Des scripts malicieux de Session Replay découverts dans 89 extensions Chrome – Korben. Les gens sont de plus en plus vigilants au sujet des scripts que proposent les sites qu'ils visitent, mais restent négligents quand il s'agit des extensions qu'ils installent sur leur navigateur, reportant leur confiance sur les gérants des "stores". Les chercheurs de Trend Micro viennent d'identifier plus de 89 extensions pour Google Chrome totalement dangereuses, car ayant en leur sein, une fonctionnalité de "Session Replay" (Pour enregistrer et rejouer les sessions des utilisateurs.)
Les scripts de Session Replay permettent donc aux sociétés qui mettent en ligne ces extensions, de savoir exactement ce que fait l'internaute avec son navigateur. Et TOUT son navigateur. Pas uniquement sur un site web précis… C'est donc un bon gros mouchard qui enregistre aussi bien les mouvements de la souris, les touches du clavier et toutes les interactions avec la page en cours. Source Ad debug output The ad is displayed on the page Pub: Razer chroma 2 (91390)Placement: Bottom Article (bottom-article) Le malware Bad Rabbit débarque en Europe. Décidément, c’est compliqué pour Gérard et Monique. Un nouveau malware au doux nom de BadRabbit (vilain lapin) est en train de mettre à feu et à sang la Russie, l’Ukraine, la Turquie, mais aussi l’Europe avec l’Allemagne.
Fonctionnant comme un fork de Petya (Petrwrap, NotPetya, exPetr et GoldenEye), Bad Rabbit s’attaque aux réseaux des entreprises via une fausse mise à jour d’Adobe Flash que l’utilisateur doit lancer manuellement (il n’y a pas encore d’exploit utilisé pour la diffusion), puis explore le réseau interne de l’entreprise à la recherche de partages SMB ouverts et tente un bruteforce sur ceux qui ne sont pas ouverts à l’aide d’une liste de logins et mots de passe codés en dur dans le malware. Il semblerait aussi d’après les premières analyses que Bad Rabbit exploite l’outil Mimikatz sur les postes infectés pour récupérer des identifiants supplémentaires afin de se connecter à d’autres partages SMB.
Bon courage à tous ! Vault 7 : macOS et Linux ne sont pas épargnés par la CIA. WikiLeaks a publié hier soir une nouvelle série de documents Vault 7, sa série de révélations sur les pratiques et outils de la CIA. Bientôt cinq mois après les premières, l’organisation s’attaque à trois outils destinés cette fois à Linux et macOS. Nouvelle semaine, nouveaux outils de piratage de la CIA. La série Vault 7 a déjà montré bien des pratiques de l’agence américaine de renseignement, surtout sous la forme de documentations visant à aider les agents qui s’en servent. Des outils pour préparer de fausses applications Windows, récupérer le trafic OpenSSH dans un serveur Linux, pirater des téléviseurs connectés Samsung ou encore modifier des routeurs pour espionner le trafic en toute impunité.
Mais alors que Linux et macOS avaient jusque-là été relativement épargnés dans les documents publiés, ils sont cette semaine à l’honneur. Achilles, pour contaminer des images disque sous macOS. Le malware CopyCat a pu infecter 14 millions de vieux appareils Android avant suppression. La société de sécurité Check Point a publié hier un long article faisant état d’une immense campagne de malware sur Android qui aurait abouti à la contamination de 14 millions d’appareils. Un cas qui rappelle encore une fois le vrai problème posé par les smartphones n’étant plus mis à jour. La boutique de Google, comme nous l’avons rappelé récemment, n’est pas une protection absolue quand il s’agit de lutter contre les malwares.
Il arrive régulièrement qu’un petit code vérolé se glisse à travers les défenses. La firme surveille cependant de manière constante ce qui transite dans ses services et finit en général par mettre la main sur les intrus. Mais Android permet également d’activer le téléchargement et l’installation d’applications depuis des sources tierces. Un travail de sape sur les défenses du système. CherryBlossom : WikiLeaks dévoile comment la CIA peut pirater des routeurs. La nouvelle publication de WikiLeaks sur les techniques de la CIA s'attarde cette fois sur un implant spécifique aux routeurs, CherryBlossom. En 2007, 25 modèles pouvaient voir leur système interne remplacé, parfois même quand un mot de passe fort était défini, à cause de failles exploitées. Depuis environ deux mois, WikiLeaks publie chaque semaine des documents du lot Vault 7, une précieuse cache renfermant de nombreuses informations sur la manière dont la CIA procède pour pirater certains matériels.
C'est particulièrement le cas sous Windows avec de nombreux implants modulables, mais l'agence américaine peut également infecter des téléviseurs connectés Samsung, créer de fausses applications semblant authentiques, ou encore masquer ses traces, jusqu'à créer de faux indices renvoyant vers des agences étrangères de renseignement. S’infiltrer dans les routeurs et les espionner. En Ukraine, un malware lié à BlackEnergy retrouvé dans des infrastructures vitales. En fin d’année dernière, BlackEnergy causait des troubles en Ukraine en provoquant des pannes dans des centrales électriques. Six mois plus tard, un malware s'en inspire mais change de cible : il s’en prend aux systèmes de contrôle industriels. Pour y voir plus clair, nous en avons discuté avec ESET et l'ANSSI.
