Archives par mot-clé : malware

backdoor, Chiffrement, cyberattaque

Faire face aux attaques de ransomware de type « Living Off the Land »

Les cyberattaques de type « living off the land » (ou LotL) constituent désormais l’une des menaces les plus redoutables pour les entreprises. La récente campagne de ransomware contre Kaseya n’est ainsi que le dernier exemple en date, dans lequel les cybercriminels ont utilisé les ressources technologiques de l’organisation contre elle. Ces types d’attaques procurent en effet aux cybercriminels deux leviers clés : l’accès et le temps.

Si ces attaques LotL ne se concluent pas toujours par un ransomware, les deux vont de plus en plus souvent de pair et sont aussi difficiles à évaluer qu’à prévenir. Une stratégie de protection efficace commence donc par une solide compréhension de ce qui constitue une attaque par ransomware LotL et des dommages qu’elle peut causer.

Dès 2017, les attaques de malwares sans fichier ont commencé à attirer l’attention du grand public après la divulgation de rapports faisant état d’infections de systèmes IT de plusieurs grandes organisations. Or, ces malwares sans fichier ont rendu possibles les attaques LotL. En éliminant la nécessité de stocker la charge utile malveillante dans un fichier, ou de l’installer directement sur une machine, les cybercriminels peuvent alors échapper aux antivirus, et aux autres outils traditionnels de sécurité des terminaux. Ils se déplacent ensuite latéralement dans l’environnement, en escaladant les privilèges et en dévoilant de nouveaux niveaux d’accès, jusqu’à ce qu’ils atteignent le but ultime : les systèmes, les applications et les bases de données contenant des actifs commerciaux essentiels, tels que les données clients, la propriété intellectuelle, les ressources humaines.

Malwares sans fichier

Pour se maintenir dans les systèmes sans être détectés, ces malwares sans fichier se font souvent passer pour un outil de confiance doté de privilèges et d’accès élevés. Cela permet aux attaquants de surveiller l’environnement, de récupérer des identifiants, en prenant tout le temps nécessaire. Il est extrêmement difficile d’identifier, et encore plus d’arrêter, ces attaques, surtout s’il s’agit d’un ransomware sophistiqué qui cible spécifiquement l’organisation. Pour y faire, il n’y a pas d’autre choix que de penser comme des attaquants, tout en gardant à l’esprit qu’une campagne n’est pas nécessairement identique à une autre. Le cheminement des attaques LotL n’est en effet pas linéaire. L’objectif est donc de déchiffrer l’environnement et de développer une approche fondée sur ce qui s’y trouve.

La plupart des attaques LotL suivent ainsi un schéma similaire : usurper des identités pour s’infiltrer dans un réseau d’entreprise, compromettre des systèmes, élever des privilèges et se déplacer latéralement jusqu’à obtenir l’accès aux systèmes sensibles nécessaires à l’exécution de l’attaque ou à la propagation du ransomware. Mais à chaque étape, il existe des possibilités divergentes qui rendent le suivi et l’anticipation de ces attaques très complexes. Les équipes IT doivent donc bénéficier des outils nécessaires pour décomposer les comportements et les indicateurs d’alerte à surveiller, lors des étapes critiques d’une attaque par ransomware LotL, et ce, afin d’accélérer la détection et de réduire l’exposition et les dommages.

Cependant, compte tenu du nombre de techniques éprouvées dont disposent les cybercriminels, il peut se révéler difficile de savoir comment traiter les points de vulnérabilité ou par où commencer. L’élaboration d’une stratégie de protection efficace contre les ransomwares exige des organisations qu’elles étudient les maillons de la chaîne d’attaque qui présentent les niveaux de risque les plus élevés et qu’elles les classent par ordre de priorité. Ainsi, une sécurisation des terminaux à plusieurs niveaux – combinant la défense par le moindre privilège, l’authentification forte des identités, la protection contre le vol d’informations d’identification, le contrôle des applications et le blocage des ransomwares – compliquera considérablement la tâche des hackers qui voudront s’introduire et maintenir leur présence. Car une fois qu’ils ont un pied dans le réseau informatique, il leur est facile de brouiller les pistes et d’intensifier leur action. (Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud chez CyberArk)

backdoor, Bitcoin, Cybersécurité

Stantinko, un botnet déployant un module de cryptomining

Des chercheurs découvrent que des cybercriminels exploitent le botnet Stantinko, composé de près de 500 000 ordinateurs. Les pirates le déploie maintenant avec un module de minage Monero sur les appareils qu’ils contrôlent.

