FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Publicité malveillante (Malvertising) sur lepoint.fr via DoubleClick

31 octobre 2022 à 13:55

Depuis quelques semaines une campagne de publicité malveillante (malvertising) est présente sur le site lepoint.fr.
Celle-ci vise à rediriger les internautes vers de fausses pages d’erreur Windows faisant la promotion d’arnaque support et hotline téléphonique.
Voici quelques informations concernant cette campagne d’escroquerie.

Publicité malveillante (Malvertising) sur lepoint.fr via DoubleClick

Publicité malveillante (Malvertising) sur lepoint.fr via DoubleClick

Une publicité malveillante présente depuis plusieurs semaines

Le 5 octobre, vu passé ce tweet : https://twitter.com/KingJulian_Z/status/1577591483925991424
Dans ce dernier, on voit le streamer/présentateur TV/journaliste/chroniqueur/marathonien tomber sur une malvertising sur le site lepoint.fr en plein direct sur sa chaîne Twitch.
Cette dernière redirige vers une fausse page d’erreur Windows faisant la promotion d’arnaque de support téléphonique.
Ce procédé n’a rien de nouveau, puisqu’il existe depuis 2016. Plus d’informations : Arnaque support et hotline téléphonique

Pour rappel, une malvertising (publicité malveillante).. sont des publicités qui permettent à des cybercriminels de rediriger les internautes vers des publicités malveillantes.
L’avantage lorsqu’un cybercriminel parvient à soumettre sa publicité malveillante sur un réseau publicité importante est qu’il peut toucher des sites internet à fortes audiences.

Par le passé (autour de 2015), elles étaient fortement utilisées pour rediriger vers des Exploit Kits (attaque Drive-By Download).
Puis par la suite pour charger des arnaques, par exemple, en 2019, les sites de jeux Microsoft étaient visés par des malvertising pour rediriger vers des iphone ou Samsung à 1 euro.
J’en parlais dans cet article : Malvertising sur Microsoft menant à des arnaques

Ici le site Lepoint.fr est touché.

Le réseau publicitaire DoubleClick touchée

J’ai pu tomber sur la publicité malveillante, ce qui permet ensuite de remonter la chaîne pour trouver la régie publicitaire source.
Le domaine internet de la page d’arnaque de support téléphonique est search-4914.info avec une fausse page du contrôle des comptes utilisateur (UAC) comme on peut le voir dans la vidéo en introduction.
Bien sûr le domaine internet change régulièrement pour échapper aux détections des antivirus.

Malvertising sur lepoint.fr via DoubleClick

Cela commence par la régie DoubleClick (qui appartient à Google) utilisée sur le site lepoint.fr pour monétiser.
Une des publicités de securepubads.g.doubleclick.net charge un script distant à l’adresse advoiceservices.com/L32/ads/Digital/csi.js

Malvertising sur lepoint.fr via DoubleClick

Dans mon cas, celle-ci ci affiche une bannière publicité pour Lufthansa.
Mais surtout, à la fin, on trouve un code qui permet modifier la page active dans le navigateur internet pour la remplacer par une autre page.
C’est ce code en Javascript qui va rediriger la page Web du lepoint.fr automatiquement vers celle de l’arnaque de support téléphonique.
L’URL offusquée en base64.

Malvertising sur lepoint.fr via DoubleClick

Lorsque l’on décode, on trombe sur une URL : https://cloud-stats.info/lead/7902/lib-989/js-irtrwy/analytics-z2.1.322.js – 45.76.141.245 (AS-CHOOPA)

Malvertising sur lepoint.fr via DoubleClick

A titre informatique, voici la bannière Lufthansa :

Malvertising sur lepoint.fr via DoubleClick

Ensuite cloud-stats.info redirige à nouveau vers une autre URL se faisant passer pour un service d’URL courte : http://short1.info/UI8mL1 – 45.76.141.245 (AS-CHOOPA).
A noter que celle-ci n’utilise pas HTTPS mais le navigateur internet ne va pas émettre aucune alerte de sécurité.