Début 2016, on apprenait que la panne suspecte dans une centrale électrique ukrainienne avait été provoquée par un malware. Nommé BlackEnergy, il était une mise à jour d’un cheval de Troie créé en 2007 pour servir de relai dans des attaques par déni de service distribué (DDoS). Le code était évolué et, contrairement à une menace telle que WannaCrypt, montrait d’évidents signes de travail soigneux, le malware étant notamment très discret. Résultat, une importante panne de courant, résultat de la coupure d’une centrale de l’entreprise Ukrenergo, touchant notamment la capitale du pays, Kiev. Similaires et pourtant très différents. Un malware se sert d’Instagram pour récupérer l’adresse de son serveur maître. Un groupe de pirates russes se sert d’Instagram pour récupérer l'adresse d'un serveur de commandes.
Une utilisation originale du réseau social, mais une méthode qui n’est pas nouvelle en elle-même . D’après la société de sécurité ESET – à qui l’on doit l’antivirus NOD32 – le groupe russe Turla a décidé de recourir à une philosophie particulière pour transmettre ses instructions à ses malwares actifs : cacher les commandes en les exposant aux yeux de tous.
Comment ? Sous forme de commentaires sur Instagram. Ce n’est pourtant pas la première fois que des pirates se servent d’un réseau social pour émettre des instructions. Une fausse extension pour Firefox, des méthodes de Sioux. EternalRocks encore plus inquiétant que WannaCry. Après l'attaque du ransomware WannaCry, les chercheurs ont identifié le ver de réseau EternalRocks. Celui-ci utilise jusqu'à 7 outils de hacking ayant été volés à la NSA puis exposés par le groupe Shadow Brokers. Une semaine après l’attaque perpétrée par le ransomware WannaCry au niveau mondial, un autre logiciel d’exploitation de failles fait parler de lui. Selon des chercheurs en sécurité, il y a au moins une personne qui utilise 7 des outils d’attaque volés à la NSA dans un ver de réseau dénommé EternalRocks par ceux qui l’ont identifié.
Les chercheurs ont constaté que ce ver ciblait la même vulnérabilité du protocole SMB de Windows, en s’avérant plus menaçant et plus difficile à contrer. Comme WannaCry, EternalRocks utilise EternalBlue, l’un des outils de la NSA. EternalBlue fait partie des outils de hacking de la NSA exposés en avril par le groupe Shadow Brokers. Presque immédiatement, des attaquants ont commencé à repackager EternalBlue.
WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8. Actuellement, un ransomware infecte de très nombreuses machines de par le monde, notamment dans des services vitaux comme des hôpitaux. Si la faille utilisée est corrigée depuis mars, certains ne sont pas à jour. Devant l'urgence de la situation, Microsoft a publié un patch pour d'anciennes versions de Windows. Depuis hier, une attaque de très grande ampleur touche des dizaines de milliers de machines. Au dernier décompte, près de 80 pays sont concernés, mais surtout des services d'hôpitaux en Angleterre et en Espagne, des sociétés telles que FedEx, Renault et Telefónica, des dispositifs d'information, ou même des écoles et universités.
Après les fuites de la NSA, la multiplication des attaques En cause, WannaCrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor), un ransomware qui exploite une faille dans Windows corrigée en mars dernier (bulletin de sécurité MS-17-010). Exploitée un temps par la NSA, elle faisait l'objet de l'un des outils qui ont fuité en avril (nom de code EternalBlue). Telefonica frappé par une cyberattaque de grande ampleur. Ce vendredi, un ransomware s'est répandu comme une trainée de poudre et paralysé ce matin une partie du réseau interne de l'opérateur espagnol Telefonica qui a demandé à la plupart de ses employés de rentrer chez eux. D'autres grandes entreprises comme Banco Santander et Iberdrola pourraient être touchées. Le centre d'alerte et de réaction aux attaques informatiques espagnol a confirmé que cette attaque frappe un nombre élevé d'entreprises. C'est une attaque informatique d'une rare ampleur qui a frappée ce matin l'opérateur espagnol Telefonica.
Relatée par plusieurs confrères dont El Mundo, elEconomista ou encore 20minutos - et confirmé dans un tweet par le chief data officer de la société Chema Alonso que nous avions rencontrés il y a quelques jours en Espagne, cette attaque a paralysé une grande partie du réseau interne de l'entreprise. Ransomware : Seulement 30% des rançons versées en France contre 64% aux US.
