FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Enquête mondiale ransomwares – Une entreprise sur trois considère les menaces internes malveillantes comme l’origine de ransomware

20 septembre 2022 à 17:50
Par : UnderNews

Les risques internes sont un vecteur de menace courant pour la très grande majorité des responsables de la sécurité, qui reconnaissent ne pas avoir la visibilité nécessaire, pour déterminer s'il s'agit d'actes malveillants ou accidentels. 

The post Enquête mondiale ransomwares – Une entreprise sur trois considère les menaces internes malveillantes comme l’origine de ransomware first appeared on UnderNews.

Qu’est-ce qu’un malware ?

18 septembre 2022 à 12:57

Un malware, logiciel malveillant ou maliciel en français, est un logiciel développé afin de nuire à l’ordinateur sur lequel il sera lancé ainsi qu'à son utilisateur ou utilisatrice.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Qu’est-ce qu’un malware ?

18 septembre 2022 à 12:57

Un malware, logiciel malveillant ou maliciel en français, est un logiciel développé afin de nuire à l’ordinateur sur lequel il sera lancé ainsi qu'à son utilisateur ou utilisatrice.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Analyse d’AsyncRAT

8 septembre 2022 à 19:05
Par : UnderNews

Le Threat Labs de Netskope a analysé le flux d'attaque complet d'AsyncRAT, un outil d'administration à distance open source, du téléchargeur à la dernière charge utile. Dans le scénario décrit, l'attaquant a utilisé des techniques simples pour que le téléchargeur passe sous le radar, n'étant détecté par aucun des moteurs de VirusTotal.

The post Analyse d’AsyncRAT first appeared on UnderNews.

Secteur de la santé et hôpitaux : quelles solutions de protection contre les ransomwares ?

8 septembre 2022 à 18:56
Par : UnderNews

Les cybercriminels ont pris pour cible les hôpitaux comme celui de Corbeil Essonnes dernièrement, parce qu’ils cristallisent de vastes enjeux et ne sont pas systématiquement bien protégés. Les ransomwares sont devenus le fléau majeur pour le secteur de la santé, les criminels innovent généralement plus vite que les organisations et échappent facilement aux contrôles de sécurité traditionnels. Raison pour laquelle le secteur de la santé doit préparer sa défense.

The post Secteur de la santé et hôpitaux : quelles solutions de protection contre les ransomwares ? first appeared on UnderNews.

Shikitega, un nouveau malware Linux difficile à détecter !

7 septembre 2022 à 08:58

Un nouveau malware baptisé Shikitega a été découvert et il cible les ordinateurs sous Linux, ainsi que les appareils IoT avec un système basé sur Linux. Faisons le point sur cette nouvelle menace.

Le malware Shikitega exploite des vulnérabilités pour élever ses privilèges sur la machine infectée (CVE-2021-4034 correspondante à PwnKit et CVE-2021-3493), et pour être persistant sur la machine, il modifie la crontab (système de tâches planifiées sous Linux) du système. Il peut même aller jusqu'à déployer un logiciel de minage de cryptomonnaie (XMRig version 6.17.0) sur les appareils infectés. Sa particularité, c'est qu'il est relativement furtif et qu'il parvient à échapper à la détection des antivirus grâce à son encodeur polymorphe. Ainsi, il n'est pas possible de le détecter en s'appuyant sur une simple signature. Une nouvelle preuve que la détection par signature n'est pas suffisante et qu'il faut s'intéresser aux comportements.

Dans un rapport, les chercheurs en sécurité de chez AT&T, à l'origine de la découverte de ce malware, précisent : "Le malware Shikitega est diffusé de manière sophistiquée, il utilise un encodeur polymorphe et délivre progressivement sa charge utile, chaque étape ne révélant qu'une partie de la charge utile totale." - En effet, il s'avère que la chaîne d'infection est découpée en plusieurs étapes, et à chaque étape, une partie du logiciel malveillant est déployée. Par exemple, l'infection commence par un fichier ELF de 370 octets.