Actifs depuis 2012 au minimum, les responsables du botnet Stantinko contrôlent près d’un demi-million d’ordinateurs.

Ils ciblent principalement la Russie, l’Ukraine, la Biélorussie et le Kazakhstan.

Récemment, ils ont déployé un nouveau modèle économique. Aprés les NAS et autre caméra de surveillance. Voici le minage de cryptomonnaie.

« Après des années d’activités basées sur la fraude au clic, l’injection de publicités, la fraude sur les réseaux sociaux et le vol d’identifiants, Stantinko mine maintenant Monero. », explique Vladislav Hrčka, l’analyste malware responsable de cette enquête chez ESET.

Depuis août 2018 au moins, les cybercriminels déploient un module de cryptomining sur les ordinateurs qu’ils contrôlent.

Identifié par les produits de sécurité d’ESET sous la dénomination Win{32,64}/CoinMiner.Stantinko, ce module de cryptomining est une version considérablement modifiée du cryptominer open source xmr-stak. Il se démarque surtout par sa technique d’obscurcissement visant à résister aux analyses et à éviter la détection.

En plus de sa méthode d’obscurcissement à la source reposant partiellement sur le hasard, ce module est compilé individuellement. Chaque nouvelle victime, et chaque échantillon sont uniques.

Stantinko utilise plusieurs techniques intéressantes

Pour masquer ses communications, le module n’interagit pas directement avec son pool de minage. Il passe par des proxies dont les adresses IP figurent dans des descriptifs de vidéos YouTube.

Le malware bancaire Casbaneiro utilise une approche similaire pour dissimuler des données dans l’espace de description des vidéos YouTube.

« Nous avons informé YouTube de ces activités abusives et la plateforme a supprimé toutes les chaînes liées à ces vidéos », déclare M. Hrčka.

Stantinko peut également suspendre sa fonction de cryptomining lorsque l’ordinateur fonctionne sur batterie. Lorsqu’il détecte un gestionnaire de tâches. Il peut également détecter les éventuelles autres applications de cryptomining en cours d’exécution. Il est aussi capable d’analyser les processus en cours d’exécution pour identifier les logiciels de sécurité.

CoinMiner.Stantinko est loin d’être le plus dangereux des malwares, mais personne n’a envie que son ordinateur enrichisse les cybercriminels en arrière-plan. Et à tout moment, Stantinko pourrait déployer un nouveau malware potentiellement dangereux sur les postes infectés, ce qui est assez préoccupant.

pour conclure, il est conseillé aux utilisateurs de respecter les principes de sécurité de base et d’utiliser des logiciels fiables pour se protéger contre ce type de menace. Sa télésurveillance numérique !

Communiqué de presse, Cybersécurité

Les cybercriminels misent toujours davantage sur les techniques de contournement des antimalwares

De nombreux outils modernes de malware intègrent des fonctionnalités pour contourner les antivirus et autres mesures de détection : les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter.

À titre d’exemple, une campagne de spam illustre comment les assaillants utilisent et affinent ces techniques contre leurs cibles. Lors de cette attaque, un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante, dont l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire et de ne cibler que les systèmes japonais. Une de ses propriétés recherche plus particulièrement une variable xIDate, mais ce mode opératoire semble encore non documenté à ce jour.

Autre exemple, celui du cheval de troie bancaire Dridex qui modifie le nom et les hash des fichiers à chaque connexion de la victime, ce qui rend plus difficile l’identification du malware sur les systèmes hôtes infectés.

L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces.

Les attaques furtives visent le long terme

Le malware Zegost de détournement de données, au cœur d’une campagne de spear phishing, présente des techniques pour le moins intrigantes. À l’instar d’autres outils similaires, l’objectif principal de Zegost est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Cependant, Zegost se distingue par sa furtivité, grâce notamment à une fonction de « nettoyage » des logs applicatifs, qui permet de masquer sa présence. D’autre part, Zegost présente également une commande de mise en attente jusqu’au 14 février 2019, date à laquelle il a initié son processus d’infection.

Les auteurs de Zegost ont su utiliser tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes, ce qui en fait une menace sur le long terme par rapport aux autres malware similaires.

