Les experts de Kaspersky ont récemment étudié une campagne mise en œuvre par Zanubis, un cheval de Troie bancaire qui se distingue par son aptitude à prendre l’apparence d’applications légitimes. L’enquête fournit également des éléments sur le crypteur/chargeur AsymCrypt et le stealer Lumma, soulignant ainsi la nécessité toujours plus importante d’une sécurité numérique renforcée. Tribune – Zanubis, […]

The post Zanubis : parcours d’un cheval de Troie bancaire discret ciblant les crypto-monnaies first appeared on UnderNews.

Les solutions cyber-résiliente sont devenues incontournables, elles permettent de prévenir les menaces, de s’en protéger et d’en minimiser l’impact en les détectant et en y répondant rapidement.  La cyber-résilience est aussi une garantie de récupérer des données de manière transparente et de s’adapter à l’évolution des réglementations. Depuis leur apparition il y a dix ans, […]

The post La cyber-résilience pour déjouer les ransomwares first appeared on UnderNews.

Kaspersky étudie l’évolution des menaces ciblant le secteur de l’Internet des objets (IoT), aujourd’hui en plein essor. Avec que le monde compte aujourd’hui 15 milliards d’appareils IoT (avec des prédictions à 29 milliards pour 2030), les recherches s’intéressent aux méthodes d’attaque, aux activités sur le dark web et aux types de logiciels malveillants les plus répandus. Tribune […]

The post Kaspersky dresse l’état des lieux des menaces liées à l’IoT en 2023 first appeared on UnderNews.

Proofpoint inc., société leader en matière de cybersécurité et de conformité, publie aujourd’hui de nouvelles recherches suite à la découverte d’un nouvel malware baptisé ZenRAT. Ce cheval de Troie modulaire d’accès à distance infecte les utilisateurs de Windows pour ensuite voler leurs informations. Tribune – Les principales conclusions de cette recherche sont les suivantes : Le malware […]

The post Proofpoint détecte un nouveau malware ciblant les utilisateurs Windows first appeared on UnderNews.

Utilisateurs de Free Download Manager sous Linux, vous devez vérifier si votre machine a été infectée par un malware ! Pourquoi ? Et bien, le site a été compromis et a subi une attaque de type supply chain ! Voici ce qu'il faut savoir.

Pour ceux qui ne connaissent pas Free Download Manager (FDM), c'est un logiciel gratuit, compatible Windows, Linux, macOS et Android, qui permet d'effectuer du téléchargement de fichiers à partir de différents protocoles (HTTP, HTTPS, FTP, BitTorrent), associé à un système de planification, de gestion de bande passante, etc...

L'éditeur Kaspersky a révélé que le site web du projet a été compromis en 2020, ce qui a permis aux cybercriminels de rediriger une partie des utilisateurs Linux vers un site malveillant au moment de télécharger l'application. D'après Kaspersky, cette version malveillante hébergée sur le site deb.fdmpkg[.]org a été publiée le 24 janvier 2020 par un groupe de pirates ukrainiens. Elle prend la forme d'un package .DEB malveillant.

D'après l'annonce officielle de FDM, ce sont bien les utilisateurs de Linux qui font les frais de ce piratage : "Seul un petit sous-ensemble d'utilisateurs, en particulier ceux qui ont tenté de télécharger FDM pour Linux entre 2020 et 2022, a été potentiellement exposé." - Un peu par hasard, un correctif a été déployé sur le site par une simple mise à jour : "Curieusement, cette vulnérabilité a été résolue à notre insu lors d'une mise à jour de routine du site en 2022."

Si un utilisateur installe cette version sur sa machine Linux, il installe aussi un logiciel malveillant capable de voler des informations sur la machine et de déployer un reverse shell, ce qui permet à l'attaquant d'avoir accès à la machine à distance.

Votre machine Linux est-elle infectée ?

FDM a mis à disposition des utilisateurs de Linux un script à exécuter sur leur machine pour vérifier si leur ordinateur a été infecté dans le cadre de cette campagne malveillante. Vous pouvez télécharger le script sur le site officiel de FDM (voir à la fin de l'annonce officielle).

Attention, ce script ne va pas supprimer le logiciel malveillant ! Il va simplement vérifier sa présence. Ensuite, c'est à vous d'agir. Si c'est le cas, FDM vous recommande de réinstaller votre système : "Si des logiciels malveillants sont détectés, il est fortement recommandé de réinstaller le système."

Source

The post Utilisateurs de Free Download Manager sous Linux, vérifiez si votre machine est infectée par ce malware first appeared on IT-Connect.