Pour donner lieu au shellcode malveillant qui sera exécuté au final sur la machine infectée, le malware passe par plusieurs boucles de décodage, où chaque boucle décode la couche suivante jusqu'à ce que la charge utile finale soit décodée, et donc reconstituée, afin d'être exécutée. Une fois en place, le malware Shikitega se connecte au serveur de commande et contrôle (C2) des pirates, dans le but de recevoir des commandes supplémentaires à exécuter. Par exemple, les pirates peuvent télécharger et exécuter Mettle sur l'hôte infecté, une version allégée et portable de Meterpreter, ce qui offre des options supplémentaires comme le contrôle à distance.

Au niveau de la crontab, le malware ajoute 4 tâches, 2 pour le super-utilisateur root et 2 autres pour l'utilisateur en cours. Voici le nom des scripts exécutés via la crontab : brict.sh, politrict.sh, truct.sh et restrict.sh. En complément, le script unix.sh est téléchargé et il sert à vérifier l'existence de la commande "crontab" : si elle n'est pas présente, il installe le paquet nécessaire et démarre le service.

Bien qu'il se concentre pour le moment sur le minage de la cryptomonnaie Monero, il n'est à exclure que le malware Shikitega soit utilisé à d'autres fins par la suite. Pour se protéger contre cette menace, il convient de maintenir à jour son système Linux et d'utiliser des outils de protection, notamment un EDR.

Source

The post Shikitega, un nouveau malware Linux difficile à détecter ! first appeared on IT-Connect.

Le legacy : une porte d’entrée royale pour les ransomwares ?

6 septembre 2022 à 10:51
Par : UnderNews

Cohesity dévoile aujourd’hui les résultats d’une nouvelle enquête de cybersécurité qui révèle que près d’une entreprise sur deux s'appuie sur une infrastructure de données obsolète, datant dans certains cas des années 1990, soit bien avant l’émergence du multicloud et des cyberattaques sophistiquées telles que les ransomwares.

The post Le legacy : une porte d’entrée royale pour les ransomwares ? first appeared on UnderNews.

Des logiciels malveillants cachés dans les images du télescope James Webb

1 septembre 2022 à 14:38
Par : UnderNews

Des chercheurs en sécurité de Securonix ont repéré une nouvelle campagne de logiciels malveillants baptisée « GO#WEBBFUSCATOR », qui s'appuie sur des emails de phishing, des documents malveillants et des images spatiales du télescope James Webb pour diffuser des logiciels malveillants.

The post Des logiciels malveillants cachés dans les images du télescope James Webb first appeared on UnderNews.

Manipulez des programmes dangereux avec SandBoxie

24 août 2022 à 10:23
Par : Korben

Si vous avez l’habitude de jongler avec des programmes un peu sensibles comme des outils de « sécurité » ou autre genre de petits softs un peu louches, vous savez qu’il est très facile de choper un petit virus ou encore un adware à la con qui va vous ouvrir 150 000 popup vers sexylolo.com.

Pour éviter ce genre de chose, tout en testant les programmes undergrounds qui vous passent sous la main, il existe un petit soft qui crée une espèce de container sur votre PC dans lequel les programmes s’exécutent en autarcie complète sans toucher à votre système.

Ça s’appelle SandBoxie, c’est sous licence libre et l’outil existe en 2 parfums : Sandboxie Classic et Sandboxie Plus. Les deux disposent du même niveau de sécurité, mais pas des mêmes fonctionnalités. En effet, la version Sandboxie Plus dispose d’une interface utilisateur plus moderne utilisant Qt qui permet les fonctionnalités suivantes :

  • Un gestionnaire d’instantanée qui permet de « photographier » une sandbox afin de la restaurer si besoin.
  • Un mode maintenant permettant de désinstaller / réinstaller / lancer / stopper le service Sandboxie.
  • Un mode portable pour exécuter Sandboxie et l’ensemble de ses fichiers dans un même répertoire. Pratique pour le coller sur une clé USB ou tout simplement ne pas faire d’installation.
  • Et des options supplémentaires pour bloquer par exemple l’accès à certains composants Windows comme le gestionnaire d’impression, l’accès à Internet ou le presse papier. Le pare-feu de Sandboxie prend également en charge WFP (Windows Filtering Platform).