Le ransomware continue à se transmettre via des attaques toujours plus ciblées

Les attaques ciblant de multiples villes, collectivités locales et acteurs de l’enseignement rappellent que le ransomware reste d’actualité et qu’il continue à viser de nombreuses organisations. Les attaques par ransomware se font de moins en moins en masse et de manière opportuniste. Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon. Dans certains cas, les cybercriminels procèdent à une phase amont approfondie de reconnaissance avant de déployer leur ransomware sur des systèmes identifiés avec précision, ce qui maximise les opportunités d’infection.

À titre d’exemple, le ransomware RobbinHood s’en prend à l’infrastructure réseau des entreprises. Il est capable de désactiver les services Windows qui préviennent le chiffrement des données, mais aussi de déconnecter les disques partagés.

Un autre nouveau ransomware appelé Sodinokibi pourrait bien devenir la prochaine menace majeure pour les entreprises. D’un point de vue fonctionnel, il n’est pas vraiment différent de la majorité des outils de ransomware. Il se distingue néanmoins par son vecteur d’attaque puisqu’il exploite une nouvelle vulnérabilité qui permet l’exécution de code arbitraire et n’a pas besoin d’interaction de la part de l’utilisateur, comme c’est le cas pour d’autres logiciels de ransomware livrés par email phishing.

Quel que soit le vecteur utilisé, le ransomware reste, et restera, une menace sérieuse pour les entreprises : plus que jamais, le patching doit être prioritaire, au même titre que la sensibilisation des collaborateurs aux risques de cybersécurité.

De plus, les vulnérabilités du protocole RDP (Remote Desktop Protocol), comme BlueKeep, sont un avertissement que les services d’accès à distance peuvent être des opportunités pour les cybercriminels et qu’ils peuvent également être utilisés comme vecteur d’attaque pour diffuser des logiciels de rançon.

De nouvelles opportunités sur la surface d’attaque

Entre l’imprimante personnelle et les infrastructures critiques, émergent désormais de nombreux systèmes de contrôle à usage résidentiel et pour les petites entreprises. Ces systèmes intelligents attirent moins l’attention des assaillants que leurs homologues industriels, mais les choses peuvent évoluer compte tenu de l’augmentation observée de l’activité ciblant ces dispositifs de contrôle tels que les capteurs environnementaux, les caméras de sécurité, ou encore les systèmes de sécurité. Une signature liée aux solutions de gestion techniques du bâtiment émise par 1% des entreprises. Ce chiffre peut paraître peu élevé, mais il reste néanmoins supérieur à ce qu’on observe parmi les systèmes de contrôle industriel (ICS) et SCADA.

Les cybercriminels sont à la recherche de nouvelles possibilités de détourner les dispositifs de contrôle, tant au sein des espaces résidentiels que des entreprises. Parfois, ces types d’appareils ne sont pas aussi prioritaires que d’autres ou ne sont pas intégrés dans les processus traditionnels de gestion IT. La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, d’autant que la possibilité d’y accéder pourrait lourdement peser sur la sécurité. Ceci est particulièrement vrai pour les environnements de travail distants où la sécurité des accès reste critique. (Fortinet)

Android, Antivirus, APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Logiciels, Piratage, ransomware, Sécurité, Securite informatique, Smartphone, Virus

Les malwares les plus actifs en France en juillet 2018

3 commentaires

Le Global Threat Index pour le mois de juillet 2018 affiche le top 10 des virus et codes malveillants les plus répandus en France.

Ce dernier rapport virus et malware met en lumière l’augmentation des attaques ciblant l’IoT et la vulnérabilité des réseaux, comme en témoigne l’entrée dans le Top 10 des « Vulnérabilités les plus exploitées au monde » de 3 vulnérabilités en lien avec l’IoT : MVPower DVR router Remote Code Execution (5ème place), D_Link DSL-2750B router Remote Command Execution (7ème place) et Dasan GPON router Authentication Bypass (10ème place).

Au total, ce sont 45% des entreprises du monde entier qui ont été touchées par des attaques ciblant des vulnérabilités en lien avec l’IoT, contre 35% en juin 2018 et 21% en mai. Ces dernières permettent aux cybercriminels d’exécuter des codes malveillants dans le but d’obtenir le contrôle à distance de dispositifs cibles.

Point d’entrée facile

« Ces vulnérabilités, malwares et et virus offrent aux cybercriminels un point d’entrée facile dans les réseaux d’entreprise, ce qui leurs permet de propager un large éventail d’attaques « , a commenté Thierry Karsenti, vice-président technique Europe pour Check Point. « Une fois qu’un dispositif est compromis, il est très facile d’infiltrer d’autres dispositifs connectés. Il est donc essentiel que les entreprises se protègent efficacement et à tous les niveaux.« 

Il est important de noter que Coinhive reste le « malware » le plus répandu dans le monde, avec un impact sur 19% des entreprises mondiales. Cryptoloot et Dorkbot se classent respectivement en deuxième et troisième position, avec un impact global de 7% chacun. Pour rappel, CoinHive n’a rien d’illégal. C’est son utilisation par des malveillants qu’il faut montrer du doigt.

