Le malware Raspberry Robin est en circulation depuis plusieurs années et il continue de se propager pour infecter les appareils Windows. Désormais, il est capable de contourner Microsoft Defender et d'être très furtif sur la machine infectée. Faisons le point !

À la base, le logiciel malveillant Raspberry Robin se propage principalement par l'intermédiaire de clés USB, comme nous l'avions évoqué dans un précédent article publié en juillet 2022. Mais, depuis mars 2024, les pirates semblent bien décidés à le distribuer plus largement, alors qu'initialement, il ciblait plutôt les industries et les grandes entreprises.

Campagnes de phishing et fausses publicités

Un nouveau rapport publié par l'équipe de chercheurs en sécurité HP Wolf Security met en avant les nouvelles capacités et techniques employées par Raspberry Robin. Désormais, la clé USB est remplacée par de fausses publicités et des campagnes de phishing par e-mails. L'objectif étant de rediriger les utilisateurs vers des sites malveillants contrôlés par les pirates sur lesquels sont hébergés des fichiers WSF (Windows Script Files) obscurci.

"Le format de fichier WSF prend en charge les langages de script, tels que JScript et VBScript, qui sont interprétés par le composant Windows Script Host intégré au système d'exploitation Windows.", peut-on lire. De plus, les chercheurs en sécurité précisent que le code des scripts WSF distribués par les pirates est long et difficile à analyser. En effet, il y a beaucoup de lignes de code inutiles, uniquement là pour brouiller les pistes.

Une analyse minutieuse de la machine infectée

La dernière version de Raspberry Robin se démarque également par sa capacité à contourner les solutions de sécurité et à passer entre les mailles du filet. Avant de passer à l'action, le malware effectue une analyse complète de la machine pour déterminer l'environnement sur lequel il se trouve, avant de passer à la phase d'infection.

Parmi les éléments vérifiés, il y a la version de Windows, le type d'appareils (machine virtuelle, serveur, poste de travail), le type de processeur, la détection de la solution de virtualisation via l'adresse MAC, et enfin, il vérifie la présence éventuelle de certains antivirus (Kaspersky, ESET, Avast, Avira, Check Point et Bitdefender). Si l'un de ces antivirus est identifié, le script s'arrête. L'objectif principal de cette série de vérifications est de s'assurer que le malware est exécuté sur l'appareil d'un utilisateur final.

Par contre, les chercheurs en sécurité précisent que Raspberry Robin est capable de contourner Microsoft Defender : "Il est donc plus probable que le script s'exécute sur un terminal protégé par Microsoft Defender. Pour échapper à la détection, le script ajoute une exception à Microsoft Defender qui exclut l'ensemble du disque principal de l'analyse antivirus."

La phase finale : le déploiement de Raspberry Robin

Si tous les voyants sont au vert et qu'il s'agit de l'appareil d'un utilisateur final, le script va télécharger la DLL Raspberry Robin depuis un serveur situé sur Internet. Pour cela, il va s'appuyer sur la commande "curl" prise en charge nativement sur Windows, et il va stocker la DLL malveillante dans le dossier "AppData" local. Ainsi, Raspberry Robin est déployé sur la machine et il peut agir sans déclencher d'alerte sur Microsoft Defender.

Raspberry Robin est capable de télécharger et d'exécuter des charges utiles supplémentaires. Les cybercriminels ont l'habitude de l'utiliser pour déployer un ransomware ou d'autres malwares comme IcedID, BumbleBee et Truebot.

The post Toujours plus furtif, le malware Raspberry Robin contourne Microsoft Defender pour infecter Windows first appeared on IT-Connect.

Des chercheurs en sécurité soupçonnent les cybercriminels d'avoir utilisé l'IA générative dans le cadre d'une attaque pour générer un script PowerShell. Il a été utilisé pour distribuer un malware infostealer. Faisons le point !

