Utilisateurs d'Android, sachez que le Trojan bancaire Medusa est de retour ! De nouvelles campagnes d'attaques ont été repérées, notamment en France, au Canada et aux États-Unis. Faisons le point sur cette menace.
En mai 2024, l'équipe Threat Intelligence de Cleafy a repéré de nouvelles campagnes malveillantes impliquant le Trojan bancaire Medusa, connu également sous le nom de TangleBot. Ce Cheval de Troie bancaire est de retour, après avoir été inactif pendant près d'un an. Il est accessible sous la forme d'un Malware-as-a-Service pour Android, donc les affiliés peuvent l'utiliser à des fins malveillantes en payant un abonnement.
Découvert en 2020, Medusa est capable de réaliser plusieurs opérations sur les appareils infectés, dont l'enregistrement de la saisie au clavier (keylogger), le contrôle de l'écran et la capacité de lire/écrire des SMS. Ce dernier point est important puisque dans le cadre de sa stratégie de distribution, le malware pourra accéder à la liste des contacts et envoyer des SMS.
Les chercheurs en sécurité expliquent que la nouvelle version de Medusa nécessite moins de permissions sur l'appareil Android infecté pour fonctionner. Désormais, le strict minimum pour les opérations de base est requis. De nouvelles fonctionnalités ont aussi été ajoutées, comme la possibilité de désinstaller des applications à distance et de prendre une copie d'écran. Cette fonction s'avère précieuse pour les pirates afin de voler des informations sensibles.
Le rapport de Cleafy évoque un ensemble de 24 campagnes malveillantes menées par les pirates, depuis juillet 2023. En effet, ce rapport propose un historique de l'activité de Medusa sur les 12 derniers mois, ce qui sous-entend que sa phase d'inactivité est plus ancienne.
Ces campagnes malveillantes ont été associées 5 botnets actifs différents, que l'on peut distinguer par les types de leurres utilisés, la stratégie de distribution de la souche malveillante et les cibles géographiques.
Voici le nom des applications malveillantes utilisées par Medusa. Le choix du nom d'application "4K Sports" n'est surement pas un hasard puisque l'EURO 2024 de football se déroule actuellement.
"Nous avons identifié cinq botnets différents, exploités par plusieurs affiliés, qui présentent des caractéristiques distinctes en ce qui concerne le ciblage géographique et les leurres utilisés. Les résultats confirment des cibles nationales déjà connues, comme la Turquie et l'Espagne, mais aussi de nouvelles, comme la France et l'Italie.", peut-on lire dans le rapport.
Le Trojan bancaire Medusa est à suivre de près puisqu'il semble monter en puissance, tout en devenant plus furtif. Son nombre d'affiliés pourrait augmenter de façon importante, ce qui aurait également un impact sur la quantité de victimes.
The post Le Trojan bancaire Medusa cible les utilisateurs d’Android dans 7 pays, dont la France first appeared on IT-Connect.
Une nouvelle technique d'attaque baptisée "GrimResource" cible actuellement les utilisateurs de Windows ! Elle s'appuie sur l'utilisation de fichiers MSC et elle exploite une faille de sécurité XSS dans Windows non corrigée à ce jour. Faisons le point sur cette menace.
Au fil des années, Microsoft renforce la sécurité de son système d'exploitation et de ses applications en désactivant par défaut certaines fonctionnalités. Nous pouvons notamment citer la désactivation des macros dans Microsoft Office, ainsi que la suppression à venir de VBScript dans Windows. À chaque fois, les cybercriminels font preuve d'ingéniosité pour trouver de nouvelles techniques d'attaques, et sans cesse se renouveler.
Dernièrement, l'entreprise sud coréenne Genian a découvert que les fichiers MSC pouvaient être utilisés à des fins malveillantes. De nouvelles recherches menées par l'équipe d'Elastic ont permis de découvrir une nouvelle technique basée sur l'utilisation de ces fameux fichiers MSC : la technique "GrimResource". "Les chercheurs d'Elastic ont découvert une nouvelle technique d'infection exploitant également les fichiers MSC, que nous appelons GrimResource.", peut-on lire.
En tant qu'administrateur système Windows, vous connaissez surement les fichiers MSC correspondant à "Microsoft Management Console", soit la console MMC. Les fichiers MSC sont des raccourcis vers des consoles d'administration du système, comme "gpedit.msc" pour éditer la stratégie de groupe locale. L'utilisateur peut créer ses propres raccourcis, et les pirates aussi.
Évoquons l'utilisation malveillante des fichiers MSC sur Windows. Tout d'abord, le rapport d'Elastic précise : "Il permet aux attaquants d'obtenir une exécution complète du code dans le contexte de mmc.exe après qu'un utilisateur ait cliqué sur un fichier MSC spécialement conçu. Un échantillon exploitant GrimResource a été téléchargé pour la première fois sur VirusTotal le 6 juin." - L'échantillon en question s'appelait "sccm-updater.msc".