Top 10 des virus et malwares

Nom du malware Description Impact mondial Impact sur le pays
1 – Coinhive Ce cheval de Troie est conçu pour effectuer l’extraction en ligne de la crypto-monnaie Monero lorsqu’un internaute visite une page Web. Le script java implanté utilise les ressources informatiques des utilisateurs finaux pour extraire de la monnaie cryptée. 18.60% 16.02%
2 – Roughted Campagne de publicité malveillante à grande échelle, elle est utilisée pour diffuser divers sites Web et charges embarquées malveillants tels que des escroqueries, des logiciels publicitaires, des kits d’exploitation de vulnérabilité et les logiciels de rançon. Il peut être utilisé pour attaquer n’importe quel type de plateforme et de système d’exploitation, et utilise le contournement des bloqueurs de publicités pour attaquer de la manière la plus efficace. 5.85% 11.60%
3 – Cryptoloot Ce malware utilise la puissance du processeur ou du GPU de la victime et les ressources existantes pour le crypto-miningen ajoutant des transactions à la chaîne de blocage et en libérant de nouvelles devises. Similaire à Coinhive, ce programme est implanté sur des pages Web et utilise le pouvoir de traitement des internautes pour exploiter tous types de crypto-monnaies. 92829 6.92% 7.07%
4 – Conficker Conficker est un virus / ver informatique qui cible le système d’exploitation Windows. Il exploite les vulnérabilités de l’OS pour voler des données telles que des mots de passe. Ainsi, il prend le contrôle des ordinateurs touchés, les transformant en « zombie ». Les ordinateurs contrôlés forment alors un réseau, utile aux hackers. 3.50% 4.09%
5 – Jsecoin Ce mineur JavaScript peut être intégré à n’importe quel site Web.  JSEcoin permet de lancer un mineur directement dans le moteur de recherche en échange d’une navigation Web sans publicité. 5.92% 3.76%
6 – Dorkbot Dorkbot est un virus / ver basé sur un IRC conçu pour permettre l’exécution de code à distance, ainsi que le téléchargement de logiciels malveillants vers le système déjà infecté. Ce dernier permet de voler des informations sensibles et de lancer des attaques par déni de service. Il installe un rootkit en mode utilisateur pour empêcher l’affichage ou l’altération des fichiers et modifie le registre pour s’assurer qu’il s’exécute chaque fois que le système démarre. Il enverra des messages à tous les contacts de l’utilisateur infecté ou détournera un thread existant pour diffuser un lien renvoyant vers la copie du ver. 6.91% 2.98%
7 – Locky Locky est un cheval de Troie ransomware qui cible la plate-forme Windows. Ce logiciel malveillant envoie des informations système à un serveur distant et reçoit une clé de cryptage permettant de crypter les fichiers présents sur le système infecté. 1.72% 2.10%
8 – Fireball Fireball est un logiciel publicitaire largement distribué par la société chinoise de marketing numérique Rafotech. C’est un détourneur de navigateur qui change le moteur de recherche par défaut et installe des pixels de suivi, mais qui peut aussi servir à télécharger des logiciels malveillants. 3.02% 1.99%
9 – Nivdort Appartenant à la famille de chevaux de Troie ciblant la plate-forme Windows, il est capable de recueillir des mots de passe et des informations sur le système ou les paramètres telles que la version Windows utilisée, l’adresse IP, la configuration du logiciel et l’emplacement approximatif. Certaines versions de ce malware sont aussi en mesure de collecter les frappes de touches afin de modifier les paramètres DNS. Nivdort se propage via des pièces jointes de courriers indésirables ou des sites Web malveillants. 2.57% 1.88%
10 – Andromeda Repéré pour la première fois en 2011, Andromeda est un bot modulaire principalement utilisé comme porte dérobée afin de diffuser des logiciels malveillants supplémentaires sur les systèmes infectés. Il peut aussi être modifié dans le but de créer différents types de botnets. 6.35% 1.66%
10b – Ramnit Ramnit est un ver qui se propage principalement par l’intermédiaire de disques amovibles et de fichiers téléchargés vers des services FTP publics. Le logiciel malveillant crée une copie de lui-même pour infecter le système. 2.71% 1.66%

 

backdoor, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

Malware Zacinlo : outil pour fraude publicitaire

2 commentaires

Un nouveau malware appelé Zacinlo, spécialisé dans la fraude publicitaire découvert. Il infecte le PC de l’utilisateur pour ensuite ouvrir des sessions de navigateur invisibles dans le but de charger des bannières publicitaires et de simuler des clics sur ces dernières, ou encore remplacer les publicités naturelles dans le navigateur par celles du pirate pour détourner les revenus publicitaires générés.