En mars 2024, les chercheurs en sécurité de chez Proofpoint ont identifié une campagne malveillante ciblant des dizaines d'organisations allemandes et associées au groupe de pirates suivi sous le nom de TA547, et connu également sous le nom de Scully Spider. Il s'agirait d'un groupe actif depuis 2017 et appartenant à la catégorie des "initial access broker" (courtier d'accès initial).

"Outre les campagnes menées en Allemagne, d'autres organisations ont été ciblées récemment en Espagne, en Suisse, en Autriche et aux États-Unis.", peut-on lire dans le rapport de Proofpoint.

Lors de cette campagne, les pirates ont tenté d'usurper l'identité de la marque allemande Metro en envoyant des e-mails malveillants avec une facture, au format ZIP, en pièce jointe. Pour échapper aux analyses de sécurité, ce fichier ZIP est protégé par le mot de passe "MAR26". Il contient un fichier de raccourci malveillant (.LNK) qui, lorsqu'il est exécuté, déclenche l'exécution d'un script distant via PowerShell.

L'objectif final est d'infecter la machine avec le logiciel malveillant "Rhadamanthys", de type infostealer. Ce malware a pour objectif de voler des données sur chaque machine infectée, notamment des identifiants et des cookies.

Un script PowerShell généré avec une IA ?

Les chercheurs en sécurité ont procédé à l'analyse du script PowerShell utilisé par les cybercriminels. Et, ils ont été surpris de constater que chaque ligne de code était précédée par un commentaire, très bien rédigé, comme ceux intégrés par l'IA lorsqu'on lui demande de l'aide pour un bout de code.

Voici un extrait du script PowerShell en question :

Les chercheurs affirment que c'est une caractéristique typique d'un code PowerShell généré avec l'aide d'une IA générative, que ce soit ChatGPT, Gemini ou Microsoft Copilot. Bien que ce ne soit pas certain à 100%, il y a de fortes chances pour que les cybercriminels aient utilisé l'IA pour écrire ou réécrire le code.

Cela signifierait que dans le cadre de cette campagne malveillante, les pirates du groupe TA547 ont recouru à l'IA. Bien entendu, cela n'est qu'un exemple parmi d'autres et dans le cas présent, l'IA pouvait difficilement se douter qu'il s'agissait d'un code PowerShell utilisé à des fins malveillantes.

Source

The post Un script PowerShell surement codé par l’IA a été utilisé pour distribuer un malware infostealer first appeared on IT-Connect.

D'après une étude réalisée par l’équipe Digital Footprint Intelligence de Kaspersky, le nombre d'appareils d'entreprise compromis par des logiciels malveillants de type "infostealer" est en forte augmentation : en 2023, on parle de plus d'un appareil sur deux !

Pour rappel, un logiciel malveillant de type "infostealer" est ce que l'on appelle un voleur de données ou voleur d'informations. Une fois l'appareil infecté, le malware est capable de siphonner les données présentes dans diverses applications, telles que les navigateurs, afin de voler des identifiants et mots de passe, ainsi que des cookies de connexion. Ils sont de plus en plus nombreux et RedLine est l'un des plus populaires.

L’équipe Digital Footprint Intelligence de Kaspersky a effectué une analyse basée sur les données extraites à partir de fichiers journaux de malwares "infostealer" disponibles sur le dark web. Depuis 2020, le nombre d'appareils professionnels compromis par ce type de menace a augmenté de 34%. Résultat, d'après cette étude, en 2023, plus de la moitié (53%) des appareils infectés par ce type de malware étaient des appareils appartenant à des entreprises.

Dans le cas présent, l'équipe de Kaspersky s'est concentrée sur l'analyse des éditions de Windows infectées par un infostealer. 53%, cela correspond à la part d'appareils sous Windows 10 Enterprise, donc cela n'inclut pas les appareils sous Windows 10 Pro. C'est un détail important, car l'édition "Pro" est aussi très largement utilisée par les organisations.

21% des employés ont exécuté le logiciel malveillant à plusieurs reprises

Kaspersky estime que 21% des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises.

