Archives de catégorie : Particuliers

Actualités liées à la sécurité informatique des particuliers et à la vie privée.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, RGPD, Sauvegarde, Sécurité, Securite informatique, Smartphone, Téléphonie

Des millions de SMS retrouvés dans un cloud de la société Voxox

Un chercheur en sécurité révèle que la société Voxox a exposé des dizaines de millions de SMS en le stockant sur un serveur cloud non protégé.

Voxox est une société de communication VoIP. Une sorte de Skype allemand. Voxox a oublié les bases de la sécurité du cloud. Bilan, ce fournisseur de services vocaux et SMS a exposé des données sensibles telles que les codes 2FA, les mots de passe en texte clair, les numéros de téléphone, les codes de réinitialisation de mot de passe, les notifications d’expédition et les codes de vérification à un accès public. C’est un chercheur en sécurité basé à Berlin, Sébastien Kaul, qui a découvert la faille via le moteur de recherche spécialisé dans la sécurité informatique, Shodan. La base de données de messages SMS identifiée par Kaul est facilement accessible. Elle offre une vue presque en temps réel des informations transitant par la passerelle SMS de Voxox. Comment est-ce possible ? La société américaine n’a pas protégé son serveur … avec un mot de passe. No comment !

Avant sa fermeture, plus de 26 millions de messages texte stockés dans la base de données. Cependant, il semble tout à fait probable que le chiffre soit plus important. Le volume de messages étant énorme, chaque minute. Il est à noter que chaque enregistrement a été étiqueté et détaillé avec précision. Il incluait le numéro de contact du destinataire, le client Voxox qui avait envoyé le message et le contenu du message. (TechCrunch)

Android, backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Piratage, Securite informatique, Smartphone, Téléphonie, Vie privée

Les cyberattaques ciblant Android en hausse

Les analystes de G DATA ont comptabilisé plus de 3,2 millions de nouvelles applications malveillantes à la fin du troisième trimestre 2018. Cela représente une augmentation de plus de 40 % par rapport à la même période en 2017. Les cybercriminels se concentrent sur les appareils mobiles, en particulier sous le système d’exploitation Android. La raison : huit personnes sur dix dans le monde utilisent un appareil Android.

À la fin du troisième trimestre, les analystes de G DATA ont recensé près de 3,2 millions de nouvelles applications malveillantes Android sur l’année, soit en moyenne 11 700 nouveaux dangers par jour. Il s’agit d’une augmentation de plus de 40 % par rapport à la même période de l’année précédente. En termes de sécurité, Android doit également lutter contre les équipements obsolètes. Dès 2017, Google a réagi avec le Project Treble, une fonctionnalité sous Android 8 qui permet une distribution plus rapide des mises à jour. Mais Android 8 est pour le moment dans un peu moins d’un appareil sur cinq – plus d’un an après son lancement en août 2017. Quant à la version actuelle 9, sa diffusion est inférieure à 0,1 % du parc.

Distribuer plus rapidement les mises à jour de sécurité

L’une des clés d’une meilleure protection réside dans la distribution rapide de mises à jour de sécurité. Selon « The Verge », depuis cet été Google oblige contractuellement les fabricants de smartphones sous Android à fournir des mises à jour de sécurité pour au moins deux ans. En détail, les appareils doivent recevoir au moins quatre mises à jour de sécurité Google au cours de la première année. Au cours de la deuxième année, les fabricants doivent assurer une fréquence de mise à jour qui permet de protéger les appareils des vulnérabilités datant de plus de 90 jours.

Un contrat qui comporte toutefois certaines limites. Seuls les smartphones de 100 000 utilisateurs concernés. En outre, l’accord ne s’applique qu’aux équipements mis sur le marché à partir de février 2018, avec une certaine tolérance admise jusqu’au 31 janvier 2019.

Le risque des logiciels espions

Les fonctionnalités étendues des logiciels espions ciblant le système Android sont une source d’incertitude. Ces codes malveillants rivalisent de techniques pour accéder au contenu des appareils. Dernièrement, les analystes de G DATA détaillaient le fonctionnement d’un trojan capable de lire les conversations WhatsApp. Les Smartphones contenant un nombre croissant d’informations sensibles, les attaquants ont bien compris l’intérêt de ces types de codes malveillants.