D'après le dernier rapport annuel de Symantec, la France arrive en deuxième place des pays ayant connu le plus grand nombre de vol d'identifiants en 2016. Les ransomwares s'avèrent bien plus efficaces aux Etats-Unis qu'en France où seulement 30% des rançons sont payées contre 36% dans le monde et 64% outre-Atlantique. L'éditeur en solutions de sécurité Symantec a publié la 22e édition de son rapport sur les menaces de sécurité Internet (ISTR 22). Si le nombre d'e-mails malveillants et le paiement des rançons sont moins systématiques en France qu'ailleurs, en revanche l'Hexagone est loin d'avoir été épargné par les vols d'identifiants. Bien au contraire car le pays pointe en deuxième place, juste derrière les Etats-Unis mais devant la Russie, avec 85,3 millions d'identifiants volés contre 791,8 (SIC) aux Etats-Unis et 83,5 en Russie. DOK, le malware macOS qui utilisait un certificat reconnu par Apple. Une importante menace a été détectée sur Mac.
Le malware, nommé Dok, est en capacité de prendre le contrôle de la machine et pouvait jusqu'à récemment éviter la détection par la plupart des antivirus. Traditionnellement, bon nombre d’utilisateurs de macOS considèrent qu’ils sont plus à l’abri que ceux sous Windows. Le nombre de menaces y est en effet bien moindre, mais cet écart ne cesse ne se réduire avec le temps.
Même si aujourd’hui encore les machines Windows sont les plus visées pour des questions évidentes de parts de marché, il ne faut pas considérer pour autant que les ordinateurs d’Apple sont protégés de manière inhérente contre les malwares. DOK rappelle à ce sujet à quel point l’utilisateur est encore et toujours le « maillon faible » de la chaine de sécurité. Car quelles que soient les mesures de protection présentes sur une machine, c’est lui qui peut donner à un logiciel malveillant son pouvoir de nuisance. Simple comme une pièce jointe. Shadow Brokers : le malware DoublePulsar de la NSA sur un nombre croissant de machines. Des rapports mentionnent des dizaines de milliers de machines infectées par un malware de la NSA, nommé DoublePulsar. On ne sait pas encore dans quelle mesure ces chiffres sont corrects, mais les archives publiées par les pirates de Shadow Brokers donnent quelques motifs d’inquiétude. Rappel des faits. Il y a un peu plus d’une semaine, les Shadow Brokers publiaient une archive d’environ 300 Mo contenant nombre d’outils et d’informations sur des failles de sécurité et dérobée à Equation Group, proche de la NSA.
La plupart des données concernaient Windows, mais on apprenait que Microsoft les avait corrigées en bonne partie. La question se posait d’ailleurs de savoir comment l’éditeur avait pu les colmater le mois précédent, le calendrier très serré levant bien des interrogations. Il devenait alors légitime de craindre que d’autres pirates plongent leurs mains dans ce précieux matériel, afin de profiter des opportunités offertes. Survient DoublePulsar. Cerber, un ransomware capable de détecter les machines virtuelles. Cerber, l’une des familles de ransomwares les plus actives, a reçu dernièrement une évolution qui lui permet d’échapper à certaines formes de détections.
Le malware est ainsi capable de vérifier s’il se lance dans une machine virtuelle. Les ransomwares sont des logiciels malveillants particulièrement célèbres depuis quelques années. Le principe est toujours le même : chiffrer les données sur l’ordinateur de la victime et lui réclamer ensuite une rançon. Le plus souvent, elle retrouve ses fichiers, mais cette fin « heureuse » n’est jamais garantie. Dans la grande majorité des cas, le ransomware est expédié via un email plus ou moins bien réussi, avec un lien direct de téléchargement.
Trend Micro note cependant une nouvelle tendance inquiétante sur la famille Cerber, particulièrement active depuis un an. Un lien Dropbox vers une archive auto-extractible. DoubleAgent - Une injection de code indétectable et instoppable par les antivirus. Une équipe de chercheurs en sécurité israéliens ont découvert une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) qui permet à un attaquant de prendre le contrôle total d'une machine. La faute à une fonctionnalité âgée 15 ans, non documentée, baptisée "Application Verifier". Il s'agit d'un outil Windows qui charge des DLL comme processus pour permettre aux développeurs de rapidement les tester et détecter leurs erreurs de développement. Mais simplement en créant une clé de registre portant le même nom que l'application à détourner, l'attaquant peut injecter dans n'importe quel processus légitime, sa propre DLL custom et ainsi faire ce qu'il souhaite comme installer une backdoor ou un malware, détourner des permissions, récupérer la main sur des sessions d'autres utilisateurs...etc.
Si le sujet vous intéresse, les chercheurs israéliens ont mis en ligne un proof of concept sur Github et publié quelques articles sur leur blog. Source. Mirai : un malware Windows lui ouvre les portes des réseaux internes. Macros, fausses mises à jour : quand de vieilles menaces débarquent sur Mac. Les banques françaises victimes d'un malware quasi-indétectable, d'après Kaspersky Lab.
Une parade pour contrer Locky grâce à l'analyse des requêtes DNS. Victime d’un ransomware, un hôtel veut revenir aux clés classiques pour ses chambres. Un ransomware chiffre les données des écoles bordelaises. Des Trojans Android bancaires dotés de fonctions de ransomware. Des images infectées par un malware dans Facebook et Linkedin.