Archives de catégorie : Virus

Actualités liées aux virus informatiques, malwares, adwares codes malveillants, trojan, keylogger, kit, shell …

Apple, Cybersécurité, Logiciels, OS X, Patch, Virus

La moitié des malwares sous Mac OS X sont des adwares

Une analyse démontre que les adwares et PUA/PUP représentaient 55.1% des menaces sur Mac OS X en France, sur les six premiers mois de l’année.

Selon l’éditeur Bitdefender, éditeur de solution de sécurité informatique, les adwares intrusifs et les PUP/PUA comptaient pour près de la moitié des menaces sous Mac OS X , aux États-Unis (46%) et en Allemagne (45%), et atteignaient une large majorité au Danemark (61%), en Roumanie (58%) et en France (55.1% – 51 529 malwares Mac OS X détectés et analysés entre janvier et juin 2015.), sur le premier semestre 2015.

En effet, la moitié des utilisateurs sous Mac OS se plaignent régulièrement des adwares et autres PUA/PUP (applications/programmes potentiellement indésirables), qui détériorent l’expérience utilisateur et peuvent poser des problèmes de sécurité. Les adwares sont installés sur les machines le plus souvent à l’insu des utilisateurs, pendant qu’ils surfent sur Internet, ou lorsqu’ils installent un programme. Une fois installé, l’adware peut modifier les résultats de recherche de l’utilisateur et lancer de nombreuses fenêtres pop-up affichant de la publicité.

L’adware peut également ouvrir ou rediriger l’utilisateur vers des pages Web qu’il n’a pas souhaité visiter. Le but principal est de gagner de l’argent en affichant une quantité phénoménale de publicité, mais les adwares peuvent aussi être très curieux et s’insérer plus en profondeur dans la machine de l’utilisateur. Ainsi, ils peuvent agir en tant que keylogger (enregistreur de frappes au clavier) et intercepter le trafic en réalisant des attaques man-in-the-middle.

« Même pour un utilisateur doté de connaissances techniques, supprimer manuellement les adwares et PUA/PUP est un vrai casse-tête qui demande parfois de redémarrer jusqu’à cinq ou six fois la machine, cela malgré les efforts d’Apple pour intégrer les dernières mesures nécessaires dans sa FAQ, » explique à DataSecurityBreach.fr, Bülent Duagi, Chef de produits Bitdefender pour Mac et iOS.

Les adwares et autres PUA/PUP deviennent un problème important sur Mac. Certains acteurs en ont pleinement conscience, à l’instar d’AV-TEST qui inclura prochainement un test de reconnaissance des logiciels indésirables pour les solutions dédiées à Mac OS X, ou encore de Google qui a annoncé une amélioration de ses standards de sécurité pour supprimer de ses services les injecteurs de publicités indésirables.

Il est recommandé aux utilisateurs Mac, de vérifier chaque étape d’installation d’un logiciel tiers pour, le cas échéant, décocher certaines cases dissimulant des adwares, et de lire les Conditions Générales d’Utilisation (CGU) pour savoir, par exemple, si des données sont collectées ou partagées. Il est bien sûr conseillé de faire attention aux publicités malveillantes souvent tape-à-l’œil qui incitent l’internaute à cliquer et qui ont pour but d’infecter sa machine.

backdoor, Cybersécurité, Mise à jour, Patch, Virus

Wifatch, le virus qui vous veut du bien

Un code viral baptisé Wifatch s’attaque aux routeurs pour mieux les protéger des autres virus.

Voilà une action qui est à saluer. Un hacker aurait mis en action depuis quelques jours un code informatique baptisé Wifatch. L’idée de ce « virus » s’infiltrer dans les routeurs pour empêcher que les autres virus, beaucoup plus malveillants, ne puissent exploiter les boîtiers. Les routeurs sont mal sécurisés, rarement mis à jour et exploités par des attaques informatiques ayant pour mission, par exemple, de participer à des Dénis Distribués de Services (DDoS) contrôlés par des bots qui contrôlent les routeurs infiltrés.

Symantec explique que ce code se tient informé via le P2P et bloque les canaux par lesquels les logiciels malveillants peuvent attaquer les routeurs que Wifatch a pris en main. Un virus qui protège les victimes potentielles en quelque sorte. Les auteurs expliquent que la création de Wifatch est due, tout d’abord, pour l’apprentissage. Deuxièmement, pour la compréhension. Troisièmement, pour le plaisir, et la quatrième et derniére raison, pour votre (et notre) sécurité. Il n’infecte que les routeurs dont le mot de passe n’a pas été changé, comme « password » !