Une fois votre programme lancé dans Sandboxie Plus, vous pourrez également terminer l’ensemble des processus tournant dedans avec un simple raccourci clavier.

Ce genre d’outil est très pratique pour éviter de se choper un virus en cas d’utilisation d’un .exe douteux, ou tout simplement y faire tourner un navigateur pour éviter à la fois les malwares et les fuites d’information liées à votre vie privée.

Clair non ? En gros, il donne l’accès à votre Windows aux programmes qu’il contient, mais uniquement en lecture seule. Ça faisait un bail que  j’en avais entendu parler, mais je n’avais jamais pris le temps de l’évoquer ici.  Donc si vous ne connaissiez pas encore, SandBoxie est téléchargeable ici.

— Article publié le 5 octobre 2007 – mis à jour le 24 août 2022 —

Nouveau rapport Avast sur les menaces : Les ransomwares en hausse de 42 % en France.

11 août 2022 à 09:58
Par : UnderNews

Les chercheurs d'Avast découvrent de nouveaux exploits de type "zero-day" et des changements dans les vecteurs d'attaque depuis le blocage des macros de Microsoft Office.

The post Nouveau rapport Avast sur les menaces : Les ransomwares en hausse de 42 % en France. first appeared on UnderNews.

RapperBot, un nouveau botnet Linux qui s’attaque aux accès SSH !

4 août 2022 à 21:32

Un nouveau botnet surnommé RapperBot s'en prend aux serveurs Linux en effectuant des attaques par brute force sur les accès SSH ! Son objectif est de compromettre la machine pour obtenir un accès persistant.

Les chercheurs en sécurité de FortiGuard Labs ont découvert ce nouveau malware qui semble actif depuis la mi-juin 2022 et qui serait basé sur le cheval de Troie nommé Mirai, même s'il est différent dans son comportement. Suite à cette découverte, les chercheurs en sécurité l'ont traqué pendant 1 mois et demi, et il s'avère que ce nouveau botnet a utilisé plus de 3 500 adresses IP uniques, réparties dans le monde, pour effectuer des attaques brute force à destination de l'accès SSH de serveurs Linux, plutôt orienté IoT.

La menace RapperBot est un fork de Mirai, et même s'il réutilise certaines parties du code source de Mirai, il a des caractéristiques différentes. Le rapport de Fortinet précise : "Contrairement à la majorité des variantes de Mirai, qui effectuent des attaques par brute force sur les accès Telnet dans le but de trouver un accès avec un mot de passe par défaut ou un mot de passe faible, RapperBot scanne et attaque exclusivement les accès SSH qui acceptent les connexions par mot de passe."

Toujours d'après ce même rapport de Fortinet : "La majeure partie du code source du malware correspond à l'implémentation d'un client SSH 2.0 qui peut se connecter et attaquer par brute force tout serveur SSH prenant en charge l'échange de clés Diffie-Hellmann avec des clés de 768 ou 2048 bits, et le chiffrement des données à l'aide d'AES128-CTR."

Que se passe-t-il sur les machines compromises ?

Alors qu'au début le dictionnaire de mots de passe était codé en dur dans le binaire du malware, il s'avère que désormais cette liste est téléchargée à partir du serveur Command & Control. Dans le cas où une attaque réussit, le malware renvoie au serveur C2 les identifiants qui ont fonctionné. Lorsqu'une machine est compromise, RapperBot modifie les clés SSH du serveur Linux de manière à être persistant même si le mot de passe SSH venait à être modifié. Même si le malware est supprimé, les cybercriminels pourraient continuer d'accéder au serveur Linux grâce à la modification du fichier "~/.ssh/authorized_keys" de l'hôte.

