Archives de catégorie : Virus

Actualités liées aux virus informatiques, malwares, adwares codes malveillants, trojan, keylogger, kit, shell …

La guerre est ouverte contre ShyLock

Un consortium composé d’éditeur d’antivirus, d’agences de répression, dot la police Française, et de plusieurs entreprises du secteur bancaire a choisi de renforcer la lutte contre les cyber-attaques utilisant le trojan Shylock en s’attaquant directement aux serveurs et domaines utilisés par les criminels. L’éditeur de solution de sécurité informatique Kaspersky Lab a fourni son service d’intelligence informatique pour traquer les menaces et les logiciels malveillants.

Les 8 et 9 juillet 2014, les agences de répression ont pris des mesures pour désorganiser le système dont dépend Shylock pour fonctionner efficacement. Elles ont agi notamment pour saisir des serveurs qui forment le système de commande et de contrôle du trojan, et prendre le contrôle des domaines qu’utilise Shylock pour la communication entre les ordinateurs infectés.

L’opération, coordonnée par l’Agence nationale contre le crime (NCA) du Royaume-Uni, a rassemblé des partenaires des agences de répression et des secteurs privés, y compris Europol, le FBI, BAE Systems Applied Intelligence, Dell SecureWorks et l’agence de renseignement et de sécurité du Royaume-Uni (GCHQ), afin de combattre ensemble la menace.

Des enquêtes ont été lancées depuis le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol à La Haye. Des enquêteurs du Royaume-Uni (NCA), des États-Unis (FBI), d’Italie, des Pays-Bas et de Turquie ont uni leurs forces pour coordonner l’opération dans leurs pays, de concert avec des homologues en Allemagne, en France et en Pologne. La coordination assurée par Europol a joué un rôle essentiel pour stopper les serveurs constituant le cœur des botnets, des logiciels malveillants et de l’architecture Shylock. Le CERT de l’UE a participé à l’action et diffusé des informations sur les domaines malveillants à ses confrères.

Lors de cette opération, des parties jusque-là inconnues de l’architecture de Shylock ont été découvertes, ce qui a permis de lancer immédiatement des actions de suivi et de les coordonner depuis le centre opérationnel de La Haye.

Shylock – nommé ainsi parce que son code contient des extraits du Marchand de Venise de Shakespeare – a infecté au moins 30 000 ordinateurs dans le monde exécutant Microsoft Windows. Des renseignements suggèrent que Shylock vise le Royaume-Uni plus que tout autre pays ; cependant, les États-Unis, l’Italie et la Turquie sont également dans le collimateur du code malveillant. On estime que les développeurs suspects sont basés dans d’autres pays.

Les victimes sont généralement infectées en cliquant sur des liens malveillants, puis amenées à leur insu à télécharger et exécuter le logiciel malveillant. Shylock cherche ensuite à accéder à des fonds détenus sur des comptes commerciaux ou de particuliers, et à les transférer aux contrôleurs criminels. Une opération qui a pu aider les cyber-investigateurs de première ligne, coordonnés par l’agence NCA du Royaume-Uni, et en présence sur place du FBI et de collègues d’Italie, de Turquie et des Pays-Bas, tout en établissant des liens virtuels vers des cyber-unités en Allemagne, en France et en Pologne.

« La NCA prend les devants en s’attaquant à une cyber-menace ciblant les entreprises et les particuliers dans le monde entier. Le but est de porter un coup violant à l’infrastructure de Shylock, et elle démontre comment nous utilisons des partenariats entre les divers secteurs, et outre les barrières nationales pour réduire la cybercriminalité » explique Andy Archibald, Deputy Director of the NCA’s National Cyber Crime Unit au Royaume-Uni.

Les campagnes de fraude bancaire ne sont plus des cas isolés. Nous avons assisté à une hausse considérable de ces types d’opérations malveillantes. Rien qu’en 2013, le nombre de cyber-attaques basées sur des logiciels malveillants conçus pour dérober des données financières a augmenté de 27,6 % pour atteindre les 28,4 millions.

Avira ouvre un laboratoire de sécurité numérique

L’expert en sécurité Avira a annoncé aujourd’hui l’ouverture d’un nouveau laboratoire de Recherche et Développement sur la sécurité numérique à son siège américain de Burlingame.