Une belle bête qui a pointé le bout de ses bits en novembre 2014.

backdoor, Cyber-attaque, Cybersécurité, Mise à jour, Piratage, Virus

Le malware Dridex refait surface et s’attaque au Royaume-Uni

Après l’annonce par Brian Krebs des arrestations en septembre des principaux responsables supposés du groupe de cybercriminels qui avait créé et exploité le malware Dridex, Unit 42, l’équipe de recherche contre les cybermenaces de Palo Alto Networks, a constaté un net déclin de l’activité de ce cheval de Troie visant le secteur bancaire, du moins jusqu’à aujourd’hui.

Dridex est en effet réapparu sur la scène des cybermenaces avec une vaste campagne de phishing par email détectée via la plateforme Palo Alto Networks AutoFocus qui a identifié des échantillons de cette résurgence de Dridex. Fidèle à son mode opératoire d’origine, l’équipe de Dridex continue à utiliser des fichiers Microsoft Word Doc contenant des macros intégrées, tout comme elle l’avait fait début 2015. Le kit Bartalex, très apprécié de nombreux cybercriminels, construit ces macros pour envoyer son contenu malveillant. Lorsque l’utilisateur ouvre le document infecté, le code macro contacte une adresse URL et télécharge l’exécutable de Dridex. Dans la campagne d’attaque d’aujourd’hui, l’Unit42 a identifié les différentes associations de fichiers Microsoft Word Doc et d’adresses URL (à découvrir ici).

A la date d’aujourd’hui, seuls 17 des 56 antivirus du site Web de VirusTotal reconnaissent les fichiers Doc associés à cette nouvelle mouture de Dridex comme malveillante, et deux d’entre eux seulement détectent l’implantation virale associée. La plateforme Palo Alto Networks AutoFocus a pu identifier correctement tous les composants de cette menace sous la balise Unit 42 Dridex.

Cible et mode de distribution
L’analyse de l’Unit42 a révélé que ce retour de Dridex cible essentiellement le Royaume-Uni. Le blog de Dynamoo (tenu par Conrad Longmore) a publié un exemple de cette nouvelle série de messages de phishing de Dridex. Les fichiers Doc malveillants identifiés utilisent tous une convention d’appellation d’ordre similaire (par exemple “Order-SO00653333-1.doc”), et demandent au destinataire d’imprimer la pièce jointe. Cette tentative de piégeage n’est pas des plus subtiles, mais elle reste néanmoins étonnamment efficace et permet à Dridex d’arriver à ses fins.

Les cybercriminels – notamment ceux qui ont déjà atteint un certain niveau de prospérité et de longévité – vont continuer à menacer les entreprises et les particuliers, et ce malgré les revers essuyés suite à des arrestations ou d’autres ripostes contre leurs opérations. Alors même que les principaux acteurs de l’équipe de Dridex ont été éliminés de l’équation pour le moment, ils laissent derrière eux une organisation qui a de fortes chances de subsister.

Par ailleurs, d’autres groupes criminels attendent toujours en coulisses, prêts à prendre la relève de l’une ou l’autre initiative si une vacance ou une opportunité se présente. La résurgence de Dridex ce mois d’octobre 2015 montre clairement que ces menaces continuent de s’adapter et d’évoluer.

Cybersécurité, Entreprise, Mise à jour, Patch, ransomware, Virus

Le risque caché d’un malware grand public pour les entreprises

Une analyse détaillée de la façon dont un cheval de Troie bancaire ciblant les particuliers peut infecter une entreprise.

Imperva, entreprise dédiée à la protection des données des entreprises et des applications critiques sur site et dans le cloud, vient de publier son dernier rapport Hacker Intelligence Initiative (HII) intitulé « Phishing Trip to Brasil ». Ce nouveau rapport émanant de l’Application Defense Center (ADC) analyse en détail une cyberattaque ciblant les consommateurs au moyen d’un cheval de Troie bancaire et montre comment un malware grand public peut infecter une entreprise. Il prouve également qu’en dépit d’éventuelles défenses antimalware, les attaques qui visent des employés isolés peuvent facilement pénétrer dans le réseau de l’entreprise.