L'attaque GrimResource repose sur l'utilisation d'un fichier MSC malveillant qui sert à exploiter une faille de sécurité XSS basée sur le modèle DOM de la bibliothèque nommée "apds.dll". Il s'agit d'une vulnérabilité connue, qui a déjà été reportée à Adobe et Microsoft en 2018, mais qui n'a pas été corrigée. Ainsi, dans Windows 11, avec les dernières mises à jour de sécurité, la faille de sécurité peut être exploitée. Ceci est également vrai pour les autres versions de Windows.
"En ajoutant une référence à la ressource APDS vulnérable dans la section StringTable appropriée d'un fichier MSC élaboré, les attaquants peuvent exécuter du JavaScript arbitraire dans le contexte de mmc.exe.", peut-on lire. Grâce à cette technique et à l'exploitation de cette faille de sécurité, les cybercriminels sont parvenus à récupérer et à exécuter un payload Cobalt Strike, afin d'infecter la machine et de la compromettre.
Une vidéo de démonstration a été publiée sur X (Twitter) :
Elastic Security Labs has discovered a new method for initial access and evasion in the wild, termed #GrimResource, which involves arbitrary execution in mmc.exe through a crafted MSC file.https://t.co/q4u4gTPE6Ohttps://t.co/usWJvhygIC pic.twitter.com/hQF4gKktX2
— Samir (@SBousseaden) June 21, 2024
Nous vous invitons à lire le rapport d'Elastic pour obtenir des détails supplémentaires, et notamment des informations sur la façon de détecter cette attaque. Par exemple, l'exécution du processus "mmc.exe" avec l'appel d'un fichier "msc" et de certains arguments doit être considéré comme suspect. Elastic a aussi partagé la règle YARA correspondante.
The post Cyberattaque : les pirates exploitent des fichiers MSC et une faille XSS non corrigée dans Windows ! first appeared on IT-Connect.
L'été est là, et avec lui, les fameuses soldes ! Pourquoi ne pas en profiter pour changer votre téléphone ? Dans ce guide, on a réuni plusieurs modèles intéressants à prix réduits. Que vous soyez un adepte de Samsung, Xiaomi, Google, Motorola ou d'autres fabricants, vous devriez y trouver votre compte sans vous ruiner.
Alors que Les Clans de la Coke cartonne sur Netflix, voici 5 autres séries dans lesquelles la drogue est reine : Griselda, Breaking Bad, The Gentlemen, Narcos ainsi que Family Business.
Les soldes d’été 2024 débutent officiellement aujourd'hui ! Ce mercredi 26 juin, les toutes premières offres tech soldées se dévoilent sur les boutiques en ligne, avec une diversité qui nécessite parfois un tri judicieux -- pour ne pas se faire avoir par de faux prix barrés. Pour cette occasion, nous avons préparé une sélection des meilleures promotions à découvrir chez les grandes enseignes telles que Boulanger, Darty, Fnac, Amazon et autres, qui proposent d'ores et déjà une variété d'offres avantageuses.
La série House of the Dragon met en scène des dragons crachant du feu. Même chose dans Game of Thrones et dans nombre d’œuvres qui font mention de ces grands reptiles ailés. S'ils existaient vraiment, comment feraient-ils ?
La table SMART permet de connaitre l'état de santé d'un disque dur ou d'un SSD. C'est en quelque sorte son carnet de santé, qui va suivre le disque toute sa vie et tout y est noté : nombre d'allumages, heures de fonctionnements, erreurs rencontrés, secteurs défectueux, etc.
En plus de mémoriser l'historique de santé la fonction SMART propose de réaliser 2 tests du disque. Problème : il faut souvent télécharger l'utilitaire de chaque fabriquant pour pouvoir le faire.
Il existe un petit logiciel gratuit qui permet de lancer ces tests avec n'importe quelle marque de disque : DiskCheckup.
DiskCheckup fait partie des quelques logiciels gratuits simples mais efficaces créés par Passmark.
Ce logiciel pèse 5 mo et il est compatible avec toutes les versions de Windows, il est même disponible en français.
Il permet de visualiser la table SMART, mais je préfère CrystalDiskInfo pour cela. C'est surtout l'onglet "Test Disk" qui nous intéresse car il permet de lancer :
Je vous conseille toujours de lancer les 2 tests pour avoir un résultat le plus réaliste que possible. Si l'un des 2 tests a un résultat avec erreur : changez le disque rapidement (et faites vos sauvegardes très rapidement!).
