Archives par mot-clé : Trojan

Cyber-attaque, escroquerie, Espionnae, Virus

Propagation d’un trojan bancaire via Skype

3 commentaires

Le pic de ces envois a été enregistré dans la première moitié de novembre 2013. BackDoor.Caphaw est capable de voler les identifiants d’accès aux comptes en ligne et d’autres données sensibles stockées sur la machine infectée. Il exploite les vulnérabilités des navigateurs (par exemple les packages d’exploits BlackHole), et se copie sur les supports amovibles et réseau.

Depuis la deuxième quinzaine d’octobre 2013, les attaquants utilisent Skype pour distribuer le Trojan BackDoor.Caphaw. Le pic de la propagation, selon DrWeb, a été enregistré entre le 5 et 14 novembre 2013. Les attaquants envoient des messages via Skype en utilisant les comptes des utilisateurs déjà infectés. Les messages incluent un lien vers une archive portant le nom invoice_XXXXX.pdf.exe.zip (où XXXXX est un ensemble aléatoire de chiffres). L’archive contient le fichier exécutable du Trojan BackDoor.Caphaw.

Après son lancement, le Trojan sauvegarde sa copie dans un dossier d’application comme un fichier, avec un nom aléatoire, et modifie la clé du Registre chargée du lancement automatique des applications. Afin de faire face aux tentatives d’être étudié, ce Trojan possède un mécanisme de détection de lancement sur une machine virtuelle.

Suite à son installation, le Trojan BackDoor.Caphaw essaie de s’intégrer dans les processus en cours et de se connecter à un serveur des attaquants. Ce Trojan surveille l’activité de l’utilisateur et détecte les connexions aux banques en ligne. Dans ce cas, BackDoor.Caphaw peut injecter du contenu malveillant et intercepter les données entrées dans différents formulaires.

Une autre de ses fonctions est l’utilisation de la caméra et l’enregistrement, sur la machine infectée, de vidéos en streaming, afin de le transmettre au serveur des attaquants sous la forme d’une archive RAR. En outre le BackDoor.Caphaw peut télécharger depuis le serveur distant des composants additionnels et les lancer. Par exemple, des modules pour rechercher et transmettre aux attaquants les mots de passe des clients FTP ou créer un serveur VNC. Il existe également un module MBR bootkit, capable d’infecter des secteurs d’amorçage etc. Enfin, il existe un module pour l’envoi automatique de liens malveillants via Skype. Les utilisateurs doivent rester prudents et éviter de cliquer sur les liens reçus dans les messages via Skype, même si ces messages proviennent de leurs connaissances, car leurs ordinateurs peuvent être déjà infectés par le BackDoor.Caphaw.

 

Linux, Virus

Un nouveau Trojan cible Linux avec un arsenal important

3 commentaires

La société Doctor Web a annoncé, il y a quelques jours, la détection d’un nouveau programme malveillant ciblant Linux : Linux.Hanthie. Selon les résultats de l’étude, les spécialistes ont découvert que ce Trojan (aussi connu sous le nom de Hand of Thief) peut exécuter beaucoup de fonctions, ainsi que cacher sa présence dans le système. Aujourd’hui ce malware est très populaire sur les forums clandestins de hackers où les pirates le vendent souvent. Linux.Hanthie est lié aux bots des familles FormGrabber et BackDoor ciblant le système d’exploitation Linux, et dispose de mécanismes anti détection ainsi que d’un démarrage masqué qui ne nécessite pas de privilèges administrateur. Il utilise un chiffrement fort pour la communication avec l’interface de commande (256-bit). La configuration flexible du bot est possible via le fichier de configuration.

Après son lancement, le Trojan bloque l’accès aux adresses depuis lesquelles les mises à jour logicielles ou les logiciels antivirus sont téléchargés. Ce Trojan est capable de se soustraire à l’analyse antivirus et de s’exécuter dans des environnements isolés et virtuels. Cette version de Linux.Hanthie ne possède pas de mécanismes d’auto réplication, c’est pourquoi ses développeurs conseillent de le distribuer en utilisant les moyens de l’ingénierie sociale. Ce Trojan est compatible avec les distributions Linux (dont Ubuntu, Fedora et Debian) et avec huit types d’environnements de bureau, par exemple, GNOME et KDE.

Après le démarrage du Trojan, l’installateur masque sa présence dans le système et détecte les machines virtuelles. Ensuite, Linux.Hanthie s’installe dans le système en créant un fichier d’auto démarrage et en plaçant une copie de réserve de lui-même dans l’un des dossiers sur le disque. Dans le dossier des fichiers temporaires, il crée une bibliothèque exécutable, qu’il essaie d’intégrer dans tous les processus en cours. En cas d’échec, Linux.Hanthie lance un nouveau fichier exécutable depuis un dossier temporaire responsable de la connexion avec le serveur de gestion et supprime sa version originale.

Le Trojan comprend plusieurs modules fonctionnels : l’un d’eux, qui représente une bibliothèque, exécute des fonctions malveillantes. Ce module injecte un grabber dans les navigateurs Mozilla Firefox, Google Chrome, Opera, ainsi que Chromiim et Ice Weasel (développés uniquement pour Linux). Ce grabber permet d’intercepter les sessions HTTP et HTTPS et d’envoyer des données entrées par l’utilisateur aux malfaiteurs. Cette bibliothèque peut également remplir la fonction de backdoor. Le trafic, lors du transfert des données entre le logiciel et le serveur de gestion, est crypté.