D'ailleurs, Kaspersky a mené l'expérience suivante pour obtenir cette statistique : "Pour ce faire, nous avons examiné un échantillon de fichiers journaux contenant des données vraisemblablement liées à 50 organismes bancaires de différentes régions. Nous avons constaté que 21% des employés ont rouvert le logiciel malveillant et que 35% de ces réinfections ont eu lieu plus de trois jours après l'infection initiale. Cela peut indiquer plusieurs problèmes sous-jacents, notamment une sensibilisation insuffisante des employés, des mesures inefficaces de détection et de réponse aux incidents, l'idée qu'il suffit de changer le mot de passe si le compte a été compromis, et une réticence à enquêter sur l'incident."

À chaque fois qu'un identifiant est associé à une adresse e-mail professionnelle, Kaspersky estime qu'elle permet d’avoir accès à 1,85 application professionnelle en moyenne. Ceci peut correspondre à des portails internes, des applications, des services de messagerie, etc.

The post 53% des appareils infectés par des malwares « infostealer » appartiennent à des entreprises ! first appeared on IT-Connect.

Si vous avez l'habitude d'utiliser Python ou des projets codés en Python, vous connaissez probablement PyPI puisqu'il s'agit du référentiel officiel pour les projets Python. Ce 28 mars 2024, pendant plus de 10 heures, il n'était plus possible de s'inscrire : pourquoi ? La réponse dans cet article !

Pour les développeurs Python, PyPI est assurément incontournable ! Et, pour preuve, il référence des milliers de projets Python associés à des paquets divers et variés, plus ou moins populaires. Forcément, cette popularité fait de PyPI une cible attractive pour les cybercriminels, où ces derniers n'hésitent pas à charger de faux paquets malveillants ou à utiliser la technique du typosquatting pour tenter de piéger des utilisateurs.

D'ailleurs, c'est à cause d'une campagne malveillante que la Python Software Foundation a pris la décision d'empêcher temporairement la création de nouveaux comptes utilisateurs. Cette décision a pour objectif de limiter les activités malveillantes. En effet, un rapport mis en ligne par Checkmarx mentionne une importante campagne malveillante : en quelques heures, les pirates ont chargé sur PyPI un ensemble de 365 paquets différents, dont les noms imitent des projets légitimes.

À chaque fois, chacun de ces paquets contient un fichier "setup.py" malveillant qui, lors de l'installation, tente de se connecter à un serveur distant pour récupérer un logiciel malveillant de type info-stealer ! Ainsi, si un développeur ou un autre utilisateur télécharge et installe ce paquet malveillant, il récupère au passage un malware voleur de données qui se fera un plaisir d'exfiltrer les données mémorisées dans les navigateurs (identifiants, mots de passe, cookies, portefeuilles de cryptomonnaies).

Une campagne automatisée

Dans le cas présent, les pirates ont automatisé cette attaque : chaque compte PyPI est utilisé pour télécharger un seul paquet, et à chaque fois, un nom d'utilisateur et une adresse e-mail différents sont utilisés. Ainsi, il est plus difficile de faire une opération de nettoyage. Le script malveillant, quant à lui, est toujours le même : une preuve qu'il s'agit d'une campagne initiée par le même acteur malveillant.

C'est probablement pour cette raison que PyPI a pris la décision de bloquer les inscriptions ! Désormais, le problème est "résolu" et il est possible de s'inscrire de nouveau. Ceci signifie que ce jeudi 28 mars 2024, il n'était plus possible de s'inscrire entre 03h16 et 13h56, heure française.

Ce n'est pas la première fois que cela se produit, puisqu'une telle décision a été prise le 20 mai 2023. L'objectif étant de protéger les membres de la communauté Python.

Source

The post Pour bloquer une campagne malveillante, PyPI a désactivé temporairement la création de comptes ! first appeared on IT-Connect.