Le nouveau R&D Digital Security Lab concevra et mettra au point les produits de sécurité de nouvelle génération de la société, et s’intéressera plus particulièrement aux questions de sécurité relatives au marché mobile à l’horizon 2-5 ans.

L’un des grands enjeux pour l’avenir de la sécurité sera la protection de l’utilisateur, quelle que soit la façon dont il choisira de se connecter à Internet. Nous continuerons d’assister au développement d’un paysage multi-support et multiplateforme vers « l’Internet du tout » qui est déjà en train de s’installer.

« Avira vit une époque palpitante, car nous sommes chargés d’imaginer ce que le monde du logiciel sera pour les consommateurs dans deux à cinq ans, et quelles seront les menaces pour la sécurité en ligne », a déclaré Leon Crutchley, directeur du R&D Digital Security Lab d’Avira. « Notre équipe mettra au point les concepts des logiciels de sécurité du futur, présentera les prototypes à l’équipe de direction pour qu’elle les évalue, puis travaillera en collaboration avec nos équipes de produit pour transformer les prototypes les mieux adaptés en produits de consommation et les lancer sur le marché. »

Le R&D Digital Security Lab d’Avira travaille actuellement sur des questions telles que l’identification et l’authentification des personnes, les communications et transactions en ligne, et la définition de la confidentialité en ligne. La fonction Identity Safeguard mise au point pour les applications mobiles iOS et Android destinées aux consommateurs, annoncée en avril, est le premier exemple du travail réalisé par le laboratoire.

Les cyber-attaques MiniDuke font leur retour en France

Des chercheurs découvrent que les implants MiniDuke mis à jour en 2013 n’ont pas disparu et sont même utilisés dans le cadre de cyber attaques actives ciblant les gouvernements et d’autres entités.

En outre, la nouvelle plate-forme MiniDuke, appelée BotGenStudio, pourrait non seulement être utilisée par des cybercriminels dans le cadre d’attaques ciblées, mais également par des forces de l’ordre et des criminels traditionnels. La nouvelle vague d’attaques enregistrée en 2014 est quelque peu différente de celle décelée en 2013.

Mode opératoire

La nouvelle backdoor principale de MiniDuke (appelé TinyBaron ou CosmicDuke) est codée grâce à un framework personnalisable appelé BotGenStudio. Il est suffisamment flexible pour activer ou désactiver des composants lorsque le bot est construit. Les composants peuvent être divisés en 3 groupes : persistance (le malware peut se lancer via Windows Task Scheduler), reconnaissance (le malware peut voler un grand nombre d’informations) et exfiltration (le malware dépose plusieurs connecteurs réseaux pour aspirer les données)

Typologie de cibles

Alors qu’en 2013 MiniDuke était utilisé pour cibler des entités gouvernementales, la nouvelle version CosmicDuke cible également les organisations diplomatiques, le secteur de l’énergie, les opérateurs télécoms, des prestataires dans l’armée mais également des individus impliqués dans la vente et le trafic de substance illicites (notamment des stéroïdes et des hormones).

Zones géographiques ciblées

Les utilisateurs des anciens serveurs MiniDuke ciblent la France, l’Australie, la Belgique, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne, l’Ukraine et les Etats-Unis. CosmicDuke est plutôt intéressé par la Grande Bretagne, les Etats Unis, la Géorgie, la Russie, le Kazakhstan, l’Inde, le Belarus, Chypre, l’Ukraine et la Lituanie.

Rythme de travail classique

Les cybercriminels semblent travailler selon un rythme de travail classique du lundi au vendredi, même s’il leur arrive de travailler le week-end également. Leurs horaires de travail sont également classiques : de 7h à 20h CET (mais la majeur partie du travail est réalisée entre 7h et 17h). (Kaspersky)

Fraude bancaire : une histoire de Luuuk

Les experts de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab ont découvert les preuves d’une attaque ciblée contre les clients d’une grande banque européenne. Selon les fichiers journaux du serveur utilisé par les auteurs de l’attaque, il semblerait qu’en l’espace d’à peine une semaine, des cybercriminels aient dérobé plus d’un demi-million d’euros sur des comptes au sein de l’établissement bancaire. Les premiers signes de cette campagne de fraude ont été détectés le 20 janvier 2014 lorsque les experts de Kaspersky Lab ont repéré un serveur de commande et de contrôle (C&C) sur le réseau. Le tableau de bord du serveur a révélé l’existence d’un cheval de Troie destiné à siphonner les comptes des clients de la banque.