Cet adware a plusieurs caractéristiques qui ont attiré l’attention  :

  • Zacinlo contient un driver de type rootkit, qui se protège lui-même ainsi que ses autres composants. Celui-ci peut stopper des processus jugés dangereux pour le fonctionnement de l’adware, tout en empêchant son arrêt ou sa suppression. Les chercheurs ont également relevé la présence de fonctionnalités « man-in-the-browser » qui interceptent et déchiffrent les communications SSL. Cela permet à l’adware d’injecter du code JavaScript personnalisé dans les pages Internet visitées par l’utilisateur. Les malwares basés sur des rootkits sont EXTRÊMEMENT rares, et constituent généralement moins de 1% des menaces habituelles. Ils sont également très difficiles à éliminer car ils s’intègrent profondément au système d’exploitation.
  • Zacinlo inclut un programme de nettoyage d’adware, utilisé pour éliminer la « concurrence » potentielle pour l’espace publicitaire. Il est plutôt générique et ne cible pas de famille ou de type d’adware en particulier.
  • Il collecte des informations à propos de l’ordinateur infecté. Par exemple, si un logiciel antivirus est installé ou non (et si oui, lequel), quelles applications se lancent au démarrage, etc.
  • Il prend des captures d’écran et les envoie au serveur de commande et contrôle pour analyse. Cette fonctionnalité menace la vie privée des victimes car les captures d’écran peuvent contenir des informations sensibles telles que des e-mails, des conversations privées, des identifiants ou des coordonnées bancaires.
  • Il peut faciliter l’installation de quasiment n’importe quel nouveau logiciel de manière transparente, sans arrêter de fonctionner et ainsi étendre ses fonctionnalités.
  • Il ajoute ou remplace des publicités lors de la navigation en cherchant des objets de type « DOM » par taille, par style, par classe ou expressions régulières spécifiques.
  • Il extrait des publicités de plusieurs plateformes, dont Google AdSense.
  • Il ouvre des pages Internet en arrière-plan dans des fenêtres cachées, et interagit avec elles comme un utilisateur normal : en les faisant défiler, en cliquant et en utilisant le clavier. Il s’agit d’un comportement typique des fraudes publicitaires, qui inflige d’importants dommages financiers aux plateformes publicitaires en ligne.
  • Zacinlo utilise énormément de projets et de bibliothèques Open-Source (ex : chromium, cryptopop, jsoncpp, libcef, libcurl, zlib).
  • Il utilise des scripts Lua pour télécharger différents composants (très certainement afin de passer inaperçu aux yeux de certains programmes antivirus qui détectent les téléchargements suspects et les bloquent).
  • Il dispose d’un design extrêmement paramétrable et hautement modulaire, ce qui lui permet d’étendre ses fonctionnalités grâce à des scripts et des fichiers de configuration disponibles via les infrastructures de commande et contrôle.

Ce malware est présent principalement aux États-Unis et semble avoir une certaine affinité pour Windows 10. La France et l’Allemagne font également partie des pays qui en sont victimes, bien que le nombre d’infections soit un peu plus bas qu’aux États-Unis jusqu’ici.  Un livre blanc édité par BitDefender détaille ce nouveau malware ICI .

APT, backdoor, Cybersécurité, Mise à jour, Securite informatique

Le ransomware SynAck gagne en complexité pour échapper aux logiciels de sécurité

Des chercheurs ont découvert une nouvelle variante du ransomware SynAck. Il utilise la technique Doppelgänging pour échapper aux logiciels anti-virus en se cachant dans des process légitimes.

SynAck is back ! C’est la première fois que la technique Doppelgänging est utilisée par un ransomware « in the wild ». Les développeurs derrière SynAck font également appel à d’autres stratagèmes pour ne pas être détectés, notamment l’obfuscation de tout le code avant la compilation d’échantillons et la fuite s’ils détectent des signes suggérant un lancement depuis un « sandbox ».

