Archives par mot-clé : rat

Macros bloquées par défaut

Microsoft bloque désormais les macros VBA par défaut dans les applications Office.

Les macros sont un vecteur d’infection populaire depuis des décennies. Elles ont été utilisées par les menaces décrites dans le rapport sur les menaces du deuxième trimestre 2022, notamment les chevaux de Troie d’accès à distance comme Nerbian RAT, un nouveau RAT écrit en Go apparu au deuxième trimestre 2022, et par le groupe APT Confucius pour déposer d’autres logiciels malveillants sur les ordinateurs des victimes.

Nous avons déjà remarqué que les acteurs de la menace commencent à préparer des vecteurs d’infection alternatifs, maintenant que les macros sont bloquées par défaut. Par exemple, IcedID et Emotet ont déjà commencé à utiliser des fichiers LNK, des images ISO ou IMG, et d’autres astuces supportées par la plateforme Windows comme alternative aux maldocs pour diffuser leurs campagnes.

Microsoft était revenue sur ce blocage à la suite d’une série de gens pas contents. Début août, retour du blocage, définitivement.

Opération MouseTrap : 15 utilisateurs de RAT arrêtés

Cette semaine, Europol et plusieurs services de police et autorités judiciaires ont mené des actions contre des citoyens européens suspectés d’utiliser des chevaux de Troie (ou RAT) pour réaliser des activités cybercriminelles. Il s’agit principalement d’adolescents et de jeunes adultes. Cette action et les perquisitions associées ont permis l’interpellation ou l’audition d’une quinzaine de suspects dans plusieurs pays Européens.

Les individus interpellés ou interrogés, en Estonie, France, Roumanie, Lettonie, Italie, Norvège, Royaume-Uni, utilisaient de façon frauduleuse ces troyens d’administration à distance pour commettre différents types de délits dont le vol de données personnelles, des attaques en déni de service et des extorsions. Cette opération, pilotée par la France qui réalise six enquêtes dans le cadre de cette opération, prend place dans le cadre d’EMPACT – le plan multi-annuel d’action de l’Union européenne – en collaboration avec le Centre européen de lutte contre la cybercriminalité d’Europol (EC3) et les autorités européennes concernées. EC3 a apporté son soutien à sept pays dans leurs efforts pour identifier les individus utilisant de façon frauduleuse ce type de RATs, en hébergeant deux réunions de coordination, en collationnant le renseignement et en fournissant un appui en analyse criminelle.

 Un objectif important de cette action coordonnée au plan Européen est d’informer le public sur la menace posée par ce type de virus informatiques. Les exemples de ces RATs parmi les plus connus sont Blackshades, Poisonivy et DarkComet. Des actions similaires sont d’ores et déjà programmées au cours de l’année à venir.

Les chevaux de Troie ou troyens d’administration à distance (Remote access trojans – RATs) sont des codes informatiques qui sont utilisés pour espionner l’ordinateur des victimes (pour accéder à des informations personnelles, enregistrer l’activité à l’écran ou encore enregistrer l’image de la caméra ou le son du microphone intégrés ou connectés à l’ordinateur, collecter des mots de passe ou des numéros de cartes bancaires). Ces RATs frauduleux sont distincts des outils légitimes d’administration à distance (remote administration tools) qui sont par exemple souvent utilisés dans les réseaux d’entreprises pour assister les utilisateurs ou installer des logiciels à distance, avec le consentement et la connaissance de l’utilisateur légitime de la machine.

Ils sont souvent utilisés dans la réalisation des formes graves de criminalité organisé pour détourner des informations confidentielles des entreprises ou des réseaux des administrations, mais ils sont utilisés pour cibler des individus pour commettre différentes formes de fraude ou d’atteinte à la vie privée. Parfois, la motivation des délinquants est décrite comme un amusement ou une distraction consistant à s’immiscer dans la vie privée d’inconnus. Dans tous les cas, l’utilisation de ces RATs est une infraction dans la plupart des pays du Monde et en tous cas dans toute l’Europe (infractions d’accès illégal à un système de traitement automatisé de données, collecte illégale de données à caractère personnel ou d’atteintes à la vie privée). A titre d’exemple l’article 323-3-1 du code pénal français punit l’utilisation de ce type de virus informatiques de peines pouvant aller au maximum de 2 ans à 7 ans d’emprisonnement suivant les circonstances.

Les sites de jeu en ligne visés par une campagne de cyberespionnage active

L’organisation cybercriminelle « Winnti » cible les serveurs de jeu à travers le monde et dérobe de la propriété intellectuelle ainsi que des certificats numériques à des fins malveillantes. Selon le rapport de Kaspersky Lab reçu à la rédaction de Data Security Breach, le groupe Winnti, encore actif aujourd’hui s’attaque à des sites de jeu en ligne depuis 2009. Il a pour objectifs de dérober non seulement de la propriété intellectuelle – notamment le code source des jeux en ligne – mais aussi des certificats numériques signés par des éditeurs de logiciels légitimes.

Le premier incident qui a attiré l’attention sur les activités malveillantes du groupe Winnti s’est produit à l’automne 2011, lorsqu’un cheval de Troie a été détecté sur les ordinateurs d’un grand nombre d’utilisateurs à travers le monde. Le lien manifeste entre toutes les machines infectées est que celles-ci ont été utilisées pour jouer en ligne.

Peu de temps après, il est apparu que le programme malveillant à l’origine de l’infection faisait partie d’une mise à jour régulière du serveur officiel du site de jeu. Les utilisateurs contaminés et les joueurs en général ont soupçonné l’éditeur d’avoir installé le malware afin d’espionner ses clients. Cependant, il s’est avéré par la suite que le programme malveillant avait été installé sur les ordinateurs des joueurs par accident, alors que les cybercriminels visaient en réalité le site de jeu lui-même. En réponse, l’éditeur propriétaire des serveurs ayant propagé le cheval de Troie à ses utilisateurs a demandé à Kaspersky Lab d’analyser le programme malveillant. Le cheval de Troie s’est révélé être une bibliothèque DLL compilée pour un environnement Microsoft Windows 64 bits, utilisant une signature appropriée. Il s’agissait d’un outil de type RAT (Remote Administration Tool) aux fonctionnalités complètes, qui donne aux auteurs de l’attaque la possibilité de prendre le contrôle de l’ordinateur d’une victime à son insu. La découverte est de taille car ce cheval de Troie est le premier programme malveillant opérant sur une version 64 bits de Windows avec une signature numérique valide.

Plus de 30 sites de jeu en ligne avaient été infectés par celle-ci, la majorité d’entre eux appartenant à des éditeurs de logiciels du sud-est asiatique. Cependant, des entreprises du secteur situées dans d’autres pays (Allemagne, Etats-Unis, Japon, Chine, Russie, Brésil, Pérou, Biélorussie) ont également été identifiées comme des victimes de Winnti. En dehors de l’espionnage industriel, trois principales techniques susceptibles d’être employées par le groupe Winnti pour en tirer des profits illicites : accumulation et manipulation de sommes d’argent virtuelles utilisées par les joueurs, pour une conversion en argent réel ; exploitation du code source volé sur les serveurs de jeu en ligne pour la recherche de vulnérabilités dans les jeux en vue d’accentuer la manipulation d’argent virtuel et d’en accumuler sans éveiller les soupçons ;  exploitation du code source volé sur des serveurs très fréquentés pour la création de sites pirates. Actuellement, le groupe Winnti est toujours actif.