Sur le serveur, les experts ont également trouvé des journaux de transaction, détaillant les montants prélevés et les comptes piratés. Au total, ce sont plus de 190 victimes qui pourraient être recensées, la plupart résidant en Italie et en Turquie. Selon ces informations, les sommes volées sur chaque compte vont de 1 700 à 39 000 euros. La campagne durait depuis au moins une semaine au moment de la découverte du serveur C&C, ayant commencé au plus tard le 13 janvier 2014. A ce moment-là, plus de 500 000 euros avaient été dérobés. Deux jours après cette découverte par l’équipe GReAT, les cybercriminels avaient fait disparaître toute trace qui aurait permis de remonter jusqu’à eux. Cependant, les experts estiment que cela est probablement lié à des modifications de l’infrastructure technique employée par cette campagne malveillante, dénommée The Luuuk, plutôt qu’à son interruption.

« Peu après la détection de ce serveur C&C, nous avons contacté les services de sécurité de la banque et les pouvoirs publics, en leur remettant tous les éléments en notre possession », précise Vicente Diaz, chercheur principal en sécurité chez Kaspersky Lab.

Outils malveillants employés
Dans le cas de The Luuuk, les experts ont des raisons de penser que d’importantes données financières ont été interceptées automatiquement et que des transactions frauduleuses ont été exécutées dès que les victimes se sont connectées à leurs comptes bancaires en ligne. « Sur le serveur C&C, nous n’avons trouvé aucune information indiquant quel programme malveillant spécifique a été utilisé dans cette campagne. Cependant, de nombreuses variantes existantes de Zeus (Citadel, SpyEye, IceIX, etc.) possèdent la capacité nécessaire. Nous pensons donc que le malware employé en l’occurrence pourrait être une variante de Zeus injectant du code Web sophistiqué chez ses victimes », explique Vicente Diaz.

Techniques de détournement de fonds
L’argent volé a été transféré sur les comptes des escrocs de manière assez inhabituelle. Nos experts ont remarqué une originalité dans l’organisation des « mules », c’est-à-dire des comparses qui reçoivent une partie du butin sur des comptes spécialement créés à cet effet et retirent l’argent à des distributeurs. Il s’avère que plusieurs groupes distincts de « mules » se sont vus chargés du transfert de différents montants, l’un étant responsable des sommes de 40 000 à 50 000 euros, un autre de 15 000 à 20 000 et un troisième de 2 000 euros au maximum. « Ces écarts dans les montants confiés aux différentes mules pourraient refléter divers degrés de confiance dans chacune. Nous savons que les membres de ces réseaux dupent souvent leurs complices et disparaissent avec l’argent retiré. Les instigateurs de The Luuuk peuvent donc se couvrir contre ce risque en constituant différents groupes plus ou moins fiables et en leur confiant des sommes plus ou moins élevées », conclut Vicente Diaz. Le serveur C&C lié à The Luuuk a été fermé peu après le début de l’enquête. Cependant, le niveau de complexité de cette opération de type MITB (man in the browser) laisse supposer que les auteurs de l’attaque vont continuer à rechercher de nouvelles victimes.

Des applis Google Play voleuses de données bancaires

Lookout a repéré cette semaine dans le Google Play store une application de banque en ligne clonée, conçue pour subtiliser les identifiants des utilisateurs, mais étrangement sans les mots de passe.

Nous avons aussitôt alerté Google qui a dans la foulée supprimé l’application concernée. Nous tenons à préciser que tous les utilisateurs de Lookout sont protégés contre cette menace. Le programme malveillant incriminé, baptisé « BankMirage », ciblait les clients de la banque israélienne Mizrahi. Les auteurs ont ainsi ajouté une sorte de surcouche à l’application légitime, proposant ensuite leur création de nouveau sur le Google Play store en la faisant passer pour celle de l’établissement bancaire.