Une nouvelle porte dérobée nommée SprySOCKS a été découverte sur des machines Linux ! L'acteur malveillant Earth Lusca, lié au gouvernement chinois, est à l'origine de cette nouvelle menace. Faisons le point !

C'est en janvier 2022 que le groupe de cybercriminels Earth Lusca a été documenté pour la première fois par l'éditeur Trend Micro, suite à des attaques orchestrées à l'encontre de plusieurs organisations publiques et privées situées en Asie, en Australie, en Europe et en Amérique du Nord.

Le temps est passé et Earth Lusca semble toujours actif comme en témoigne ce nouveau rapport mis en ligne par Trend Micro qui évoque les nouvelles cyberattaques repérées au cours du premier semestre 2023. Cette fois-ci, les cibles sont différentes puisque le groupe de cybercriminels s'attaque principalement aux services gouvernementaux en Asie du Sud-Est, en Asie centrale et dans les Balkans.

Les dernières attaques d'Earth Lusca

Pour compromettre l'infrastructure des organisations, les cybercriminels cherchent à exploiter des failles de sécurité connues et réparties dans différents produits. Il s'agit de vulnérabilités connues et corrigées depuis plusieurs années, mais qui continuent de faire des victimes.

Voici la liste de vulnérabilités fournie par Trend Micro :

• Fortinet FortiOS, FortiProxy et FortiSwitchManager : CVE-2022-40684
• Fortinet FortiNAC : CVE-2022-39952
• GitLab CE/EE : CVE-2021-22205
• Progress Telerik UI : CVE-2019-18935
• Zimbra Collaboration Suite : CVE-2019-9670 / CVE-2019-9621
• Microsoft Exchange : ProxyShell (CVE-2021-34473, CVE-2021-34523v, CVE-2021-31207)

L'objectif étant de déposer des web shells sur les machines compromises et de déployer Cobalt Strike pour effectuer des déplacements latéraux sur l'infrastructure cible.

Le groupe a l'intention d'exfiltrer des documents et des identifiants de comptes de messagerie, ainsi que de déployer des portes dérobées avancées telles que ShadowPad et la version Linux de Winnti pour mener des activités d'espionnage à long terme à l'encontre de ses cibles.", précisent les chercheurs en sécurité de Trend Micro.

La porte dérobée SprySOCKS

Au cours de leur investigation, les chercheurs en sécurité ont croisé la route de SprySOCKS, une porte dérobée pour Linux. Ils l'ont appelé ainsi, car elle trouve ses origines dans la porte dérobée Windows nommée Trochilus et qu'elle s'appuie sur une implémentation de Socket Secure (SOCKS) pour les communications.

Bien qu'Earth Lusca semble le seul groupe de pirates à utiliser SprySOCKS, cette menace s'inspire de différents outils et malwares existants. Au-delà de Trochilus, le serveur C2 utilisé par les cybercriminels est similaire à celui utilisé par la porte dérobée RedLeaves, connue pour infecter les machines Windows.

La porte dérobée SprySOCKS est dotée d'un ensemble de fonctionnalités lui permettant de collecter des informations sur le système, de démarrer un shell interactif, de télécharger et charger des fichiers, de manipuler les fichiers (créer, supprimer, lister, renommer) et de déployer un proxy SOCKS.

À ce jour, au moins deux versions différentes de SprySOCKS (versions 1.1 et 1.3.6) ont été identifiées, ce qui laisse penser que ce logiciel malveillant est régulièrement mis à jour par les cybercriminels : "Nous avons identifié deux payloads SprySOCKS contenant deux numéros de version différents, ce qui indique que la porte dérobée est toujours en cours de développement."

Source

The post SprySOCKS, la nouvelle porte dérobée Linux du groupe Earth Lusca ! first appeared on IT-Connect.

Les fournisseurs de services de télécommunications du Moyen-Orient ont été ciblés par de nouveaux malwares particulièrement furtifs et qui permettent aux attaquants d'exécuter du code à distance sur les machines infectées.

D'après le rapport mis en ligne par Cisco Talos, cette nouvelle famille de malware surnommée HTTPSnoop par les chercheurs en sécurité a été utilisée pour cibler les fournisseurs de services de télécommunications. Cette découverte remonte au mois d'avril et au mois de mai dernier.