Virus Bulletin : Google parle d’Android

Lors de la conférence Virus Bulletin qui s’est tenue à Montréal en octobre, des chercheurs de Google ont fait deux présentations qui montrent que la sécurisation de la plateforme Android est un défi quotidien. L’analyste Maddie Stone a par exemple présenté une application malveillante qui déploie un niveau inhabituellement élevé de techniques pour ne pas être détecté par les systèmes automatisés de Google.

L’expert en sécurité Łukasz Siewierski a quant à lui présenté une campagne de logiciels malveillants préinstallés sur les smartphones Android. Selon son analyse, le malware était déjà installé pendant la phase de développement. G DATA a traité d’un sujet similaire lors du Virus Bulletin 2015 et pour la première fois en 2014.

Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, Patch, Propriété Industrielle, Securite informatique

Espionnage des conducteurs de voiture via leur autoradio

Les habitudes d’écoute de milliers de conducteurs de voitures surveillées, sans consentement, durant 3 mois. But final, diffuser des publicités ciblées !

Environ 90 000 conducteurs de véhicules General Motors ont été surveillés par le constructeur de voitures. Les propriétaires et leurs passagers ont été surveillés durant 3 mois alors qu’ils voyageaient sur les routes de Chicago et de Los Angeles. C’est l’équipe Detroit Free Press qui a révélé cet espionnage qui s’est déroulé en 2017. General Motors a confirmé cette « écoute » qui aurait été mis en place dans le cadre de son programme de suivi de radio. La société a reconnu collecter des données afin de les utiliser manière intelligente. Bref, traduisez par la diffusion de publicités ciblées. Vous comprenez maintenant pourquoi le fait de savoir que Renault a choisi Google comme moteur de recherche peut inquiéter les utilisateurs. Google connaîtra l’ensemble des comportements des conducteurs de voiture de la marque française. Qwant aurait été parfait pour éviter ce ciblage.

Via le Wi-Fi des voitures

Pour général Motors, lors de son test de trois mois, l’espionnage a utilisé le Wi-Fi proposé dans les voitures pour suivre les habitudes de certains de ses conducteurs dans l’espoir de voir s’il existait un lien entre ce que les conducteurs écoutent et ce qu’ils achètent. GM, avec 10 millions de voitures en circulation, est l’un des premiers constructeurs à entreprendre une telle étude. A noter que les 90 000 conducteurs de Los Angeles et de Chicago impactés avaient accepté de participer à une « proof of concept » sans connaitre la finalité de cette preuve de concept. « Les données sont ensuite agrégées et anonymisées. Les résultats obtenus sur un très grand échantillon et n’incluent aucune information personnellement identifiable » indique General Motors.

Espionnage dans nos voitures

L’espionnage, via les automobiles, n’est pas une nouveauté. Je vous passe les contenus que sont capables de stocker les « clés » sans fil des voitures. En 2015, Chevrolet proposait aux parents un logiciel d’espionnage, Teen Driver, intégré dans ses voitures. Raison invoquée, permettre aux parents de suivre leurs enfants conducteur ! Mais aussi être averti si la vitesse est dépassée (vitesse choisie par les parents). Recevoir des rapports sur les véhicules. Limiter le volume audio de l’auto radio.

Cyber-attaque, Cybersécurité, double authentification, Entreprise, Facebook, Fuite de données, ID, Identité numérique, Leak, Mise à jour, Particuliers, Piratage, Securite informatique, Social engineering, Vie privée

Piratage de Facebook : 400 000 infiltrations + 400 000 + 400 000 …

Facebook vient d’expliquer le piratage qu’a subi la plateforme de réseautage. Il n’y aurait eu que 400 000 personnes impactées. vraiment ?

Facebook a diffusé, ce 13 octobre, un communiqué de presse expliquant son piratage. Si la société avait annoncé entre 30 et 50 millions de comptes impactés, Facebook parle aujourd’hui de 400 000 utilisateurs véritablement infiltrés. Les pirates ont pu se servir de leur compte personnel.

15 millions d’utilisateurs ont perdu leur véritable identité et coordonnées. Pour 14 millions de personnes, les assaillants ont eu accès aux deux mêmes types d’informations, ainsi qu’à d’autres détails figurant dans leur profil. Cela incluait le nom d’utilisateur, le sexe, le lieu / la langue, le statut de la relation, la religion, la ville d’origine, la ville actuelle déclarée, la date de naissance, les types d’appareils utilisés pour accéder à Facebook, au travail, les 10 derniers lieux dans lesquels ils ont ouvert ou ajouté des tags, site Web, les personnes ou les pages qu’ils suivent et les 15 recherches les plus récentes.