Attention : il est possible qu'aucun des tests SMART ne remonte d'erreur alors que le disque est bel et bien défectueux. Ce n'est donc pas fiable à 100% mais ces tests restent un très bon indicateur de l'état de santé d'un disque.
Concernant les SSD c'est le taux d'écriture des cellules qui témoigne de pourcentage de durée de vie restante. Dans le cas d'un disque mécanique si vous avez des erreurs en C6 : remplacez aussi le disque (et C5 doit rester stable). Ce ne sont pas les seuls indices importants, mais ceux que je regarde en premier.
Historiquement j'utilisais Seagate Seatools car il fonctionnait assez bien avec toutes les marques. Aujourd'hui j'ai tendance à utiliser DiskCheckup ou encore en liveboot avec Sergei (qui contient de nombreux utilitaires).
En cas de doute tournez vous vers le site du fabricant de votre disque dur, il proposera peut-être un logiciel de test spécifique. Si c'est le cas sur les grandes marques on ne peut pas en dire autant sur les disque noname... et c'est là ou DiskCheckup peut aider au diagnostic.
Télécharger Passmark DiskCheckup
Note : les disques connectées en SCSI ou via une carte RAID matérielle ne sont pas supportés par DiskCheckup
Pour Linux je vous renvoie vers cette page
Vous n'aimez pas le RSS : abonnez-vous par email
Article original écrit par Mr Xhark publié sur Blogmotion le 26/06/2024 |
Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons
Microsoft n'en finit pas de surprendre, parfois pour le meilleur, mais cette fois-ci, la surprise est teintée de controverse.
Cet article Windows 11 : Microsoft contraint les utilisateurs à sauvegarder sur OneDrive a été publié en premier par GinjFo.
Infomaniak partage les valeurs de Tech Café : éthique, écologie et respect de la vie privée. Découvrez les services de notre partenaire sur Infomaniak.com
Encore un nouveau générateur de vidéo (décidément c’est vraiment un par semaine) avec Runway Gen 3, le son arrive bientôt également dans les vidéos générées par IA ; c’est la folle semaine de l’IA générative !
❤️ Patreon
💬 Discord
💻 techcafe.fr
NZXT revisite son boîtier H7 Flow avec une ambition claire : améliorer les performances de refroidissement et simplifier le montage
Cet article H7 Flow 2024 : Refroidissement optimal et design élégant à partir de 139,99 € ? a été publié en premier par GinjFo.
NZXT revisite son boitier Moyen Tour H7 Flow. L’objectif est d’améliorer ses performances de refroidissement tout en optimisant le montage
Cet article Test H7 Flow RGB White de NZXT a été publié en premier par GinjFo.
Notre article Windows 11, sans le vouloir Microsoft dévoile les avantages d’un compte local aurait-il incité Microsoft à réagir ?
Cet article Microsoft fait marche arrière sur les comptes locaux dans Windows 11 a été publié en premier par GinjFo.
Le dernier FPS du studio Starbreeze, Payday 3, va avoir droit à une nouvelle mise à jour. Celle-ci devrait apporter la prise en charge du DLSS 3 de NVIDIA mais aussi un mode solo inédit. En revanche, ce dernier va demander une connexion internet pour fonctionner.
L’article Payday 3 : le mode solo inachevé va exiger une connexion internet est apparu en premier sur Tom’s Hardware.
Gigabyte a trouvé une solution originale aux problèmes liés au connecteur d'alimentation 12VHPWR tant décrié des GeForce RTX. En le repositionnant à l'arrière de sa RTX 4070 Ti SUPER WindForce MAX, celui-ci se retrouve caché par le dissipateur de la carte graphique.
L’article Gigabyte cache le connecteur d’alimentation de sa RTX 4070 Ti Super WindForce MAX OC est apparu en premier sur Tom’s Hardware.
Gmail va intégrer progressivement l’IA Gemini de Google. L'intelligence artificielle offrira des fonctionnalités permettant de faire gagner du temps aux usagers comme la recherche d’informations ou le résumé des courriels. Cependant ces services seront payants.
L’article Gmail devient plus intelligent et intègre Gemini, à condition de payer est apparu en premier sur Tom’s Hardware.
Un personnage meurt dans l'épisode 1 de House of the Dragon, et cela a des répercussions par la suite. Certaines de ses conséquences en entraineront d'autres, y compris plus « triviales ».
Pourquoi le vote en ligne n'existe-t-il pas en France pour les élections ? Les raisons pour lesquelles cette modalité de vote n'est pas généralisée sont identifiées depuis longtemps, mais ne sont pas toujours bien connues.
On a exploré la composante écologique dans le contrat de législative du Nouveau front populaire, en amont des élections législatives anticipées de 2024, dont le premier tour est ce dimanche 30 juin. Voici 8 mesures fortes.
Connexion