La majorité des infections observées se sont produites pendant les « heures de bureau », preuve que les ordinateurs infectés étaient utilisés pour le travail. Au moins 17% des machines infectées étaient directement connectées au réseau de l’entreprise, ce qui montre la facilité avec laquelle les cyberattaques ciblant les consommateurs peuvent aussi bien menacer les entreprises.

Le malware grand public utilisé fait appel à une technique d’ingénierie sociale pour contaminer la victime, qui reçoit un message d’apparence authentique contenant un lien vers un fichier zippé. Si le destinataire extrait le fichier et lance l’exécutable délibérément ou à son insu, sa machine est infectée. Le malware commence alors à espionner l’activité de l’utilisateur. Si ce dernier se connecte à un site professionnel, en l’occurrence une banque brésilienne, le malware intercepte les données de la session et les transmet à des cybercriminels. Ces individus sont experts dans l’art de pirater les identifiants, dont ils se servent ensuite pour perpétrer des fraudes ou lancer d’autres attaques.

« Notre étude souligne le chevauchement entre vie professionnelle et vie personnelle : lorsqu’un employé reçoit un message suspect, il est plus enclin à l’ouvrir si celui-ci paraît provenir d’un expéditeur en qui il a confiance, par exemple sa banque. Malheureusement, si l’employé lit l’un de ces messages sur son ordinateur personnel connecté à l’entreprise via un réseau privé virtuel (VPN), il expose son employeur à une attaque potentielle », commente Amichai Shulman, cofondateur et CTO (Chief Technology Officer) d’Imperva. « Alors que le malware évolue plus vite que la protection antivirus, les entreprises ne doivent plus mettre l’accent sur la détection des attaques mais directement sur la surveillance et la protection de leurs données, applications et comptes utilisateurs. Avec les tendances du BYOD et du télétravail, la surveillance de l’activité sur les données et fichiers est le meilleur moyen de prévenir le piratage d’informations sensibles pour l’entreprise. »

Les attaques ne sont pas le fait d’un seul groupe de cybercriminels opérant dans l’ombre. Il apparaît qu’il en existe plusieurs, aux compétences variables sur le plan technique et en matière d’ingénierie sociale, mais exploitant tous le même malware sous-jacent. Cela illustre l’industrialisation de la cybercriminalité. Certains des serveurs C&C se trouvaient sur des sites Web légitimes qui avaient été détournés, tandis que d’autres avaient été mis en place expressément dans ce but. L’étude se concentre sur du malware provenant du Brésil et ciblant des banques de ce pays mais des attaques similaires sont possibles dans d’autres pays et secteurs.

Pour réaliser cette étude, l’ADC a évalué 14 serveurs de commande et de contrôle (C&C) différents, totalisant plus de 10 000 enregistrements sur presque 5000 adresses IP distinctes.

Cybersécurité, Entreprise, Mise à jour, Propriété Industrielle, Virus

Visite des laboratoires de GDATA en Allemagne

A l’occasion des 30 ans de l’éditeur de logiciels GDATA, nous avons visité les laboratoires de ce chasseur de codes malveillants dans ses locaux de Bochum, en Allemagne.

C’est dans une immense usine désaffectée de 15.000m² de la ville de Bochum, dans le nord est de Düsseldorf, que l’éditeur de GData m’a invité à découvrir ses laboratoires de lutte contre les logiciels malveillants. L’usine, imposante, est en plein travaux. Une remise au goût du jour pour ce spécialiste des nouvelles technologie et éditeurs de logiciels de sécurité informatique. Prêt de 400 employés, dont une centaine dans le monde, travaillent pour l’entreprise fondée en 1985 par Kai Figge et Frank Kühn. Depuis, l’entreprise germanique est dirigée par Franck Heisler et le Docteur Dirk Hochstrate. Dans l’ombre, des personnalités financières de première importance comme Natalya Kasperksy.

GData c’est des technologies qui sont reconnues de part le monde, comme le DoubleScan (deux moteurs d’analyse antivirus utilisant les moteurs de Bitdefender et Close Cap) qui a fait ses preuves. Il était d’ailleurs étonnant, et rigolo, de croiser le premier antivirus de la marque, tournant sous Atari ST, G Data AntiVirusKit. Sa version PC (MS-DOS) sortira 5 ans plus tard, en 1990.