Le mode de fonctionnement est simple : dès que la victime lance l’application, le programme malveillant charge le formulaire de connexion, à savoir une page html intégrée à l’application et créée pour dérober l’identifiant de la personne dès qu’elle le saisit. Il s’agit donc d’une tentative de hameçonnage (phishing) des données personnelles. Ce programme a toutefois une étrange particularité : il récupère uniquement l’identifiant de connexion de l’utilisateur. Ses auteurs ont inséré un commentaire dans le code qui commande de collecter uniquement cet élément, et pas le mot de passe.

Une fois l’identifiant récupéré et stocké, l’application envoie un message à l’utilisateur victime pour lui signaler l’échec de sa tentative de connexion. Il est invité à ce moment-là à réinstaller la « vraie » application légitime de la banque sur le Play Store.

Les programmes malveillants qui se font passer pour des applications de banque en ligne comptent parmi les plus dangereux, dans la mesure où ils s’intéressent à des données particulièrement sensibles. Ce type de programme est très présent dans l’Union européenne, dans les pays de la région Asie-Pacifique, et dans une moindre mesure aux Etats-Unis. Nous avons déjà repéré des programmes de banque en ligne créés en Corée qui, au lieu de se glisser dans le catalogue de Google Play, se font carrément passer pour l’application Google Play Store elle-même.

« PlayBanker » en est un exemple : il se fait passer pour Google Play et envoie des alertes aux utilisateurs victimes pour les pousser à télécharger des applications de banque en ligne pirates. Une autre variante, « BankUn », vérifie pour sa part au préalable la présence des huit plus grandes applications légitimes des banques en ligne coréennes, pour les remplacer ensuite par des versions pirates.

Il est hélas difficile pour un utilisateur de se prémunir d’une application de ce type parvenant à se faire référencer dans le Google Play store ; les moyens de protection classiques ne suffisent pas. Comme par exemple le fait de vérifier que le développeur de l’application est digne de confiance, ou de s’assurer que la case « Sources inconnues » (dans les paramètres système du téléphone) n’est pas cochée afin de bloquer l’installation furtive d’applications téléchargées à son insu.

Mieux vaut faire preuve de bon sens : la présence de deux versions apparemment identiques d’une même application peut signifier que l’une d’elles est illégitime. Pour être protégé à 100% contre ce type de menace, la meilleure solution consiste à installer sur le téléphone une solution de sécurité telle que Lookout, qui analyse systématiquement toutes les applications téléchargées.

Un outil Ransomware Removal supprime Simplocker

L’éditeur de solution de sécurité informatique AVAST annonce la sortie d’avast! Ransomware Removal, une nouvelle application gratuite qui élimine les logiciels de rançon Android et déchiffre les fichiers verrouillés et pris en otages.

Avec la nouvelle application pour smartphones et tablettes Android, AVAST propose une solution rapide et gratuite à la menace Simplocker détectée début juin. Simplocker est un nouveau virus Android qui chiffre les photos, les vidéos et les documents stockés sur les smartphones et les tablettes, et exige ensuite un paiement pour les déchiffrer. « Simplocker bloque l’accès aux fichiers stockés sur des appareils mobiles. Sans notre outil gratuit de suppression de logiciel de rançon, les utilisateurs infectés doivent payer 21 $ pour récupérer l’accès à leurs fichiers personnels, déclare à Data Security Breach Ondrej Vlcek, directeur technique d’AVAST Software. Même si nous voyons une croissance exponentielle des logiciels de rançon sur les appareils mobiles, la plupart des menaces de chiffrement des fichiers personnels sont fictives. Simplocker étant le premier logiciel de rançon qui chiffre véritablement ces fichiers, nous avons développé un outil gratuit pour que les utilisateurs puissent les restaurer. »

Toute personne infectée par Simplocker ou tout autre type de logiciel de rançon peut télécharger l’outil gratuit avast! Ransomware Removal en visitant la version web du Google Play Store et en installant ensuite l’application à distance sur son appareil infecté. Une fois celle-ci installée, l’utilisateur peut lancer facilement l’application et éliminer la menace. L’outil analysera ensuite l’appareil, supprimera le virus et déchiffrera les fichiers de l’utilisateur.