Pour 1 million de personnes, les attaquants n’ont eu accès à aucune information.

400 000 + 400 000 + 4000 000 …

En lisant le communiqué de presse, la formulation est floue. Un flou qui ne semble pas être un hasard. Je m’explique. En comptant tous les amis, le nombre de conversations accessibles, … on se retrouve avec des millions de personnes impactés. Bien plus que les 30 millions indiquées. Le paragraphe concernant l’accès aux messages devrait faire réfléchir : « Message content was not available to the attackers, with one exception. If a person in this group was a Page admin whose Page had received a message from someone on Facebook, the content of that message was available to the attackers. » Bref, les amateurs de fractals commencent à comprendre mon interrogation. Cela en fait des informations et des messages « privés » si j’additionne les amis, des amis, des amis de mes amis !

Dernier point, il est intolérable que les pages « sécurité » dont celle dédiée à ce piratage ne soient pas traduite dans les langues des utilisateurs. De nombreuses personnes inquiètes ne comprennent ni le vocabulaire « juridique » employé, ni la langue de Shakespeare.

backdoor, Base de données, Chiffrement, cryptomonnaie, Cyber-attaque, Cybersécurité, DDoS, Entreprise, escroquerie, Leak, Particuliers, Piratage, ransomware, ransomware, Securite informatique

Exploit kits : Les USA n° 1 en nombres d’adresses Web malveillantes

2 commentaires

Au deuxième trimestre, les États-Unis étaient en tête concernant l’hébergement de domaines malveillants et d’exploit kits. La Chine passe de la 2e à la 7e position.

Mails malveillants, exploit kits et compagnie ! L’Unit42, unité de recherches de Palo Alto Networks, analyse régulièrement les données en provenance de son ELINK (Email Link Analysis) pour détecter les modèles et les tendances sous-jacentes aux menaces actuelles sur le Web. Aujourd’hui, l’Unit42 partage son analyse pour la période d’avril à juin 2018 (retrouvé le précédent rapport portant sur la période de janvier à mars 2018 ici. L’Unit42 fournit également une analyse détaillée des attaques contre la faille CVE-2018-8174 (voir plus bas en lien) en utilisant l’exploit Double Kill.

Ce trimestre l’Unit42 a constaté peu d’évolution dans les vulnérabilités exploitées, y compris certaines particulièrement vieilles. Toutefois, l’une d’entre elles, toute nouvelle, s’appuyait sur une faille zero-day arrive en tête de la liste. Les États-Unis demeurent le premier pays en nombre de domaines malveillants hébergés, avec également une part en forte hausse des Pays-Bas. En dehors de ces deux pays, le nombre de domaines malveillants hébergés baisse radicalement à travers le globe, y compris en Russie et en Chine.

USA, TOP 1 de l’hébergement d’exploit kits

Les États-Unis sont également les premiers en ce qui concerne l’hébergement d’exploit kits (EKs) dans le monde avec un ratio de deux pour un comparé avec le pays arrivant juste derrière en deuxième position, la Russie. De fait, à eux seuls les États-Unis hébergent plus d’EKs que l’ensemble des autres pays. Les exploits kits pour KaiXin, Sundown et Rig sont restés aussi actifs au deuxième trimestre qu’au premier. Avec des différences régionales notables : KaiXin se trouvant particulièrement en Chine, à Hong Kong et en Corée alors que Grandsoft (un nouveau venu chez les EKs), Sundown et Rig dominent partout ailleurs.

En nous basant sur ses constatations, l’Unit42 conseille aux entreprises de s’assurer que Microsoft Windows, Adobe Flash et Adobe Reader sont parfaitement à jour aussi bien en ce qui concerne les version que les mises à jour de sécurité. De plus, les entreprises devraient plutôt chercher à restreindre les privilèges des comptes utilisateurs pour limiter les dommages causés par les malwares. Enfin, les protections contre les URL et les domaines malveillants et la sécurisation des points d’accès pour prévenir l’infection par des malwares peuvent limiter l’impact des menaces dont nous discutons dans ce billet.