Ce qui étonne le plus, l’aspect très familial de cette entreprise. Aujourd’hui encore, la majorité des parts de l’entreprise sont détenues par les employés et les fondateurs de GData. La zone de repos de l’Academy GData vaut son pesant de cacahuète, tenue par un ancien informaticien qui, un jour, a proposé à ses patrons de se charger du vin, de la bière et autres richesses « liquides » de l’entreprise. Bilan, il est devenu le sommelier de GData avec autant de folie dans ses yeux que de passion pour la vie (et le partage de sa passion, NDR). Les équipes sont nommées par des pseudos allant de « Petit Poney » en passant par Terminator 2 pour le patron du labo, Ralf Benzmüller. Il faut dire aussi que le gaillard mesure deux Schwarzenegger à lui tout seul.

Précision Allemande

Parmi les laboratoires que nous avons pu croiser, ceux des équipes en charge des codes malveillants inconnus, ceux dont les moteurs intégrés dans les logiciels de GData ne sont pas capable de bloquer. Des bureaux spacieux, des tableaux bardés de codes et d’informations sensibles. C’est d’ailleurs dans les locaux de Bochum que le code malveillant Tyupkin / APTRASST, il s’attaque aux distributeurs de billets, a été décompilé, décortiqué, analysé. Marrante aussi, cette immense boite noire qui ferait presque peur ! La boite de pandore qui cache en son sein toutes les « merdouilles » numériques capable de mettre à mal un ordinateur, un serveur, une entreprise.

Plusieurs milliers de codes malveillants sont analysés par mois. Les appareils mobiles sont d’ailleurs devenus la première préoccupation des équipes. En plus de l’augmentation des programmes malveillants (+25 % par rapport au premier trimestre 2015), le G DATA Mobile Malware Report a mis dernièrement en lumière une nouvelle tendance : la vente d’appareils Android déjà piégé dès la sortie d’usine.

Antivirus, Chiffrement, cryptage, cryptolocker, Cybersécurité, Logiciels, Social engineering, Virus

Le ransomware : 2ème menace la plus répandue

Une étude révèle les cinq malwares les plus actifs sur Windows entre janvier et juin 2015, auprès des utilisateurs français et belges.

Bitdefender, éditeur de solutions antimalwares, vient de dévoiler les cinq malwares sur PC les plus répandus en France et en Belgique, ainsi qu’au niveau mondial, entre janvier et juin 2015. Sur les six premiers mois de l’année, Bitdefender a identifié et bloqué JS:Trojan.Ransom.A, l’une des séries de malwares les plus actifs, et qui se classe en 2ème position des menaces les plus répandues auprès des utilisateurs de PC français et belges. Ce type de menaces, les ransomwares, avait déjà beaucoup fait parler en 2014, lorsque Icepol avait fait sa première réelle victime (un homme s’était suicidé après que son ordinateur eut été bloqué). Des variantes plus récentes sont apparues sur Android, avec notamment Koler, un ransomware qui affichait un message géo localisé des forces de l’ordre en prétextant la présence de contenu pédopornographique sur l’appareil de l’utilisateur.

Au niveau mondial, c’est Sality, un vieux code persistant de 12 ans, considéré comme l’un des codes malveillants les plus complexes, qui se classe en 2ème position des malwares les plus répandus ces derniers mois sur PC. « Malgré sa résistance aux mécanismes antimalwares, Sality n’est pas infaillible, » explique Bogdan Botezatu, Analyste Senior en e-menaces chez Bitdefender. « Il peut devenir vulnérable puisque ses mises à jour ne sont pas vérifiées et peuvent donc être détournées. En effet, la mise à jour peut être remplacée par un outil de désinfection. »

Enfin, Bitdefender a noté et bloqué un autre logiciel malveillant très résistant, Conficker, qui figure parmi les 5 menaces les plus répandues dans le monde, notamment en France et en Belgique. Cette menace est la preuve vivante qu’un vieux logiciel non patché reste la porte d’entrée préférée des pirates informatiques. « Ce botnet est actif depuis 2008, bien que ses créateurs ne travaillent plus actuellement dessus » ajoute à datasecuritybreach.fr Bogdan Botezatu. « Il doit sa longévité aux vieux systèmes non patchés. Malgré la disponibilité de correctifs, les utilisateurs n’ont pas tous mis à jour leurs ordinateurs. »

TOP 5 DES MALWARES SUR PC EN FRANCE ET EN BELGIQUE

Trojan.VBS.UDE
Ce trojan downloader prend la forme d’un script VBS (Microsoft Visual Basic Scripting Edition). Son rôle est de télécharger un autre script servant de relais depuis un service d’hébergement en ligne ou directement depuis un site Web afin de donner la main en finalité à la réelle charge malveillante (un fichier exécutable). Le code contenant la charge malveillante dans le VBS est non seulement obfusqué, mais aussi dissimulé en insertion entre diverses lignes de commentaires.