Programme espion d’usine dans un clone Android

Les experts de l’éditeur de solutions de sécurité G DATA ont analysé un smartphone livré en sortie d’usine avec un programme espion. Le code malveillant est déguisé en service Google Play Store et fait partie des programmes préinstallés. Ainsi équipé, le smartphone envoie les données personnelles de l’utilisateur à son insu vers un serveur situé en Chine. La prise de contrôle à distance de l’appareil peut être totale. Le modèle concerné est le N9500 fabriqué par l’entreprise chinoise Star. Ce clone d’un modèle connu est vendu sur des plateformes en ligne entre 130 et 165 euros.

Les caractéristiques techniques du N9500 de Star sont attrayantes. Un smartphone Quad-Core, au design inspiré d’une grande marque, livré avec plusieurs accessoires (deux batteries, deux coques…) et pour un tarif compris entre 130 et 165 euros ! Mais opter pour le Star N9500 c’est aussi accepter le programme-espion intégré ! Christian Geschkat, chef produit des solutions de sécurité mobiles G DATA, explique : « Les possibilités qu’offre ce programme d’espionnage sont presque illimitées. Les cybercriminels peuvent tout simplement prendre le contrôle du smartphone ».

Cheval de Troie d’usine
L’analyse du système montre qu‘un faux service Google Play Store intègre le cheval de Troie Android.Trojan.Uupay.D. La fonction d’espionnage est invisible pour l’utilisateur. L’unique information accessible à l’utilisateur est l’icone Google Play Store, présent dans les applications en cours d’exécution, tout le reste est masqué. Le programme communique également avec un serveur situé en Chine. « Difficile de savoir qui réceptionne les données et les utilise » précise Christian Geschckat. Afin de garantir un bon fonctionnement au code malveillant, les mises à jour de sécurité Android sont aussi bloquées.

Désinstallation impossible
Ce programme, camouflé derrière l’application Google Play Store falsifiée,  a été préinstallé dans le système et ne peut donc pas être désinstallé par l’utilisateur. Ce smartphone représente donc un danger pour ses utilisateurs. Les criminels peuvent y installer automatiquement des applications, par lesquelles tous les abus sont permis : localisation, écoutes et enregistrements, achats, escroquerie en ligne, envoi de SMS surtaxés.

Les smartphones et tablettes en ligne de mire des criminels
La diffusion croissante de smartphones et tablettes n’est pas passée inaperçue aux yeux des criminels. L’année passée, plus de 1,2 million de nouveaux programmes malveillants sont apparus et la tendance ne fait que de s’accroître. La découverte d’un code malveillant préinstallé dans un clone démontre que les cybercriminels innovent dans de nouvelles méthodes d’infection à grande échelle et invite à la plus grande prudence quant à l’achat de clones.

Microsoft Office et Java têtes de turc des pirates

L’outil de Microsoft, Office et l’application JAVA sont à la tête de la liste des logiciels les plus attaqués au cours du premier quadrimestre de 2014.

Avira, éditeur de solutions de sécurité informatique précise que l’utilisation des iFrames sur les sites internet figure pour la première fois en avril comme l’une des méthodes d’attaque les plus employées. La multinationale allemande experte en sécurité a rassemblé les principaux paramètres établis par les menaces et vulnérabilités de malwares depuis le début de l’année, à l’échelle internationale. Au cours de quatre premiers mois de l’année, Microsoft Internet Explorer, Java et Flash ont été les cibles les plus frappées par les malwares et les méthodes les plus utilisées pour infecter aussi bien les utilisateurs que dispositifs ont été le Spam par email, les vulnérabilités 0-Days, le logiciel TOR (The Onion Router) que de nombreux malwares utilisent comme système de communication et les iFrames des sites internet.

Cette dernière méthode s’est imposée avec force au cours du mois d’avril, alors qu’elle n’avait pas fait son apparition auparavant. Avira effectue une analyse pour déterminer les familles de malwares dominantes recueillies par différents systèmes qui analysent plus de 400 000 nouveaux modèles de malwares en moyenne par jour, et plus de 630 000 sites. Le classement d’Avira ne contient pas de modèles rares de malware. Comme ce type de virus fausserait l’ensemble de statistiques des virus “In the Wild”, seules les familles de malware les plus répandues sont prises en compte.