Les États-Unis demeurent le premier pays en nombre d’hébergement

Au total, à l’exception des Pays-Bas, le nombre de domaines malveillants hébergés hors États-Unis est nettement moins important que ce qui avait été constaté au premier trimestre.
L’Unit42 a noté une hausse importante des domaines malveillants hébergés aux Pays-Bas.
Elle a constaté une baisse importante des domaines malveillants hébergés en Russie et en Chine qui sont désormais tous deux à égalité en septième position de la liste.
Bien qu’aillant observé une forte baisse des domaines malveillants hébergés à Hong Kong, la ville demeure le troisième hébergeur du classement
L’Australie arrive en quatrième position, mais sans réelle augmentation des hébergements.
Le nombre de domaines malveillants hébergés en Allemagne a été réduit de moitié.
Le nombre de domaines malveillants hébergés en Italie et au Royaume-Uni n’a pas bougé. Toutefois, en raison du déclin généralisé hors États-Unis et Pays-Bas, ils ne sont plus à égalité en troisième position, mais en sixième.

Vulnérabilités

La CVE-2018-8174, une vulnérabilité touchant VBScript de Microsoft, qui a été utilisée dans des attaques zero-day et qui a fait l’objet d’un patch en mai, a été très largement utilisée ce trimestre. De vulnérabilités très vieilles sont toujours très utilisées. CVE-2009-0075, une faille concernant Internet Explorer 7 qui a neuf ans et demi était dans le top 5 le trimestre dernier et arrive en 4e position ce trimestre. CVE-2008-4844, une autre faille tout aussi ancienne affectant Internet Explorer 5, 6 et 7 arrive ce trimestre en 5e position. Les failles visées restent identiques. Quatre des cinq premières failles exploitées ce trimestre étaient déjà dans notre top 6 le trimestre dernier (CVE-2016-0189, CVE-2014-6332, CVE-2009-0075 et CVE-2008-4844).

Exploit kits

Les États-Unis ont été la première source de déploiement pour Grandsoft, Sundown et Rig. La deuxième nation pour KaiXindevenant ainsi la première source de déploiement pour les exploit kits en général. Dénombré, deux fois plus d’exploit kits aux États-Unis au total que dans le deuxième pays de ce classement, à savoir, la Russie. La Russie est arrivée en deuxième position mondiale uniquement pour Grandsoft, Sundown et Rig. KaiXin principalement en Chine, à Hong Kong et en Corée, avec une distribution plus limitée aux États-Unis et aux Pays-Bas.  Conformément à d’autres résultats du rapport de l’Unit42, les Pays-Bas arrivent en 5e position sur ce classement, principalement pour Grandsoft, Sundown et Rig mais aussi pour KaiXin. L’Australie arrive en 6e position. KaiXin, implanté dans la zone Asie-Pacifique, n’existe pas en Australie. Seulement Grandsoft, Sundown et Rig.

APT, Argent, Arnaque, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Leak, Particuliers, Piratage, Securite informatique, Vie privée

Un Javascript permet de piéger des boutiques en ligne

2 commentaires

Une bibliothèque Javascript hébergée par Feedify et utilisée par des sites de commerce électronique piégée à plusieurs reprises. Mission, intercepter les données bancaires des visiteurs.

Le code de la bibliothèque est généralement intégré aux pages Web de vente au détail par les administrateurs de sites et les développeurs afin d’ajouter un moyen de paiement pour les clients. Ce code – feedbackembad-min-1.0.js – se diffuse à partir des serveurs Web de Feedify. Altéré à plusieurs reprises par des pirates informatiques pour inclure le logiciel malveillant MageCart. Cet outil pirate recherche les informations de carte de crédit saisies sur les pages Web compromises. Copiées en temps réel sur un serveur externe (info-stat*ws) des pirates.

Ainsi, si quelqu’un visite un site Web piégé, leur navigateur va lancer le malware MageCart. Ce dernier va siphonner les informations confiées par le visiteur. Les internautes utilisateurs de l’un des sites de commerce basés sur le code de Feedify risquaient de tomber dans le piège. Selon Feedify, plus de 4 000 sites Web utilisent son code.

Une recherche rapide démontre quelques centaines d’utilisateurs de cette bibliothèque. MageCart est apparu sur les sites Web de British Airways et de Ticketmaster.