JS:Trojan.Ransom.A
Trojan.Ransom.A est un JavaScript qui verrouille l’écran de l’utilisateur, et prétend que les autorités ont pris le contrôle de l’ordinateur en raison d’activités illégales. Un écran de blocage s’affiche alors, ce qui empêche l’utilisateur d’accéder à ses fichiers ou à la plupart des fonctionnalités du navigateur. Ce ransomware très dangereux est capable d’infecter n’importe quel appareil Windows, Mac OS ou Linux.
     
Trojan.VBS.UCZ
Ce cheval de Troie se cache sous les lignes de texte en commentaires et s’exécute le plus souvent au démarrage.

Win32.Worm.Downadup.Gen (Conficker)
Le ver Downadup, aussi connu sous le nom de Conficker, se répand via des supports amovibles et une vulnérabilité Windows XP (désormais patchée). Il est capable de télécharger  et d’exécuter une variété d’autres fichiers et de désactiver le logiciel de sécurité, tout en empêchant l’utilisateur d’accéder aux sites de sécurité, de lancer le PC en mode sans échec ou autres.
     
JS :Trojan.JS.Likejack.A
Cet outil, écrit en JavaScript, permet de modifier les « Like » de Facebook. Le likejacking (détournement de Like) est une variante du clickjacking (détournement de clic) où un code malveillant est associé au bouton « Like » de Facebook.

TOP 5 DES MALWARES SUR PC DANS LE MONDE

Trojan.LNK.Gen
Le fameux « virus au raccourci » peut être utilisé pour répandre des fichiers malveillants, dont le célèbre malware Stuxnet.

Win32.Sality.3
Sality contamine les fichiers exécutables. Sa capacité à désactiver les paramètres de sécurité et bloquer l’antivirus explique sa longévité (il existe depuis 2003). Il peut s’injecter lui-même dans tous les processus en cours et infecter des lecteurs amovibles en copiant son propre code ainsi qu’un fichier autorun. Il contacte un serveur C&C et télécharge des charges utiles malveillantes et des fichiers exécutables supplémentaires, fournissant ainsi une porte d’accès aux intrus.

Trojan.AutorunINF.Gen
Ce fichier autorun est traditionnellement utilisé pour la propagation de vers, tels que Conficker. Il s’exécute automatiquement quand le système est connecté à un support de stockage externe de type clef USB ou DVD. « Cette menace montre qu’il existe toujours des utilisateurs de Windows XP, malgré la fin du support de ce système en avril 2014, » déclare Bogdan Botezatu. « En effet, ils représentent encore 11,7% des utilisateurs dans le monde, ce qui devrait soulever des questions sur les vulnérabilités toujours susceptibles d’être exploitées. »

Win32.Worm.Downadup.Gen (Conficker)
Le ver Downadup, aussi connu sous le nom de Conficker, se répand via des supports amovibles et une vulnérabilité Windows XP (désormais patchée). Il est capable de télécharger  et d’exécuter une variété d’autres fichiers et de désactiver le logiciel de sécurité, tout en empêchant l’utilisateur d’accéder aux sites de sécurité, de lancer le PC en mode sans échec ou autres.

Gen:Variant.Buzy.298 (Ramnit)
Ce ver, qui fait partie de la famille de malwares Win32/Ramnit, se propage via des supports amovibles, des kits d’exploits ou encore couplé dans des applications indésirables (de type adware). Il est capable de télécharger et d’installer un autre malware.

Étude basée sur les informations techniques issues des chercheurs en malwares, Dragos Gavrilut et Alex Baetu.

Android, Antivirus, Cyber-attaque, Logiciels, Piratage, Sécurité, Smartphone, Virus

21 modèles de smartphones vendus en ligne infectés par un malware

G DATA a détecté 21 modèles de smartphones vendus en ligne infectés. L’éditeur de solutions de sécurité publie son Mobile Malware Report du second trimestre 2015.

Les appareils mobiles renferment une quantité importante de données personnelles. Un tel contenu attise l’appétit de sociétés mal intentionnées et des cybercriminels. En plus de l’augmentation des programmes malveillants (+25 % par rapport au premier trimestre 2015), le G DATA Mobile Malware Report met en lumière une nouvelle tendance : plusieurs appareils Android vendus en ligne sont équipés de logiciels malveillants. 21 modèles ont été découverts par G DATA depuis le début de l’année 2015.

