la programmation en langage assembleur et s’est fait remarqué pour sa très petite taille (20 Ko avec tous les Webinjects et la configuration). Le malware utilise principalement quatre bibliothèques du système lors de l’exécution : ntdll.dll, advapi32.dll, ws2_32.dll et user32.dll. Sa principale fonctionnalité est de se raccorder à tous les navigateurs de la machine infectée afin de pouvoir intercepter les requêtes HTTP et effectuer des injections web.

Les nouvelles versions améliorées du malware utilisent un algorithme de génération de domaine (DGA – domain generation algorithm), ce qui rend le malware beaucoup plus persistant et lui donne la possibilité de revenir en activité, même après que le serveur de commande et de contrôle (C&C) soit coupé. Cette nouvelle variante de Tinba – Tinbapore – créée désormais sa propre instance explorer.exe qui fonctionne en arrière-plan. Elle diffère de la plupart des versions précédentes car elle vise activement les organismes financiers de l’Asie-Pacifique (APAC), un territoire inexploré pour Tinba.