Argent, Communiqué de presse, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, ID, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Propriété Industrielle, Sauvegarde, Securite informatique

Menace : les documents Office peuvent être dangereux

Nous utilisons quasiment tous des documents Microsoft Office. Qu’il s’agisse de documents de travail, de reçus électroniques ou du bail d’un nouvel appartement, les documents Office sont utiles à chacun d’entre nous et c’est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d’un e-mail. Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d’une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système.

Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d’attaque et d’infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d’autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d’infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d’exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s’exécuter sur le système dès l’ouverture du document, sans aucune intervention de l’utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l’utilisateur n’a pas activé les macros, un message apparaît pour lui demander s’il souhaite le faire. Il s’agit de l’un des divers mécanismes de sécurité mis en place par Microsoft afin d’atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d’ouvrir ces fichiers et d’activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l’image de Sofacy.

Comme l’illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d’ingénierie sociale, persuadant l’utilisateur d’activer le contenu afin de pouvoir consulter l’intégralité du document. Dans l’exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l’utilisateur n’active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l’intérieur du document Office. Un exemple de ce vecteur d’attaque est la faille Zero Day CVE-2018-4878dans Adobe Flash Player, exploitée par l’incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d’exécuter du code shell intégré.

Editeur d’équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d’insérer dans des documents des équations mathématiques qui seront interprétées par l’Editeur d’équations Microsoft, un outil ayant pour vocation de faciliter leur écriture :

Comme dans notre exemple précédent, des vulnérabilités dans l’éditeur d’équations s’exploitent par l’intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d’autres, telles que CVE-2018-0802. Toutes deux touchent l’éditeur d’équations, ce qui permet d’amener l’utilisateur à ouvrir un document Office pour l’exécution de code à distance. Des vulnérabilités similaires dans l’Editeur d’équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, identifiées par les chercheurs de l’Unité 42.

Il est à noter que, l’Editeur d’équations Microsoft s’exécutant sous la forme d’un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes pour les documents Office. Ils font référence à d’autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

Un objet OLE2 (lien) s’incorpore dans un document Microsoft Word. Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant. Winword.exe recherche alors dans le handler le type « application/hta » via un objet COM, ce qui entraîne le chargement et l’exécution du script malveillant par l’application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l’exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime « text/html », au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu’Internet Explorer.

CVE-2018-8174

L’exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d’attaques d’exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon se place dans une « sandbox » (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d’autres opérations) à l’instar de tout autre code exécuté à partir d’Internet Explorer. Cette faille peut servir à en exploiter d’autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l’exécution de code arbitraire dans le cadre de l’application Word (winword.exe) et la prise de contrôle du système.

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d’une dizaine d’années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s’expliquer par la difficulté croissante d’exploiter les vulnérabilités des navigateurs, en raison du renforcement de leur protection par leurs développeurs. Quoi qu’il en soit, il est important pour les entreprises de savoir comment se défendre.

Android, backdoor, Cyber-attaque, Cybersécurité, Espionnae, ID, Identité numérique, Leak, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée

Triout, un espion dans votre smartphone

3 commentaires

Triout, un nouveau logiciel espion s’attaque aux appareils sous Android.

Triout, l’espion 2.0 ! Aucun système d’exploitation n’est à l’abri des logiciels malveillants. Les cybercriminels voudront toujours voler, espionner ou manipuler vos données. La prolifération des appareils Android – des smartphones aux tablettes et aux téléviseurs intelligents – ouvrent des nouvelles « voix » aux développeurs de logiciels malveillants. Ces appareils contiennent des micros, des caméras et un gps.

Premièrement, les chercheurs de Bitdefender identifient un nouveau logiciel espion Android, baptisé Triout. Trouvé avec une application reconditionnée, les capacités de surveillance de ce logiciel espion consiste à masquer sa présence sur l’appareil. Il va ensuite enregistrer des appels téléphoniques. Copier les SMS. Recoder les vidéos. Prendre des photos. Recueillir des coordonnées GPS.

Ensuite, il est intéressant de noter que Triout apparaît pour la première fois en Russie. La plupart des analyses/rapports proviennent d’Israël. La première apparition de l’échantillon date du 15 mai 2018, sur VirusTotal.

Enfin, l’analyse du logiciel espion indique que Triout a la capacité d’enregistrer chaque appel téléphonique. La conversation se retrouve sous la forme de fichier multimédia. L’information est communiquée au C&C avec l’identifiant de l’appareil. L’espion enregistre chaque SMS entrant (corps SMS et expéditeur SMS). Il a la possibilité d’envoyer tous les journaux d’appels. Chaque photo prise par l’appareil piégé, caméra avant ou arrière, est envoyée au C&C.