« On estime à 2,5 milliards le nombre d’individus dans le monde connectés grâce à leur appareil mobile. Grâce aux smartphones et aux tablettes, il est possible de chatter, naviguer sur internet ou faire des achats à n’importe quel moment et partout. Parallèlement, le nombre d’applications malveillantes a explosé depuis les trois dernières années », explique Christian Geschkat, responsable des solutions mobiles chez G DATA. « Nous observons depuis l’année dernière une nette augmentation d’appareils qui sont livrés directement avec des programmes malveillants et d’espionnage. »

Smartphone infecté en vente libre

Depuis le début de l’année 2015, les experts G DATA ont détecté et analysé 21 modèles de téléphones vendus sur des sites d’e-commerce et d’enchères internationaux, dont les firmwares intégraient des logiciels malveillants. Des modèles tels que le MI3 de Xiaomi, le G510 de Huawei ou le S860 de Lenovo sont concernés. La liste complète des 21 appareils infectés est disponible dans le G DATA Mobile Malware Report du 2e trimestre 2015. Les investigations menées montrent que ces appareils ont été modifiés par un maillon de la chaîne de distribution : certains intermédiaires, en plus de leur marge sur la revente de l’appareil, tablent sur des revenus complémentaires par la commercialisation de données personnelles et la publicité ciblée. Cette situation implique que les modèles incriminés vendus en ligne ne sont pas tous infectés.

À l’usage, ces appareils infectés peuvent être totalement contrôlés par un tiers. L’affichage de publicités et le téléchargement automatiquement d’applications non désirées est la partie émergée de l’iceberg. Envoi de SMS surtaxés ou prise en distance de la caméra sont d’autres actions possibles.

Pour vérifier si son appareil Android est infecté, l’utilisateur peut l’analyser avec la version gratuite G DATA INTERNET SECURITY FOR ANDROID light disponible sur le Google PlayStore.

Plus d’un million de nouveaux programmes malveillants sur Android depuis 6 mois
Au deuxième trimestre 2015, 6100 nouveaux programmes malveillants ciblant Android étaient détectés chaque jour. Il y en avait 4900 au premier trimestre 2015, ce qui représente une augmentation de 25%.

 

Antivirus, Chiffrement, cryptage, Cybersécurité, Logiciels, Mise à jour, Patch, Virus

Le processeur Qualcomm Snapdragon 820 équipé d’un anti malwares

Qualcomm Snapdragon Smart Protect équipera le prochain Snapdragon 820 de l’analyse comportementale afin de renforcer la sécurité et la détection de logiciels malveillants.

Qualcomm renforce son leadership technologique en matière de sécurité mobile avec l’introduction de Qualcomm Snapdragon™ Smart Protect. Le futur processeur Qualcomm Snapdragon 820 sera le premier équipé de Snapdragon Smart Protect, proposant le « machine learning » (apprentissage automatique) directement sur le terminal et en temps réel. Snapdragon Smart Protect va notamment permettre la détection précise et efficace de menaces émanant de malwares de type « zero-day » et améliorer ainsi la protection des données personnelles et la sécurité des terminaux. Snapdragon Smart Protect est également la première application à utiliser la technologie Qualcomm® Zeroth™ venant renforcer le champs d’action de solutions anti-malware conventionnelles, grâce à la détection de logiciels malveillants en temps réel, la classification et l’analyse des causes à un moteur d’analyse comportementale basé sur l’informatique cognitive.

Contrefaçon, Cyber-attaque, Cybersécurité, Entreprise, Piratage, Social engineering, Virus, Wordpress

Un faux site de l’Electronic Frontier Foundation diffuse des malwares

Un site Internet usurpant l’image de l’Electronic Frontier Foundation bloqué par Google. Il diffusait des logiciels malveillants.

L’Electronic Frontier Foundation est une fondation en charge de la préservation de la vie privée dans le monde numérique. L’EFF vient d’être aidé par Google à faire disparaitre un site Internet usurpant son nom et son image. Le nom de domaine electronicfrontierfoundation.org a été ouvert le 4 août dernier. Il diffusait des logiciels malveillants via de fausses publicités et mises à jour.