Une nouvelle variante du botnet "TheMoon" a été repéré dans 88 pays différents sur des milliers de routeurs, notamment de la marque ASUS, et des appareils IoT. Faisons le point sur cette menace.

Les chercheurs en sécurité de Black Lotus Labs ont surveillé de près la dernière campagne de TheMoon, qui s'est déroulée en mars 2024, et les chiffres sont élevés : en 72 heures, ce botnet est parvenu à compromettre 6 000 routeurs ASUS. Plus globalement, voici ce que précise le rapport au sujet de l'activité de TheMoon : "Alors que Lumen a déjà documenté cette famille de logiciels malveillants, notre dernier suivi a montré que TheMoon semble permettre la croissance de Faceless à un rythme de près de 7 000 nouveaux utilisateurs par semaine."

En effet, les appareils compromis par le botnet TheMoon sont ensuite exploités par le service proxy "Faceless" auquel il est lié. Ce service s'appuie sur les appareils infectés pour les utiliser comme proxy afin de masquer le trafic généré par les cybercriminels. Ainsi, ceci permet aux cybercriminels, notamment ceux des groupes IcedID et SolarMarker, de masquer leurs activités malveillantes.

TheMoon n'est pas une nouvelle menace puisqu'il a été repéré pour la première fois en 2014. À cette époque, il ciblait particulièrement les équipements LinkSys. Lors de la première semaine de mars, il y a eu une importante vague d'attaques à destination des routeurs ASUS.

Les routeurs ASUS, une cible privilégiée

Les chercheurs de Black Lotus Labs ne précisent pas comment les routeurs ASUS ont pu être compromis, mais il s'agirait de modèles qui ne sont plus pris en charge par le fabricant. Il est fort probable que des failles de sécurité connues et non corrigées soient exploitées par le botnet, ou que la technique du brute force soit utilisée : ces routeurs sont susceptibles d'être mal configurés et le compte admin par défaut pourrait fonctionner dans certains cas...

Lorsqu'un appareil est compromis, le logiciel malveillant part à la recherche d'un shell avec lequel il est compatible : "/bin/bash," "/bin/ash," ou "/bin/sh". Si c'est le cas, le chargeur télécharge, déchiffre et exécute un payload nommé ".nttpd" sur l'appareil. Ensuite, des règles de filtrage sont créées via iptables pour bloquer les flux entrants sur les ports 8080 et 80 en TCP, sauf pour des plages d'adresses IP spécifiques. Ceci permet aux attaquants d'être les seuls à pouvoir exploiter cet appareil à distance, notamment via le service de proxy. Enfin, TheMoon établit une connexion aux serveurs C2 pilotés par les attaquants et il est en attente de recevoir des instructions.

Si vous constatez des problèmes de stabilité, de performances ou des paramètres qui ont changé sur votre routeur ou un appareil IoT, il se pourrait que vous soyez victime de ce botnet, notamment si vous utilisez un routeur ASUS.

Source

The post En 72 heures, le botnet TheMoon a compromis 6 000 routeurs ASUS first appeared on IT-Connect.

Une centaine d'organisations situées aux États-Unis et en Europe ont été victime d'une nouvelle campagne malveillante visant à déployer le malware StrelaStealer ! Voici ce qu'il faut savoir sur cette menace.

L'Unit42 de Palo Alto Networks a publié un rapport au sujet de la menace StrelaStealer, un logiciel malveillant repéré pour la première fois en novembre 2022. Après avoir infecté une machine, son objectif est de voler les informations d'identification des comptes de messagerie dans les applications Outlook et Thunderbird.

Alors qu'à la base ce malware ciblait principalement les utilisateurs hispanophones, il s'avère que les cybercriminels ont fait évoluer leur plan : désormais l'Europe et les États-Unis sont pris pour cible. Pour cela, les pirates n'hésitent pas à traduire en plusieurs langues les fichiers utilisés par ce malware, ce qui le rend polyglotte et lui permet de s'adapter à la cible.