Le ransomware SynAck existe depuis l’automne 2017. En décembre dernier, il ciblait principalement les utilisateurs anglophones via des attaques par force brute RDP (remote desktop protocol) suivies par le téléchargement manuel et l’installation du malware. La nouvelle variante découverte par les chercheurs de Kaspersky Lab exploite une approche bien plus sophistiquée.

Les chercheurs du Kespersky Lab pensent que les attaques utilisant cette nouvelle variante de SynAck sont hautement ciblées. A ce jour, ils ont observé un nombre limité d’attaques aux Etats-Unis, au Koweït, en Allemagne et en Iran, avec des demandes de rançon d’un montant de 3 000 dollars USD.

La technique Doppelgänging permet de faire passer des malwares derrière les lignes de défense et les mesures de sécurité les plus récentes ; c’est une menace majeure que les criminels n’ont pas attendu pour exploiter. « Notre rapport illustre la façon dont le ransomware SynAck, jusqu’ici assez discret, a utilisé cette technique pour gagner en furtivité et accroître sa capacité infectieuse. » explique Anton Ivanov, Lead Malware Analyst, Kaspersky Lab.

Antivirus, backdoor, Cyber-attaque, Cybersécurité, DDoS, Logiciels, Piratage, ransomware, Securite informatique

8,4 millions de malwares en 2017

Les experts G DATA ont comptabilisé le nombre de nouveaux codes malveillants sur l’année 2017. Avec l’indice des attaques bloquées ils ont également défini les dangers les plus actifs. Ils communiquent le résultat de leur recherche.

Afin d’avoir une vue d’ensemble de l’évolution quantitative des logiciels malveillants, les types de logiciels malveillants sont comptés en fonction de leur signature. Au-delà du simple comptage, seules les variantes qui partagent les mêmes morceaux de code malveillant sont prises en compte. En 2017, le nombre de nouveaux logiciels malveillants a augmenté de 22,9% par rapport à 2016 pour atteindre 8 400 058.

22 attaques par utilisateur

Le nombre de nouveaux spécimens de programmes malveillants apporte un premier niveau d’information, mais n’indique pas l’activité de ceux-ci. Un seul logiciel malveillant peut en effet avoir plus d’impact que des milliers. Pour définir cet indice de dangerosité des codes, les attaques détectées par les solutions G DATA sont remontées et comptabilisées. La moyenne des attaques sur le second semestre 2017 pour 1000 utilisateurs est de 119,4. Autrement dit, chaque jour, un utilisateur d’une solution G DATA sur huit, est confronté à une attaque bloquée. Cela représente en moyenne 22 attaques par utilisateur sur le second semestre 2017.

 

Bitcoin, Communiqué de presse, Cybersécurité, Securite informatique

Les botnets mineurs infectent des milliers de PC et rapportent des centaines de milliers de dollars aux pirates

Mineurs de crypto monnaie ! L’équipe de recherche antimalware de Kaspersky Lab a identifié deux botnets composés d’ordinateurs infectés par un malware, qui installe en toute discrétion des « mineurs » de cryptomonnaie – des logiciels légitimes servant à la création (« minage ») de monnaies virtuelles au moyen de la technologie blockchain. Dans un cas, les chercheurs ont pu estimer qu’un réseau de 4 000 machines était susceptible de rapporter à ses exploitants jusqu’à 30 000 dollars par mois et, dans l’autre cas, ils ont vu des cybercriminels empocher plus de 200 000 dollars grâce à un botnet de 5000 PC.

Des mineurs dans votre ordinateur ! L’architecture du bitcoin et d’autres cryptomonnaies prévoit que, en dehors d’acheter de la cryptomonnaie un utilisateur peut créer une nouvelle unité monétaire (une « pièce ») en se servant de la puissance informatique de machines où sont installés des logiciels spécialisés, appelés des « mineurs ». Cependant, le concept des cryptomonnaies fait que plus le nombre de pièces produites est élevé, plus il faut de temps et de puissance informatique pour en créer une nouvelle.

Il y a plusieurs années de cela, un malware installant en toute discrétion des mineurs de bitcoin (exploitant les ordinateurs des victimes afin de créer de la monnaie virtuelle au profit de cybercriminels) était chose courante dans le paysage des menaces mais, plus le logiciel créait de bitcoins, plus il devenait difficile – voire, dans certains cas, inutile – d’en créer de nouveaux, de sorte que le gain financier potentiel à espérer d’un mineur de bitcoins ne couvrait pas l’investissement nécessaire à la création et à la distribution du malware, ainsi qu’à la maintenance de l’infrastructure sous-jacente.