HTTPSnoop se présente sous la forme d'une porte dérobée qui s'interface avec le pilote HTTP du noyau Windows dans le but de recevoir des commandes à exécuter contenues dans des requêtes HTTP(S) entrantes. En complément, HTTPSnoop est accompagné par PipeSnoop qui permet l'exécution de shellcode. Afin de ne pas être détectées par les systèmes de détection, ces deux souches malveillantes se font passer pour des composants de la solution Cortex XDR de Palo Alto Networks.

Lorsque HTTPSnoop est actif sur une machine, il s'appuie sur une API Windows de bas niveau pour surveiller le trafic HTTPS qui arrive sur la machine dans le but de rechercher des URLs spécifiques. En effet, c'est par ces requêtes que les attaquants transmettent les commandes à exécuter. Quand une URL est détectée, le malware doit tout d'abord décoder les données encodées en base64 afin de les exécuter sur l'hôte compromis.

Du trafic difficile à détecter

Cisco a observé trois variantes de HTTPSnoop, chacune utilisant des modèles d'écoute d'URL différents. La première méthode d'écoute s'appuie sur des requêtes HTTP basiques, tandis que les autres sont plus sophistiquées ! En effet, la deuxième méthode imite le service Web de Microsoft Exchange (Exchange Web Services), et avec la troisième méthode, les URL émulent les applications OfficeTrack et OfficeCore. De ce fait, les requêtes malveillantes sont très difficiles à détecter, car elles s'apparentent à du trafic légitime.

De par son fonctionnement, HTTPSnoop est destiné à infecter des serveurs accessibles publiquement et capable de recevoir des requêtes HTTPS. À l'inverse, PipeSnoop est capable d'exécuter des shellcodes via Windows IPC et il est plus adapté aux opérations menées sur des réseaux compromis.

Source

The post Cyberattaques : les fournisseurs de télécoms ciblés par le malware HTTPSnoop ! first appeared on IT-Connect.

Un logiciel malveillant nommé MetaStealer cible les utilisateurs de macOS en entreprise ! Il infecte en priorité les Mac basés sur une architecture Intel.

Les chercheurs de SentinelOne ont découvert un nouveau malware de type infostealer qui cible les utilisateurs sur Mac ! Ce type de malware est conçu pour voler des données sensibles sur la machine de la victime, notamment des jetons d'authentification, ainsi que les données enregistrées dans les navigateurs (en particulier les identifiants et mots de passe mémorisés).

MetaStealer se cache dans un fichier DMG malveillant

Les cybercriminels derrière cette campagne malveillante visent exclusivement les entreprises et cherchent à convaincre l'utilisateur pour qu'il ouvre un fichier sur son Mac. Pour cela, il y a une première prise de contact basée sur de l'ingénierie sociale puisque le cybercriminel va contacter la victime pour chercher à se faire passer pour un client potentiel !

Ensuite, le cybercriminel va envoyer un e-mail à la victime ! Cet e-mail contient une archive ZIP protégée par un mot de passe au sein de laquelle on peut retrouver un fichier DMG permettant d'installer une application sur macOS. Ce fichier est malveillant est vise à installer le malware MetaStealer sur la machine de la victime.

SentinelOne précise que les pirates n'hésitent pas à personnaliser le nom des fichiers DMG, pour que ce soit plus réaliste. Voici des noms donnés en exemple : « clauses de référence publicitaires (présentation MacOS).dmg » et « CONCEPT A3 menu complet avec plats et traductions en anglais.dmg ». Dans certains cas, le nom de produits Adobe comme Photoshop est utilisé comme référence.

Toutefois, sur macOS, il y a la protection Gatekeeper qui offre une sécurité supplémentaire pour empêcher l'installation d'applications à partir de sources non fiables. Autrement dit, l'application doit être signée par développeur identifié et approuvé par Apple. Le pirate doit donc convaincre la victime d'installer l'application malgré les alertes de Gatekeeper.

Enfin, pour que le logiciel malveillant n'alerte pas les solutions de sécurité, les cybercriminels ont utilisé l'obfuscation de code afin de brouiller les pistes et rendre l'analyse difficile.

MetaStealer s'attaque aux Mac sous Intel

Tous les échantillons collectés par les chercheurs en sécurité correspondent à des binaires pour l'architecture Intel x86_64 ! Cela signifie que ce malware s'attaque uniquement aux Mac équipés d'un processeur Intel. Pour qu'ils puissent infecter un Mac équipé d'une puce Apple Silicon (puce M1 ou M2), le malware doit s'appuyer sur Rosetta.

Méfiez-vous et prévenez vos utilisateurs sous macOS ! Les menaces sérieuses sont de plus en plus fréquentes sur Mac.