Comme beaucoup d'autres logiciels malveillants, StrelaStealer est distribué par l'intermédiaire de phishing. Depuis la fin du mois de janvier, l'Unit42 a détecté une forte hausse de l'activité avec un important volume d'e-mails malveillants envoyés par jour. L'Unit42 évoque jusqu'à 500 organisations ciblées par jour et il y a eu des victimes : "Récemment, nos chercheurs ont identifié une vague de campagnes StrelaStealer à grande échelle touchant plus de 100 organisations dans l'UE et aux États-Unis.", peut-on lire dans le rapport. Dans la grande majorité des cas, ce sont les organisations du secteur des nouvelles technologies qui ont été les plus visées.

La chaine d'infection de StrelaStealer

Les pirates ont fait évoluer la chaine d'infection du malware StrelaStealer. Désormais, l'e-mail malveillant contient une pièce jointe au format ZIP qui a pour objectif de déposer des fichiers JScript sur la machine de la victime. Dans le cas où ces scripts sont exécutés, ils déposent un fichier batch et un fichier encodé en base64, qui donne lieu à une DLL qui sera exécutée via rundll32.exe afin de déployer le payload StrelaStealer.

Le schéma ci-dessous, issu du rapport d'Unit42 permet de comparer l'ancienne et la nouvelle chaine d'infection.

Si le logiciel malveillant est déployé, il vole les identifiants mémorisés dans Outlook et Thunderbird et ces informations sont immédiatement envoyées aux attaquants par l'intermédiaire d'un serveur C2.

Une fois de plus, méfiance avec les e-mails...

Source

The post Phishing : plus de 100 organisations en Europe et aux États-Unis impactées par StrelaStealer first appeared on IT-Connect.

Un chercheur en sécurité a identifié un nouveau logiciel malveillant destructeur de données, nommé AcidPour, et qui cible les équipements réseau ainsi que des appareils avec un système Linux. Voici ce que l'on sait sur cette menace.

AcidPour, qui est considéré comme une variante du malware AcidRain, est, ce que l'on appelle un "data wiper", c'est-à-dire un malware dont l'unique but est de détruire les données présentes sur l'appareil infecté. Autrement dit, le malware AcidPour est destiné à effectuer des actes de sabotages. D'ailleurs, AcidRain a été utilisé dans le cadre d'une cyberattaque contre le fournisseur de communications par satellite Viasat, ce qui avait eu un impact important sur la disponibilité des services en Ukraine et en Europe.

Le malware AcidPour quant à lui, a été identifié par Tom Hegel, chercheur en sécurité chez SentinelLabs, et il a été téléchargé depuis l'Ukraine le 16 mars 2024. Il présente plusieurs similitudes avec AcidRain, notamment au sein des chemins pris pour cible sur les machines infectées. Néanmoins, les deux malwares ont uniquement 30% de code source en commun. AcidPour pourrait être une variante beaucoup plus évoluée et puissante qu'AcidRain, grâce à la "prise en charge" de la destruction de données sur une plus grande variété d'appareils.

AcidPour est un malware destructeur de données capable de s'attaquer à des équipements réseau, notamment des routeurs, mais aussi des appareils avec une distribution Linux embarquée (Linux x86). Par exemple, il pourrait s'agir de cibler des NAS dont le système est basé sur Linux, car le malware s'intéresse aux chemins de type "/dev/dm-XX.

Sur X (ex-Twitter), Rob Joyce, directeur de la cybersécurité de la NSA, affiche une certaine inquiétude vis-à-vis de ce logiciel malveillante : "Il s'agit d'une menace à surveiller. Mon inquiétude est d'autant plus grande que cette variante est plus puissante que la variante AcidRain et qu'elle couvre davantage de types de matériel et de systèmes d'exploitation.

Enfin, sachez que SentinelLabs a partagé un échantillon de ce malware sur VirusTotal, et vous pouvez le retrouver sur cette page publique.