1.       APPL/DomaIQ.Gen
2.       HTLM/Rce.Gen
3.       IS/Seedabutor.E8.9
4.       APPL/Bechiro.B
5.       HTLM/iFrame.era

L’antivirus français nouvelle génération à 5 euros

La société AxBx, éditeur du logiciel antivirus français VirusKeeper, propose actuellement la version 2014 de son antivirus à seulement 5 euros.

Cette offre promotionnelle baptisée « 5 euros pendant 50 jours » est valable du 4 juin 2014 au 24 Juillet 2014. Elle permet aux particuliers de s’équiper d’un antivirus de dernière génération et made in france pour seulement 5 euros. La licence est valable pour 3 PCs pendant 1 an. Cette opération permet aux particuliers de remplacer un antivirus ancien, périmé ou une version gratuite bridée.

En France, plus d’un particulier sur deux n’est pas protégé correctement parce qu’il utilise un antivirus périmé, techniquement dépassé ou une version gratuite limitée. Les sav, centres de maintenance micro et les « helpers » du web confirment ce constat puisque chaque jour, des centaines de PC finissent en réparation    parce que l’antivirus était défaillant.

Les conséquences d’une infection ou d’une attaque sont souvent dramatiques : perte des fichiers personnels (emails, photos, musique, documents), vol des identifiants (login/mot de passe de compte email) ou plus grave vol des identifiants bancaires. Les particuliers estiment par ailleurs que les antivirus payants, dont le prix moyen se situe entre 30 et 60 euros, sont trop chers.

La société AxBx, éditeur français spécialisé dans les logiciels de sécurité, propose aux particuliers de s’équiper à moindre coût de la dernière version 2014 du logiciel antivirus VirusKeeper. L’antivirus VirusKeeper, lancé en 2005, compte à ce jour plus de 20 millions d’utilisateurs dans le monde. VirusKeeper est le seul antivirus Français ; il a été conçu, développé par AxBx. VirusKeeper se distingue notamment par son excellent taux de détection des nouvelles formes de menaces. Face à des menaces encore inconnues (virus, chevaux de Troie, spyware), les antivirus classiques à base de scanner ont des taux de détection inférieurs à 30%. L’analyse comportementale de VirusKeeper permet d’atteindre des taux de détection qui dépassent les 90%.

Contrairement aux solutions antivirus habituelles qui se basent essentiellement sur des listes de virus connus, VirusKeeper identifie les programmes malveillants par analyse comportementale. Le moteur d’analyse exclusif de VirusKeeper est ainsi en mesure de détecter les menaces rapidement sans attendre les mises à jour. De plus, VirusKeeper consomme très peu de ressources et ne ralentit pas l’ordinateur.

Simplocker, un piége pour Android

Les experts savaient depuis un moment que les cybercriminels tenteraient de  s’attaquer à la flotte mobile, une cible très en vogue dans un monde. Il faut dire aussi que le nombre d’utilisateurs de smartphone frôle les 7 milliards en 2014 (Source : Union internationale des télécommunications).

Tout le monde ou presque est donc susceptible d’être victime des attaques cybercriminelles. Les ingénieurs de chez ESET ont repéré le week-end dernier un rançonlogiciel capable de chiffrer les fichiers sur Androïd. C’est le second code malveillant de ce type que detecte l’éditeur d’antivirus. Le piégé a été baptisé Simplocker.

Le logiciel malveillant scanne la carte SD du terminal mobile à la recherche des fichiers aux format variés, considérés comme important car pouvant sauvegarder des données sensibles : jpeg, png, bmp, jpg, gif, doc, docx, pdf, txt, avi, mkv, 3gp et mp4. Les documents sont chiffrés en AES-256. Le pirate réclame de l’argent pour fournir le mot de passe qui déchiffrera les fichiers.

Simplocker n’a été detecté, pour le moment, qu’en Russie. La rançon demandée, 16€, doit être payée en hryvnias (monnaie Ukrainienne) via MoneXy. Le piége est caché dans des applications Android non diffusées via Google Play. En 2010, FakePlayer, un autre code malveillant pour Android avait lui aussi été detécté dans ces deux régions (Russie/Ukraine). Là ou cela devient encore plus interessant est que le système de contrôle (C&C) de SimpleLocker exploite un domaine du réseau TOR (oignon). Bilan, il reste anonyme et permet de contrôler le piége en toute sécurité.