Les codes malveillants font partie de la famille de Pawn Storm, une attaque découverte par Trend Micro, en 2014. Les pirates, derrière Pawn, seraient des russes et agiraient sur la toile depuis 2007. L’une des failles, un 0day Oracle. Certains chercheurs en cyber-sécurité ont noté que les attaques de Pawn Storm utilisent des malwares personnalisés et ont des objectifs qui sont étonnamment semblables aux attaques Sednit et Sofacy, d’autres campagnes de diffusion de logiciels malveillants. Des attaques initiées par le groupe Advanced Persistent Threat 28 (APT28). Selon l’américain FireEye, APT28 serait liée au gouvernement russe. L’adresse electronicfrontierfoundation.org redirige dorénavant vers la véritable adresse de l’EFF : eff.org.

Adobe, Android, BYOD, Cloud, cryptolocker, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, ios, Leak, Logiciels, Mise à jour, OS X, Patch, Piratage, ransomware, Sécurité, Smartphone, Virus, VPN, Windows phone, Wordpress, Wordpress

État des lieux de l’Internet du 2ème trimestre 2015

Akamai Technologies, Inc., leader mondial des services de réseau de diffusion de contenu (CDN), annonce la disponibilité de son rapport de sécurité « État les lieux de l’Internet » du 2ème trimestre 2015. Il livre une analyse et un éclairage sur les cyber-menaces qui pèsent sur la sécurité cloud à l’échelle mondiale.

« La menace des attaques par déni de service distribué (DDoS) et applicatives web ne cesse de s’intensifier chaque trimestre », précise John Summers, vice-président, Cloud Security Business Unit d’Akamai. « Les acteurs malveillants brouillent perpétuellement la donne en changeant de tactique, en dénichant de nouvelles vulnérabilités, voire en remettant au goût du jour des techniques considérées comme obsolètes. En analysant les attaques observées sur nos réseaux, nous sommes en mesure d’inventorier les menaces et tendances naissantes et de communiquer au public les informations indispensables à la consolidation de leurs réseaux, sites web et applications, et à l’amélioration de leurs profils de sécurité cloud. »

Dans ce rapport sont analysés deux vecteurs d’attaques applicatives web supplémentaires, mais aussi examiné les menaces représentées par le trafic TOR (routage en oignon) et même mis au jour certaines vulnérabilités dans des modules externes WordPress tiers, en cours de publication dans le dictionnaire CVE », ajoute-t-il. « Plus les menaces de cybersécurité sont documentées, mieux la défense d’une entreprise peut être opérée.

Panorama de l’activité des attaques DDoS
Sur les trois derniers trimestres, il apparaît que le nombre d’attaques DDoS double d’une année sur l’autre. Si, au cours de ce trimestre, les pirates ont privilégié les attaques de moindre débit mais de plus longue durée, toujours est-il que le nombre de méga-attaques ne cesse de croître. Au 2ème trimestre 2015, 12 attaques à un débit supérieur à 100 Gb/s ont été recensées et 5 autres culminant à plus de 50 Mp/s (millions de paquets par seconde). Très peu d’entreprises sont capables de résister par elles-mêmes à des attaques de cette ampleur.

L’attaque DDoS la plus massive au 2ème trimestre 2015, mesurée à plus de 240 Gb/s, a duré plus de 13 heures. Le débit crête est généralement limité à une fenêtre d’une à deux heures. Sur cette même période, l’une des attaques présentant le débit de paquets le plus élevé jamais encore enregistré sur le réseau Prolexic Routed a également été déclenchée (à un pic de 214 Mp/s). Ce volume d’attaques est capable de paralyser des routeurs de niveau 1 comme ceux utilisés par les fournisseurs d’accès Internet.

L’activité des attaques DDoS a établi un nouveau record au 2ème trimestre 2015, en hausse de 132 % à trimestre comparable un an auparavant, et de 7 % par rapport au 1er trimestre 2015. Si le débit crête et le volume maximal moyens des attaques ont légèrement progressé au 2ème trimestre 2015 comparativement au trimestre précédent, ils demeurent nettement en-deçà des valeurs maximales relevées au deuxième trimestre 2014.

SYN et SSDP (Simple Service Discovery Protocol) sont les vecteurs les plus couramment utilisés ce trimestre, chacun d’eux représentant approximativement 16 % du trafic d’attaques DDoS. Eu égard à la prolifération d’équipements électroniques de loisirs non sécurisés, connectés à Internet via le protocole UPuP (Universal Plug & Play), leur utilisation comme réflecteurs SSDP demeure attrayante. Quasiment inexistant il y a encore un an, le SSDP s’est imposé comme l’un des principaux vecteurs d’attaques ces trois derniers trimestres. Quant à la technique par saturation de type « SYN flood », elle continue à dominer les attaques volumétriques et ce, depuis la première édition du rapport de sécurité parue au troisième trimestre 2011.