La montée en flèche du cours du bitcoin a remis au goût du jour les attaques de mineurs sur des PC du monde entier.

Or, la montée en flèche du cours du bitcoin – la première et la plus connue des monnaies virtuelles – ces dernières années, à raison de plusieurs centaines de milliers de dollars l’unité, a déclenché une véritable « fièvre des cryptomonnaies » à travers le monde. Des centaines de groupes et de start-ups ont lancé leurs propres alternatives au bitcoin, dont bon nombre ont elles aussi pris une valeur élevée sur le marché en un laps de temps relativement court.

Ces évolutions sur le marché des cryptomonnaies n’ont pas manqué d’attirer l’attention des cybercriminels, qui se livrent désormais à des fraudes consistant à installer discrètement des mineurs sur des milliers de PC.

Une propagation par le biais de programmes publicitaires volontairement installés par les victimes

D’après les résultats d’une étude récente réalisée par les experts de Kaspersky Lab, les criminels qui se cachent derrière les botnets nouvellement découverts propagent les logiciels mineurs à l’aide de programmes publicitaires (adware), installés volontairement par les victimes. Une fois en place, l’adware télécharge un composant malveillant, qui installe le mineur mais effectue aussi certaines actions de sorte que ce dernier fonctionne le plus longtemps possible :

  • Tentative de désactivation des logiciels de sécurité ;
  • Surveillance de toutes les applications lancées et suspension de leur exécution si celles-ci sont destinées à surveiller les activités du système ou les processus en cours ;
  • Vérification de la présence constante d’une copie du logiciel mineur sur le disque dur et restauration de celle-ci si elle a été supprimée.

Aussitôt créées, les premières pièces sont transférées dans des porte-monnaie appartenant aux cybercriminels, laissant les victimes avec un ordinateur bizarrement ralenti et consommant un peu plus d’électricité que la normale. D’après les observations de Kaspersky Lab, la fraude tend à porter sur deux cryptomonnaies : Zcash et Monero. Celles-ci ont probablement été choisies car elles offrent un moyen fiable de préserver l’anonymat des transactions et des détenteurs de porte-monnaie.

Des botnets qui peuvent rapporter jusqu’à 6000 dollars par semaine aux cybercriminels via des mineurs infiltrés.

Les premiers signes d’un retour des mineurs malveillants ont été repérés par Kaspersky Lab dès décembre 2016, lorsqu’un chercheur de la société a signalé au moins un millier d’ordinateurs infectés par un malware et contenant des mineurs Zcash, une cryptomonnaie lancée vers la fin d’octobre 2016. A cette époque, grâce à la montée rapide du cours de cette monnaie, ce botnet pouvait rapporter à ses exploitants jusqu’à 6000 dollars par semaine. L’émergence de nouveaux botnets mineurs a alors été prévue et les résultats d’études récentes ont confirmé cette prévision.

« Le principal problème des mineurs malveillants réside dans la difficulté de détecter leur activité avec fiabilité, car le malware emploie un logiciel tout à fait légitime qui, en temps normal, aurait pu avoir été installé par un utilisateur de bonne foi. Un autre aspect alarmant, identifié durant l’observation de ces deux nouveaux botnets, est que les mineurs malveillants prennent eux-mêmes de la valeur au marché noir. Nous avons vu des criminels proposer des générateurs de mineurs, c’est-à-dire des logiciels permettant à tout un chacun, en payant pour obtenir la version complète, de créer son propre botnet mineur. Cela signifie que les botnets que nous avons repérés récemment ne sont certainement pas les derniers », commente Evgeny Lopatin, analyste en malware chez Kaspersky Lab.

Un nombre de victimes en perpétuelle augmentation

D’une manière générale, le nombre d’utilisateurs ayant eu affaire à des mineurs de cryptomonnaie a augmenté considérablement ces dernières années. En 2013, par exemple, les produits de Kaspersky Lab ont protégé à travers le monde environ 205 000 utilisateurs ciblés par ce type de menace. En 2014, ce nombre est passé à 701 000 et il a atteint 1,65 million au cours des huit premiers mois de 2017.