Android, Argent, Arnaque, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Leak, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie

Cybersécurité : Les Chevaux de Troie bancaires mobiles atteignent un niveau historique

Une société de cybersécurité constate lors de ces trois derniers mois que les chevaux de troie ont atteint le haut de la pile des cyber casse-tête.

Cybersécurité – Le nombre de packs d’installation pour les services bancaires mobiles – permettant d’apporter des modifications qui aident les attaquants à éviter la détection par les solutions de sécurité – a atteint plus de 61 000. Cela représente un sommet historique ; Plus du triple par rapport au premier trimestre de 2018, et plus du double par rapport au premier trimestre de 2017.

Les Chevaux de Troie mobiles sont les malwares les plus impopulaires, créés pour voler de l’argent directement depuis les comptes en banque.

Les Etats-Unis, la Russie et la Pologne sont les 3 pays avec la plus grande proportion d’utilisateurs ciblés par les malwares bancaires mobiles.

Le Cheval de Troie Hqwar est la principale source de cette croissance, avec plus de la moitié des modifications enregistrées relatives à ce malware.

De tels chiffres pour les malwares bancaires mobiles peuvent s’expliquer par l’augmentation de l’intérêt pour les malwares mobiles de manière générale (+ 421 000 sur Q2).

61 045

C’est le nombre de chevaux de Troie bancaires mobiles enregistrés sur le 2e trimestre 2018. Le pic le plus haut jusqu’alors datait de Q4 2016 et n’atteignait pas 40 000.

351 913 075

URLs uniques reconnues comme malveillantes (+24% par rapport à Q1) par des composants antivirus web.

215 762

C’est le nombre de tentatives d’infections par malware ayant pour but de voler de l’argent.

962 947 023

Attaques malveillantes en provenance de ressources en ligne de 187 pays du monde repoussées par Kaspersky ce trimestre (+20% par rapport à Q1).

Argent, Arnaque, backdoor, Banque, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, DDoS, escroquerie, Fuite de données, ID, Identité numérique, Leak, Particuliers, Piratage, ransomware, Securite informatique

Cybermenaces : Que font les pirates en 1 minute ?

Cybermenaces : Les pirates feraient perdre plus de 1 million de dollars par minute dans leurs actions malveillants.

Alors que les cybercriminels et les cybermenaces ont coûté 600 milliards de dollars à l’économie mondiale l’an dernier, la société RiskIQ, spécialiste dans la gestion des menaces numériques, a fait appel à des recherches exclusives pour examiner le volume croissant d’activités malveillantes sur Internet.

L’étude montre que, dans une seule minute employée par les pirates informatique du globe, 1 138 888 dollars sont perdus. Dans ce même laps de temps, 1 861 personnes sont victimes d’un acte de piratage. Malgré les efforts des entreprises pour se protéger contre les cybermenaces externes, en dépensant jusqu’à 171 233 dollars en 60 secondes aux USA, les pirates continuent à proliférer et à lancer des campagnes malveillantes.

« Alors qu’Internet et sa communauté continuent de croître à un rythme rapide, le ciblage de la menace se développe également à grande échelle« , déclare à DataSecurityBreach.fr le PDG de RiskIQ, Elias Manousos.

Les tactiques d’attaque

Les méthides d’attaques ? Elles vont des logiciels malveillants au phishing en passant par les attaques de chaînes d’approvisionnement ciblant des tiers. Les motivations pirates incluent l’argent, les dommages à la réputation à grande échelle, la politique et l’espionnage. Les cybercriminels continuent de réussir à déployer des tactiques à partir de 1 274 logiciels malveillants uniques (par minute) et à déployer plus de neuf publicités piégées.

Activités malveillantes

Selon la société américaine RiskIQ, toutes les minutes, 1,5 entreprises de part le monde touchée par un ransomware. Coût moyen pour les entreprises : 15 221 $. (corrections, pertes …) ; En une minute, 17 applications mobiles se retrouvent sur liste noire. 21 nouveaux domaines sont créés pour du phishing et un nouveau site utilisateur (volontaire ou non) du script d’extraction de crypto-monnaie CoinHive voit le jour.