Source

The post AcidPour, un malware destructeur de données, qui cible Linux et les équipements réseau ! first appeared on IT-Connect.

Pour déployer le malware DarkGate, les pirates exploitent une faille de sécurité corrigée en février 2024 par Microsoft. Présente dans la fonctionnalité SmartScreen de Windows Defender, elle permet de contourner les contrôles de sécurité, et donc l'exécution de code malveillant. Voici ce qu'il faut savoir !

La faille de sécurité CVE-2024-21412

Avant d'évoquer cette campagne malveillante, parlons de la vulnérabilité CVE-2024-21412. Microsoft l'a corrigée à l'occasion de la sortie de ton Patch Tuesday de Février 2024, et l'a alors présenté comme une faille de sécurité zero-day, c'est-à-dire une vulnérabilité déjà connue et exploitée par les pirates avant qu'elle ne soit corrigée.

Présente dans Windows, elle permet d'outrepasser la fonction de vérification Mark of the Web (MoTW) à partir d'un fichier de type raccourci Internet. Ce qui fait que SmartScreen ne se déclenche pas, car le fait de tromper la fonction MoTW engendre un défaut sur ce marqueur permettant de faire croire au système qu'il s'agit d'un lien vers un fichier local, même si celui-ci se situe sur Internet.

Là encore, pour que l'attaque aboutisse, il doit y avoir une interaction avec l'utilisateur : "Un attaquant non authentifié pourrait envoyer à l'utilisateur ciblé un fichier spécialement conçu pour contourner les contrôles de sécurité affichés. [...] L'attaquant devra convaincre l'utilisateur d'agir en cliquant sur le lien du fichier."

La campagne d'attaques DarkGate

Au moment où Microsoft a divulgué cette vulnérabilité, la Trend Micro Zero Day Initiative, à l'origine de sa découverte, avait publié un rapport sur la CVE-2024-21412 qui permettait d'apprendre que cette faille de sécurité a été activement exploitée par le groupe APT DarkCasino (Water Hydra) dans le cadre d'une campagne malveillante ciblant les traders financiers.

Désormais, c'est un second rapport publié par Trend Micro qui évoque l'exploitation de cette vulnérabilité par un autre groupe de pirates, cette fois-ci dans le but de déployer le malware DarkGate. Cette campagne a été repérée mi-janvier 2024.

Cette attaque commence par un e-mail malveillant contenant un fichier PDF en pièce jointe et un ensemble de liens qui s'appuient sur des redirections Google DoubleClick pour contourner les contrôles de sécurité des e-mails. Si un utilisateur clique sur le lien, il est redirigé vers un site web sur lequel est hébergé un fichier de raccourci, en ".url", qui lui-même renvoie vers un second raccourci hébergé sur un serveur WebDAV piloté par l'attaquant.

Cette "astuce" utilisée par les cybercriminels permet d'exploiter la faille de sécurité CVE-2024-21412. Le second raccourci quant à lui est là pour exécuter, de façon automatique, un fichier MSI malveillant sur la machine Windows. Il y a plusieurs fichiers MSI différents utilisés par les cybercriminels, et à chaque fois, tout est fait pour que le fichier semble légitime en se faisant passer pour une application de NVIDIA, l'application iTunes d'Apple ou encore Notion. Ce package MSI va ensuite s'appuyer sur des DLL pour télécharger, déchiffrer, et charger le logiciel malveillant DarkGate sur la machine.

Ce malware est utilisé par certains cybercriminels depuis 2017. Il offre diverses fonctionnalités comme la prise en main à distance via hVNC, l'enregistrement de la saisie au clavier (keylogger), le déploiement d'un reverse shell, le vol du contenu du presse-papiers ou encore le vol de données à partir des volumes de l'ordinateur et des navigateurs Web.