Le secteur des jeux en ligne demeure une cible privilégiée depuis le 2ème trimestre 2014, systématiquement visé par environ 35 % des attaques DDoS. Au cours des deux derniers trimestres, la majorité du trafic d’attaques ne provenant pas d’adresses usurpées a continué à émaner de la Chine, pays qui figure dans le trio de tête depuis la parution du premier rapport au troisième trimestre 2011.

Activité des attaques applicatives web
Des statistiques sur les attaques applicatives web ont commencé à être publiées par Akamai au premier trimestre 2015. Ce trimestre, deux autres vecteurs d’attaques ont été analysés : les failles Shellshock et XSS (cross-site scripting).

Shellshock, vulnérabilité logicielle présente dans Bash mise au jour en septembre 2014, a été exploitée dans 49 % des attaques applicatives web ce trimestre. En réalité, 95 % des attaques Shellshock ont visé un seul client appartenant au secteur des services financiers, dans le cadre d’une campagne qui a duré plusieurs semaines en début de trimestre. Généralement menée sur HTTPS, cette campagne a rééquilibré l’utilisation des protocoles HTTPS et HTTP. Au premier trimestre 2015 en effet, seulement 9 % des attaques avaient été dirigées sur HTTPS, contre 56 % ce trimestre.

Par ailleurs, les attaques par injection SQL (SQLi) représentent 26 % de l’ensemble des attaques, soit une progression de plus de 75% des alertes de ce type rien qu’au deuxième trimestre. À l’inverse, les attaques de type LFI (inclusion de fichier local) s’inscrivent en net recul. Principal vecteur d’attaques applicatives web au premier trimestre 2015, LFI n’est plus à l’origine que de 18 % des alertes au deuxième trimestre 2015. L’inclusion de fichier distant (RFI), l’injection PHP (PHPi), l’injection de commandes (CMDi), l’injection OGNL Java (JAVAi) et le chargement de fichier malveillant (MFU) comptent, pour leur part, pour 7 % des attaques applicatives web.

Comme au premier trimestre 2015, ce sont les secteurs des services financiers et du commerce et de la grande distribution qui ont été les plus fréquemment touchés par les attaques.

La menace des modules externes et thèmes WordPress tiers
WordPress, plate-forme la plus en vogue dans le monde pour la création de sites web et de blogues, est une cible de choix pour des pirates qui s’attachent à exploiter des centaines de vulnérabilités connues pour créer des botnets, disséminer des logiciels malveillants et lancer des campagnes DDoS.

Le code des modules externes tiers est très peu, voire nullement, contrôlé. Afin de mieux cerner les menaces, Akamai a testé plus de 1 300 modules externes et thèmes parmi les plus répandus. Résultat : 25 d’entre eux présentaient au moins une vulnérabilité nouvelle. Dans certains cas, ils en comprenaient même plusieurs puisque 49 exploits potentiels ont été relevés au total. Une liste exhaustive des vulnérabilités mises au jour figure dans le rapport, accompagnée de recommandations pour sécuriser les installations WordPress.

Les forces et les faiblesses de TOR
Le projet TOR (The Onion Router, pour « routage en oignon ») fait en sorte que le nœud d’entrée ne soit pas identique au nœud de sortie, garantissant ainsi l’anonymat des utilisateurs. Bien que nombre des utilisations de TOR soient légitimes, son anonymat présente de l’intérêt pour les acteurs malveillants. Pour évaluer les risques liés à l’autorisation de trafic TOR à destination de sites web, Akamai a analysé ce trafic web à l’échelle de sa base de clients Kona sur une période de sept jours.

L’analyse a révélé que 99 % des attaques émanaient d’adresses IP non-TOR. Néanmoins, une requête sur 380 issues de nœuds de sortie TOR était malveillante, contre une sur 11 500 seulement en provenance d’adresses IP non-TOR. Ceci dit, le blocage de trafic TOR pourrait se révéler préjudiciable sur le plan économique. Toutefois, les requêtes HTTP légitimes vers les pages d’e-commerce correspondantes font état de taux de conversion équivalents entre nœuds de sortie TOR et adresses IP non-TOR. Le rapport.