Afin d’éviter de voir leur ordinateur transformé en zombie consommant de l’électricité au profit de criminels, les chercheurs de Kaspersky Lab conseillent aux utilisateurs de prendre les précautions suivantes :

  • N’installez pas sur votre PC de logiciels suspects provenant de sources non fiables.
  • La fonction de détection d’adware est peut-être désactivée par défaut dans votre solution de sécurité. Prenez soin de l’activer.
  • Faites appel à une solution éprouvée de cybersécurité afin de protéger votre environnement numérique contre toutes les menaces possibles, y compris les mineurs malveillants.
  • Si vous exploitez un serveur, veillez à le protéger avec une solution de sécurité car les serveurs constituent des cibles lucratives pour les criminels en raison de leur puissance informatique élevée (comparée à un PC moyen).

Pour en savoir plus sur les botnets mineurs malveillants nouvellement découverts, rendez-vous sur Securelist.com

Android, Cybersécurité, IOT, Mise à jour, Patch, Sécurité, Smartphone, Téléphonie

Des publicités malveillantes détectées sur Android

Publicités malveillantes dans votre smartphone ! Il y a quelques jours, l’équipe du Threatlabz Zscaler a identifié une application Android se téléchargeant d’elle-même à partir de publicités postées sur des forums. Le malvertising est un problème qui ne cesse de prendre de l’ampleur. Ces publicités se retrouvent principalement sur des sites SSL à visée malveillante. Sur l’un de ces forums baptisé « GodLike Productions », les visiteurs se sont plaint d’une application se téléchargeant automatiquement mais leurs messages ont été supprimés ou ignorés par les administrateurs permettant à la situation de se perpétuer. Dans ce cas particulier, l’App se présente sous la forme d’une « mise à jour sécurité » afin que l’utilisateur termine son installation.

Une fois le package APK téléchargé et installé, l’application se présente sous le nom de « KS Clean », une application de nettoyage Android. L’application affiche ensuite un faux message de mise à jour système où la seule option possible est de cliquer sur le bouton « OK » forçant ainsi l’usager à accepter le message.

Dès que ce dernier accepte, le malware lance l’installation d’un autre APK nommé Update. Lorsqu’elle est ouverte, l’App Update demande les droits d’administration. Une fois les droits obtenus, il est impossible de désinstaller l’application de l’appareil car un utilisateur ne peut pas supprimer une app ayant des droits d’administration. Habituellement, il est possible de retirer les privilèges à l’application dans les paramètres mais dans ce cas de figure, l’app se fait passer pour un récepteur Android pour garder ses privilèges.

Cette vidéo (activer les sous-titres en amont) montre la manière dont le téléphone se bloque lorsque la victime essaie de retirer les privilèges administrateur de l’application.

Cette App est capable de :

  • Lire/Ecrire l’historique
  • Installer/Désinstaller des fichiers système
  • Changer les permissions
  • Télécharger sans autorisation

L’application effraie l’utilisateur en lui faisant croire qu’il y a une faille de sécurité sur son appareil et qu’il doit faire une mise à jour pour éviter de perdre ses informations personnelles. Lorsqu’elle est installée, l’App ne peut plus être supprimée et le malware peut pousser des publicités même si une autre App est déjà lancée. Les utilisateurs Android peuvent prendre les mesures suivantes pour éviter d’être atteints par cette menace :

  • Ne pas cliquer sur des liens inconnus
  • Désactiver les « sources inconnues »
  • Désactiver le téléchargement automatique dans les navigateurs Android
Android, Cyber-attaque, Cybersécurité, escroquerie, ID, Identité numérique, Mise à jour, Particuliers, Patch, Piratage, Smartphone, Social engineering, Téléphonie

Judy : Potentiellement la plus grande campagne de malwares détectée sur Google Play

Les chercheurs de chez Check Point viennent de découvrir une nouvelle menace baptisée JUDY, passée sous le radar de la sécurité de Google Play.

Ce malware de publicité frauduleuse est contenu dans 41 applications d’une société Coréenne. Son principe est simple : il produit un grand nombre de clics sur de la publicité, et génère ainsi un revenu important pour les créateurs des applications malveillantes. Check Point estime le nombre de victimes entre 4,5 et 18 millions. Le code malicieux est présent sur Google Play depuis des années, mais il est impossible de savoir depuis quand exactement.

Les applications malveillantes ont atteint un écart étonnant entre 4,5 millions et 18,5 millions de téléchargements. Certaines des applications découvertes résident sur Google Play pendant plusieurs années, mais toutes ont été récemment mises à jour. On ne sait pas combien de temps existe le code malveillant dans les applications, d’où la diffusion réelle du malware reste inconnue.