Dans le cas présent, Trend Micro précise que c'est la version 6.1.7 de DarkGate qui a été repérée. Elle ajoute des fonctionnalités supplémentaires, comme le chiffrement XOR de la configuration, et offre plus de flexibilité aux pirates avec la possibilité d'utiliser des paramètres pour mettre en place diverses tactiques opérationnelles et techniques d'évasion.

Si vous n'avez pas encore déployé les mises à jour cumulatives de février 2024, vous savez ce qu'il vous reste à faire...

Source

The post Une faille dans Windows SmartScreen exploitée pour déployer le malware DarkGate ! first appeared on IT-Connect.

Si vous avez acheté un ordinateur de la marque AceMagic, méfiez-vous : il s'avère que certains mini PC sont livrés avec un système d'exploitation Windows truffé de logiciels malveillants !

Depuis plusieurs années, les mini PC sont tendances, car ils sont à la fois performant et peu gourmand, que ce soit en place ou en énergie. Résultat, de nombreuses marques profitent de ce marché initialement occupé par Intel avec ses NUC.

Aujourd'hui, c'est la marque AceMagic qui appartient à l'entreprise chinoise Shenzhen Shanminheng Technology qui nous intéresse. Elle propose des ordinateurs compacts, plutôt élégants et bon marché. Il est très facile de s'en procurer un exemplaire, car ils sont vendus sur Amazon.

Le 3 février 2024, le YouTuber "The Net Guy Reviews" a eu l'occasion de tester un modèle de la marque : AceMagic AD08. Il a eu très rapidement une mauvaise surprise puisqu'une analyse Windows Defender a révélé la présence de deux malwares dans la partition de récupération de Windows.

Dans le cas présent, il s'agit de deux exécutables appelés ENDEV et EDIDEV et faisant partie des familles de logiciels malveillants Bladabindi et Redline. Il s'agit de malware de type "voleur d'informations", comme le tristement célèbre RedLine. Pour rappel, ce type de malware est susceptible de voler des mots de passe enregistrés dans les navigateurs, etc. Cela ne s'arrête pas là, car Windows Defender a également détecté d'autres spywares.

La faute d'un sous-traitant

La marque a rapidement réagi à la vidéo du YouTuber en affirmant qu'elle sous-traite la création des images Windows installées sur ses machines. Ceci interroge, clairement, et signifie aussi que ce n'est pas spécifique à ce modèle. AceMagic a réagi à la publication de cette vidéo et la marque aurait fait le nécessaire sur l'ensemble des machines en stock, et ce problème ne serait plus qu'un lointain souvenir. Toutefois, si vous avez acheté un ordinateur AceMagic avant février 2024, vous ne pourrez pas en profiter.

En résumé, lorsque l'on commande un ordinateur avec un système préinstallé, on prend le soin de réinstaller un système d'exploitation à partir d'une image officielle et saine.

Vous pouvez retrouver la vidéo par ici :

Source

The post Attention : ce mini PC était livré avec plusieurs malwares de type « infostealer » ! first appeared on IT-Connect.

Dans le cadre de ses activités malveillantes, le célèbre groupe Lazarus a exploité une faille de sécurité présente dans le pilote AppLocker de Windows. Grâce à cette vulnérabilité, les hackers ont pu obtenir un accès au niveau du noyau et désactiver les outils de sécurité présents sur la machine. Faisons le point.

CVE-2024-21338, c'est la référence CVE associée à la faille de sécurité exploitée par le groupe de hackers nord-coréen Lazarus. Microsoft l'a patché le 13 février dernier, à l'occasion de son Patch Tuesday de février 2024.

Les experts d'Avast ont mis en ligne un nouveau rapport pour évoquer ces cyberattaques. Il permet d'apprendre que le groupe Lazarus a exploité cette vulnérabilité par l'intermédiaire d'une nouvelle version de son rootkit FudModule. Ce dernier est désormais plus furtif et plus difficile à détecter, en plus d'être capable de désactiver les solutions de sécurité présentes sur la machine Windows, notamment Microsoft Defender et CrowdStrike Falcon.