Source

The post Le malware MetaStealer cible les entreprises pour voler les données sur les Mac ! first appeared on IT-Connect.

La police de la ville de Manchester, dans le nord de l’Angleterre, a déclaré jeudi qu’un fournisseur tiers détenant des informations sur ses employés avait été victime d’une attaque par ransomware. Tribune – Ilia Sotnikov, Security Strategist and VP of User Experience chez Netwrix, a fait le commentaire suivant : « D’après le peu d’informations dont […]

The post La police de la ville de Manchester victime d’une attaque par ransomware first appeared on UnderNews.

Kaspersky a dévoilé une campagne malveillante utilisant un installateur du logiciel Free Download Manager pour diffuser une porte dérobée Linux pendant au moins trois ans. Selon les découvertes des chercheurs, les victimes de la campagne ont été infectées alors qu’elles avaient téléchargé le logiciel à partir du site officiel, ce qui indique qu’il s’agit d’une possible attaque […]

The post Kaspersky dévoile une attaque de la chaîne d’approvisionnement qui ciblerait Linux depuis trois ans first appeared on UnderNews.

Vous le savez, les menaces en ligne sont partout, et pouvoir les analyser rapidement peut faire toute la différence. C’est pourquoi Qu1cksc0pe est l’arme idéale pour ce job.

Cet outil d’analyse de logiciels malveillants tout-en-un est capable d’analyser les binaires Windows, Linux, OSX ainsi que les documents, les fichiers APK et les archives. Cela permet à Qu1cksc0pe de dévoiler des informations contenues dans les binaires telles que les fichiers DLL utilisés, les fonctions et API, les sections et segments, sans oublier bien sûr tout ce qui a trait aux URLS, adresses IP et e-mails.

Cet outil vous fera sentir comme un véritable hacker dans son propre film d’action ^^.

Sachez également que Qu1cksc0pe fonctionnera sous Windows Subsystem Linux (WSL).

Étape 1 : Comment installer Qu1cksc0pe

Le vrai bonheur commence maintenant. Pour installer Qu1cksc0pe sur votre système, voici les commandes à exécuter:

git clone https://github.com/CYB3RMX/Qu1cksc0pe.git

sudo pip3 install -r requirements.txt

sudo python3 qu1cksc0pe.py --install

Maintenant, vous êtes prêt à explorer l’univers des affreux logiciels malveillants jusque dans leurs moindres détails.

Étape 2 : Comment utiliser Qu1cksc0pe pour l’analyse statique, les scans de ressources, et bien plus encore !

Maintenant que vous avez installé cet outil sur votre système, il est temps d’en tirer parti en lançant diverses analyses.

Voici quelques exemples de commandes et les types d’analyses que vous pouvez réaliser:

– Analyse normale :

python3 qu1cksc0pe.py --file suspicious_file --analyze

– Analyse de ressources :

python3 qu1cksc0pe.py --file suspicious_file --resource

– Scan de hash :

python3 qu1cksc0pe.py --file suspicious_file --hashscan

Vous pouvez également effectuer des analyses avec VirusTotal, scanner les dossiers et même analyser des documents et des archives et pour cela, je vous invite à lire la doc !

Et en bonus…

Pour les vrais passionnés de terminal, Qu1cksc0pe peut également être lancé en mode interactif comme ceci :

python3 qu1cksc0pe.py --console

Bref pour conclure, je dirais que Qu1cksc0pe est un outil puissant pour toute personne intéressée par l’analyse de logiciels malveillants. Avec bonne variété de fonctionnalités, il permet aux utilisateurs d’avoir une vision complète et détaillée des fichiers suspects. Alors que vous soyez professionnel de la sécurité ou simplement quelqu’un qui aime bidouiller et explorer, Qu1cksc0pe est un choix intéressant.

À découvrir ici

Le 26 août 2023, une collaboration internationale entre les forces de police et les systèmes judiciaires des États-Unis, de l’Allemagne, des Pays-Bas et de la France a entraîné le démantèlement de l’infrastructure du réseau malveillant Qakbot, accompagné de la saisie de 8,6 millions de dollars en crypto-monnaies. Tribune – Dans le cadre de cette opération, […]

The post L’infrastructure du réseau malveillant Qakbot démantelée first appeared on UnderNews.