Le Trojan comprend d’autres fonctions. Par exemple, via la commande socks, il lance sur la machine infectée un serveur proxy ; via la commande bind, il lance un script pour écouter le port ; par la commande bc, il se connecte à un serveur ; par la commande update, il télécharge et installe une nouvelle version ; par la commande rm, il se supprime. Un autre module permet au Trojan de réaliser des fonctionnalités limitées sans effectuer d’injections de code.

Android, ios, Sécurité, Smartphone

Les menaces sur Android se rapprochent des attaques sur PC

Les malwares Android passent du ‘simple’ Trojan par SMS au ransomware. DataSecurityBreach.fr a pu constater selon le rapport sur l’évolution des malwares Android publié par Bitdefender, que de nouvelles e-menaces plus sophistiquées qu’auparavant sont apparues au premier semestre 2013. En effet, si les précédents rapports faisaient état d’une augmentation des Trojans qui envoient des SMS surtaxés à l’insu des utilisateurs de Smartphones, le nombre de ransomwares pour Android a augmenté durant les six premiers mois de l’année, ciblant majoritairement l’Asie. Bien que le Trojan SMS, à l’instar de la famille de Trojans – Android.Trojan.FakeInst, représente 72,51% des malwares Android détectés au niveau mondial, ce rapport confirme une tendance de fond : les menaces sur mobiles se rapprochent de celles bien connues dans le monde des PC, à l’exemple du malware bancaire Zeus qui s’est répandu sous l’appellation ZitMo dans sa version mobile.

Le malware bancaire ZitMo sévit majoritairement en Chine Sur le premier semestre 2013, le rapport d’analyse de Bitdefender montre que les utilisateurs Android qui achètent régulièrement en ligne ont pu être touchés par le Trojan bancaire ZitMo. Si les utilisateurs chinois ont été majoritairement victimes de ce malware (44,65 %), l’Allemagne apparaît aussi comme une cible privilégiée en arrivant en tête des pays européens (14,47 %).

ZitMo Le malware bancaire a pour objectif principal de détourner les transactions réalisées en ligne. Sur Android, ces malwares sont installés sur l’appareil par l’utilisateur en se faisant passer soit pour une application sécurisée, soit pour une mise à jour du certificat de sécurité à télécharger à la suite d’un achat en ligne. DataSecurityBreach vous rappelle que ZitMo reçoit des instructions d’un serveur de commande et de contrôle (C&C) et peut transmettre tous les messages SMS reçus. Cela est particulièrement intéressant pour les hackers puisqu’ils peuvent ainsi recevoir le numéro d’authentification bancaire mTAN (mobile Transaction Authentification Number) aussitôt que l’utilisateur initie une transaction. Grâce au Trojan bancaire Zeus déployé sur le PC, et son équivalent sur mobiles ZitMo qui intercepte les SMS avec le code mTAN, les cybercriminels peuvent ainsi prendre le contrôle total sur la transaction bancaire. Le Trojan ZitMo est également exploité par les cybers escrocs pour dérober des données personnelles, au même titre que d’autres familles de malwares Android, et parfois même les adwares qui peuvent sembler plus inoffensifs de prime abord.

Augmentation du nombre de ransomware pour Android

Bitdefender a également analysé la propagation de la famille de malwares FakeAV qui comprend entre autres le nouveau ransomware Android. FakeAV.C. ainsi que le Trojan Android.FakeAV.B dont le but était de voler des données personnelles ou sensibles. L’analyse révèle que l’Inde (32,70 %) et l’Indonésie (15,90 %) sont les deux pays les plus ciblés par cette famille de ransomwares, devant la Malaisie (6,96 %) et la Thaïlande (4,68 %). L’Europe est encore relativement épargnée par ce type de ransomware pour Android pour le moment. Cela s’explique par le fait que les utilisateurs européens ne téléchargent pas encore autant d’applications à partir de plates-formes non officielles, autre que Google Play.

FakeAV

Découvert en Asie, le nouveau malware Android. FakeAV.C, se comporte à peu près de la même façon qu’un ransomware sur PC. Déguisé en solution antimalware, incitant l’utilisateur à le télécharger de son plein gré, il bloque la machine sur laquelle il est installé. L’utilisateur piégé est ensuite sommé de payer une somme d’argent s’il veut voir les fonctionnalités de son appareil de nouveau accessibles. Le niveau accru de sophistication et la similitude de ce Cheval de Troie avec un ransomware pour PC pourraient suggérer que les codeurs de malwares Android se lancent sur ce « marché » en pleine croissance. La reproduction des comportements de malwares PC sur Android n’est pas une nouveauté puisque déjà observée dans le passé avec les adwares, qui ont gagné en popularité et se sont développés sur les OS mobiles. A noter que la famille Android.Adware.Plankton, reste la famille d’adwares la plus active au niveau global avec 53,34 % de détections.

Adwares

Le manque de politique de sécurité encadrant le BYOD, qui permet aux salariés d’accéder aux données confidentielles de l’entreprise via leurs appareils personnels, et les risques pris par les utilisateurs peu attentifs et souvent ignorants des risques de sécurité, favorisent activement le travail des cybercriminels. Ces derniers ont alors toutes les cartes en main pour exploiter ces vulnérabilités et pouvoir s’infiltrer et prendre le contrôle de façon ciblée de nombreuses ressources dans une société. Au vu des ces nouveaux vecteurs d’attaques et de la prolifération de nouveaux types d’e-menaces, la sécurité mobile sur Android n’est plus facultative mais obligatoire.