Avast explique également que le groupe Lazarus a exploité cette faille de sécurité en tant que zero-day, ce qui signifie qu'il n'existait pas encore de patch de sécurité. Avast a détecté cette vulnérabilité et l'a signalée à Microsoft. "L'exploitation de la vulnérabilité zero-day constitue une autre étape importante, alors que Lazarus utilisait auparavant des techniques BYOVD (Bring Your Own Vulnerable Driver) beaucoup plus bruyantes pour franchir la frontière entre l'administrateur et le noyau.", peut-on lire.

Quelles sont les versions de Windows affectées ? Quels sont les risques ?

Si l'on se réfère au site de Microsoft, nous pouvons voir que cette vulnérabilité affecte Windows 10 version 1809 et supérieur, Windows 11, ainsi que Windows Server 2019 et Windows Server 2022. "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.", précise Microsoft.

Dans le cas présent, c'est le logiciel malveillant déployé sur la machine qui va directement exploiter cette vulnérabilité présente dans le pilote "appid.sys" utilisé par AppLocker afin d'obtenir une liste blanche d'applications. Ainsi, ils ont accès au noyau de l'OS et peuvent en prendre le contrôle.

Pour vous protéger, vous n'avez qu'une seule option : installer les dernières mises à jour sur vos machines Windows et Windows Server.

Source

The post Windows : le groupe Lazarus a exploité cette faille de sécurité zero-day dans AppLocker ! first appeared on IT-Connect.

Depuis plusieurs mois, le cheval de Troie bancaire Anatsa cible les appareils Android, et plus particulièrement les utilisateurs européens ! Pour se propager, il s'appuie sur des applications malveillantes diffusées par le Google Play Store. Faisons le point sur cette menace.

Les chercheurs en sécurité de ThreatFabric ont mis en ligne un rapport pour alerte sur l'activité du Trojan Anatsa. D'après eux, depuis le mois de novembre 2023, il est très actif et il a déjà infecté les appareils de 150 000 utilisateurs européens. Quand il est en place, Anatsa a pour objectif de voler vos identifiants bancaires pour vider vos comptes.

On parle de cinq campagnes différentes lancées à l'encontre des utilisateurs situés au Royaume-Uni, en Allemagne, en Espagne, en Slovaquie, en Slovénie et en République tchèque. Chaque campagne a pour objectif de cibler une zone géographique bien précise. Même si cela s'est intensifié ces derniers mois, ce n'est pas la première fois qu'Anatsa s'en prend aux utilisateurs européens. Le rapport technique de TheatFabric est disponible sur cette page.

À chaque fois, l'application publiée sur le Google Play Store sert d'appât et de "dropper" pour distribuer le malware sur les appareils des victimes. Il s'agit d'un processus d'infection en plusieurs étapes qui permet de contourner les mesures de protection d'Android, jusqu'à Android 13. Par exemple, la technique employée par Anatsa abuse du service d'accessibilité d'Android en prétextant la nécessité d'avoir une autorisation d'accès pour hiberner les applications gourmandes en batterie.

Les chercheurs de ThreatFabric évoquent plusieurs applications utilisées dans le cadre de ces campagnes, notamment "Phone Cleaner – File Explorer" avec environ 10 000 téléchargements, et "PDF Reader: File Manager" avec plus de 100 000 téléchargements. Au total, les différents apps cumulent plus de 150 000 téléchargements, soit autant de victimes potentielles.

Voici la liste des 5 applications utilisées :

1. Phone Cleaner - File Explorer (com.volabs.androidcleaner)
2. PDF Viewer - File Explorer (com.xolab.fileexplorer)
3. PDF Reader - Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
4. Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
5. PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)

Méfiez-vous avant d'installer des applications, même lorsque c'est sur le Play Store : lisez les avis, consultez l'historique, etc... Avant de cliquer sur le bouton "Installer".

Source

The post En Europe, le malware Anatsa a déjà infecté plus de 150 000 appareils Android first appeared on IT-Connect.