Ce n'est pas tout ! En effet, le malware ajoute l'utilisateur root "suhelper" sur les machines compromises et il crée une tâche Cron qui crée à nouveau l'utilisateur toutes les heures au cas où un administrateur découvre le compte et le supprime.

Même si la majorité des botnets effectuent des attaques DDoS, ce n'est pas si évident que cela avec RapperBot. Ses capacités à effectuer des attaques DDoS seraient limitées. Les chercheurs en sécurité évoquent une autre piste : les cybercriminels pourraient revendre les accès persistants à d'autres cybercriminels spécialistes des attaques par ransomwares. Pour le moment, il n'y a aucune preuve de cela et les chercheurs n'ont pas eu de cas où une autre charge malveillante était exécutée sur le serveur. Disons que le malware se niche simplement sur les hôtes Linux compromis et qu'il reste en sommeil, même s'il semble tout de même essayer de compromettre d'autres machines.

Un rapport détaillé est disponible sur le site de Fortinet. où il y a également la liste d'une partie des adresses IP malveillantes.

Source

The post RapperBot, un nouveau botnet Linux qui s’attaque aux accès SSH ! first appeared on IT-Connect.

Les services aux entreprises sont la principale cible des attaques par rançongiciel

2 août 2022 à 17:33
Par : UnderNews

Un rapport détaille l’évolution de la cybercriminalité russe, la sécurité des e-mails et les menaces pesant sur les infrastructures essentielles. Trellix, spécialiste de la cybersécurité et pionner dans la détection et de la réponse étendues (XDR), publie aujourd’hui son « Threat Report: Summer 2022 », qui se penche sur les tendances en matière de cybersécurité et les méthodes d’attaque […]

The post Les services aux entreprises sont la principale cible des attaques par rançongiciel first appeared on UnderNews.

Redressement Judiciaire – Clestra Hauserman victime d’une attaque par ransomware

29 juillet 2022 à 16:43
Par : UnderNews

Le 30 avril dernier, la société Clestra Hauserman a été victime d’une attaque par ransomware. L’entreprise demande maintenant à être placée en redressement judiciaire pour se remettre de cette attaque et 700 emplois sont actuellement menacés. La décision du tribunal paraitra le 1er aout. Ce cas fait écho à l’entreprise Lise Charmel qui, en 2020, avait […]

The post Redressement Judiciaire – Clestra Hauserman victime d’une attaque par ransomware first appeared on UnderNews.

Android : 10 millions de téléchargements pour ces applications malveillantes

27 juillet 2022 à 08:46

Il est très fréquent que des applications malveillantes circulent sur le Google Play Store. Une nouvelle salve d'applications Android remplies de logiciels publicitaires et malveillants a été découverte avec 10 millions de téléchargements au total.

D'après l'équipe de Dr.Web, à l'origine du rapport qui mentionne ces applications, ces dernières se présentent comme des outils de retouche d'image, des claviers virtuels, des solutions pour optimiser le système ou encore pour gérer le fond d'écran. Cependant, ces applications ne s'arrêtent pas à leur fonctionnalité première puisqu'elles en profitent pour diffuser des publicités intrusives sur l'appareil, mais ce n'est pas tout ! En effets, ces applications sont capables de voler vos comptes sur les réseaux sociaux et de vous abonner à des services premium à partir de votre numéro de téléphone.

Suite à l'installation, ces applications demandent à pouvoir s'exécuter en tâche de fond sans être impacté par l'économiseur de batterie, et elles demandent aussi l'autorisation de superposer des fenêtres sur n'importe quelle application afin de pouvoir capturer les informations que vous saisissez, par exemple.

Par exemple, l'application "Neon Theme Keyboard" compte environ 1 million de téléchargements malgré une note très mauvaise de 1,8 sur 5. D'autres applications ont tout de même 100 000 ou 50 000 téléchargements. Autre exemple, avec les applications "YouToon – AI Cartoon Effect" et "Pista – Cartoon Photo Effect" téléchargées 1,5 million de fois et qui ont pour objectif de voler votre compte Facebook !