Un célèbre logiciel malveillant spécialisé dans le vol d'informations revient sur la scène du cybercrime. Ce malware a déjà permis de dérober plus de 50 millions d'identifiants, selon le FBI. [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Les cybercriminels profitent du buzz mondial autour du film Barbie pour promouvoir un tas d'arnaques et escroqueries en tout genre.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Un groupe de pirates sponsorisé par la Chine est suspecté d'être à l'origine d'une série de cyberattaques contre des industries basées en Europe de l'Est. L'objectif de ces attaques : voler les données sur les systèmes air-gapped.

Kaspersky a mis en ligne un nouveau rapport qui évoque une série d'attaques qui a débuté en avril 2022 et lors desquelles les pirates sont parvenus à exfiltrer des données à partir de système air-gapped. Pourtant, par définition, un système air-gapped se veut isolé du réseau de l'entreprise et d'Internet pour des raisons de sécurité. Selon l'implémentation, cette isolation peut être physique. Comment les pirates sont-ils parvenus à exfiltrer des données sur ces systèmes sous cloche ?

Ce nouveau malware attribué au groupe de pirates APT31 alias Zirconium est associé à des attaques réalisées en plusieurs phases : "Au total, nous avons identifié plus de 15 implants et leurs variantes mis en place par les cybercriminels dans diverses combinaisons.", précise Kaspersky. Ainsi, il y a trois grandes catégories d'implants correspondantes à différentes phases de l'attaque.

• Première phase pour bénéficier d'un accès permanent à distance, et procéder à la collecte initiale de données
• Deuxième phase pour la collecte de données et de fichiers, y compris à partir de systèmes air-gapped
• Troisième phase pour télécharger des données vers le C2

Pour parvenir à exfiltrer des données à partir de systèmes air-gapped, les cybercriminels s'appuient sur la propagation USB : ce qui implique que les informations transitent par des périphériques USB. Il est vrai qu'un périphérique USB peut être connecté sur une machine du réseau local, puis sur un système air-gapped, et inversement, ce qui permet de faire transiter des informations grâce à l'infection préalable du périphérique USB.

Sur le périphérique USB, les données sont stockées dans le répertoire "$RECYCLE.BIN" pour que ce soit discret. Avant tout cela, un premier module présent sur une machine va infecter les lecteurs amovibles en copiant un exécutable légitime de McAfee, mais vulnérable à la technique du DLL hijacking, ainsi qu'une DLL malveillante qui sert de charge utile. Ces fichiers sont cachés, tandis qu'un fichier LNK (raccourci), visible quant à lui, est créé de manière à déclencher l'infection si l'utilisateur l'ouvre.

Cette méthode montre qu'en l'absence de connectivité au reste du réseau Ethernet de l'entreprise, l'USB représente une belle opportunité.

Les données récupérées sont stockées dans une archive compressée avant d'être chargée vers un espace de stockage Dropbox ou Yandex Disk contrôlé par les pirates. Dans certains cas, c'est un serveur VPS qui a été utilisé pour réceptionner les données.

Source

The post L’Europe de l’Est ciblée par un malware capable de voler des données sur les systèmes air-gapped first appeared on IT-Connect.

Les chercheurs Proofpoint, leader en matière de cybersécurité et conformité, publie aujourd’hui de nouvelles recherches suite à l’identification d’un logiciel malveillant, qu’ils ont nommé « WikiLoader ». Leur analyse revient en détaille sur l’utilisation de ce logiciel sophistiqué, jusqu’à présent associé à des campagnes de diffusion du cheval de Troie bancaire Ursnif par l’acteur de la menace TA544. Les principales conclusions de cette […]

The post Proofpoint identifie un nouveau malware baptisé WikiLoader et lié au trojan Ursnif first appeared on UnderNews.

Un outil inspiré par ChatGPT permet de générer du contenu malveillant. Mis en avant sur les forums de hackers, il serait d'abord orienté vers les campagnes de phishing.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Le système de gestion intelligente des transports de la ville de Olsztyn, en Pologne, a subi la semaine dernière une cyberattaque importante de type ransomware, impactant durant plusieurs heures la circulation dans la ville.

The post Cyberattaque à Olsztyn – Le réseau de transports impacté first appeared on UnderNews.

Kaspersky a mené une enquête approfondie sur les activités d’Andariel, un sous-groupe notoire du groupe Lazarus. Au cours de cette enquête, les chercheurs de Kaspersky ont découvert une nouvelle famille de logiciels malveillants appelée EarlyRat, qui est utilisée par Andariel en plus de leur utilisation connue du malware DTrack et du ransomware Maui. L’analyse des […]

The post Kaspersky découvre une nouvelle famille de logiciels malveillants utilisés par Andariel, le sous-groupe de Lazarus first appeared on UnderNews.