Voici la liste des applications malveillantes, même si à ce jour Google a supprimé la majorité d'entre-elles du Google Play Store. Si vous utilisez l'une de ces applications, vous devez la désinstaller immédiatement et exécuter une analyse antivirus sur votre smartphone.

  • Photo Editor: Beauty Filter (gb.artfilter.tenvarnist)
  • Photo Editor: Retouch & Cutout (de.nineergysh.quickarttwo)
  • Photo Editor: Art Filters (gb.painnt.moonlightingnine)
  • Photo Editor - Design Maker (gb.twentynine.redaktoridea)
  • Photo Editor & Background Eraser (de.photoground.twentysixshot)
  • Photo & Exif Editor (de.xnano.photoexifeditornine)
  • Photo Editor - Filters Effects (de.hitopgop.sixtyeightgx)
  • Photo Filters & Effects (de.sixtyonecollice.cameraroll)
  • Photo Editor : Blur Image (de.instgang.fiftyggfife)
  • Photo Editor : Cut, Paste (de.fiftyninecamera.rollredactor)
  • Emoji Keyboard: Stickers & GIF (gb.crazykey.sevenboard)
  • Neon Theme Keyboard (com.neonthemekeyboard.app)
  • Neon Theme - Android Keyboard (com.androidneonkeyboard.app)
  • Cashe Cleaner (com.cachecleanereasytool.app)
  • Fancy Charging (com.fancyanimatedbattery.app)
  • FastCleaner: Cashe Cleaner (com.fastcleanercashecleaner.app)
  • Call Skins - Caller Themes (com.rockskinthemes.app)
  • Funny Caller (com.funnycallercustomtheme.app)
  • CallMe Phone Themes (com.callercallwallpaper.app)
  • InCall: Contact Background (com.mycallcustomcallscrean.app)
  • MyCall - Call Personalization (com.mycallcallpersonalization.app)
  • Caller Theme (com.caller.theme.slow)
  • Caller Theme (com.callertheme.firstref)
  • Funny Wallpapers - Live Screen (com.funnywallpapaerslive.app)
  • 4K Wallpapers Auto Changer (de.andromo.ssfiftylivesixcc)
  • NewScrean: 4D Wallpapers (com.newscrean4dwallpapers.app)
  • Stock Wallpapers & Backgrounds (de.stockeighty.onewallpapers)
  • Notes - reminders and lists (com.notesreminderslists.app)

Source

The post Android : 10 millions de téléchargements pour ces applications malveillantes first appeared on IT-Connect.

Brute Ratel C4, désormais préféré à son ennemi connu Cobalt Strike

8 juillet 2022 à 13:53
Par : UnderNews

Selon un récent rapport mené par Unit42, des cybercriminels spécialisés dans les menaces persistantes avancées ont adopté Brute Ratel C4, un outil légitime de test d'intrusion.

The post Brute Ratel C4, désormais préféré à son ennemi connu Cobalt Strike first appeared on UnderNews.

Des mineurs utilisent des serveurs Discord pour gagner de l’argent de poche en diffusant des malwares

28 juin 2022 à 20:59
Par : UnderNews

Certains groupes sur Internet comptent des participants âgés de 11 à 18 ans, bien souvent totalement inconscients du caractère hautement délictuel de leurs activités en ligne.

The post Des mineurs utilisent des serveurs Discord pour gagner de l’argent de poche en diffusant des malwares first appeared on UnderNews.

How Emotet is changing tactics in response to Microsoft’s tightening of Office macro security

16 juin 2022 à 11:30
Par : Rene Holt

Emotet malware is back with ferocious vigor, according to ESET telemetry in the first four months of 2022. Will it survive the ever-tightening controls on macro-enabled documents?

The post How Emotet is changing tactics in response to Microsoft’s tightening of Office macro security appeared first on WeLiveSecurity

❌