Malvertising sur lepoint.fr via DoubleClick

Enfin cette dernière charge le landing page des arnaques de support téléphonique, ici donc search-4914.info.

Malvertising sur lepoint.fr via DoubleClick

Ce qui nous donne la chaîne suivante :

lepoint.fr
DoubleClick (Régie publicitaire de Google)
https://advoiceservices.com/L32/ads/Digital/csi.js
https://cloud-stats.info/lead/7902/lib-989/js-irtrwy/analytics-z2.1.322.js
http://short1.info/UI8mL1
https://search-4914.info/2027/03SA8T95BYZMK/
Malvertising sur lepoint.fr via DoubleClick

Tous les domaines sont enregistrés auprès du registrar Namecheap.
short1.info et cloud-stats.info utilisent le même serveur 45.76.141.245 (AS-CHOOPA).
On ne trouve pas d’autres activités malveillantes dessus.

advoiceservices.com un domaine internet qui pose question

L’adresse advoiceservices.com source de la publicité malveillante pose question.
En effet, on ne trouve aucune information sur cette dernière.
Il coche toutes cases d’un domaine enregistré ou récupéré à des fin d’escroquerie.

  • La page https://www.advoiceservices.com est vide
  • Le site est hébergé via le CDN CloudFlare masquant la véritable adresse IP des serveurs finaux
  • La Whois est masqué donnant une adresse en Islande
Redacted for Privacy
Privacy service provided by Withheld for Privacy ehf
Kalkofnsvegur 2,
Reykjavik, Capital Region, 101, is
Malvertising sur lepoint.fr via DoubleClick

L’adresse postale semble être l’adresse générique utilisée par le registrar Namecheap lorsque l’on veut masquer les informations du Whois.
Ce qui est troublant, c’est qu’on ne trouve presque des domaines internet malveillants notamment utilisés pour du phishing et ransomware.

Malvertising sur lepoint.fr via DoubleClick

A noter ce Tweet encore actif démarre en Avril 2021 avec de nouveaux domaines utilisés par des cybercriminels.

Malvertising sur lepoint.fr via DoubleClick

Etonnant qu’avec une adresse pareille, la malvertising ait pu rester actif aussi longtemps.

L’article Publicité malveillante (Malvertising) sur lepoint.fr via DoubleClick est apparu en premier sur malekal.com.

svchost.exe et forte utilisation CPU et Trojan : les solutions

8 avril 2018 à 19:11

Les trojans ou cheval de troie sont une plaie pour les internautes, ils permettent aux pirates de voler les données, accéder à votre PC à votre insu.
Parfois ils provoquent des dysfonctionnements du PC.
Dans ce tutoriel, nous allons intéresser à l’utilisation CPU importante de svchost.exe dont l’origine est un cheval de troie.

Voici les solutions pour résoudre l’utilisation importante du processeur de svchost.exe à cause d’un trojan.

Qu’est-ce que svchost.exe ?

Afin qu’il n’y est pas de confusion, quelques informations rapides qui sont déjà données dans divers articles du site.

Dans le cas précis, il s’agit d’un fichier DLL malveillant qui est chargé le processus rundll32.exe qui lui aussi est légitime.
Les utilisateurs rapportent alors une utilisation constante et forte de la CPU par le processus svchost.exe.
La difficulté est que cela bloque pas mal l’ordinateur et les navigateurs internet semblent aussi se fermer tout seul lors de tentative de téléchargement de programmes de désinfection.
A noter, que le malware ne touche qu’une session précise, donc si vous avez un autre utilisateur administrateur, vous pouvez tenter une désinfection avec Malwarebytes Anti-Malware (MBAM).

Exemple de forte utilisation CPU svchost.exe à cause d’un trojan : les solutions

Le service svchost.exe qui cause des problèmes de CPU, lance le malware : %LOCALAPPDATA%\XService\Xservice.dll
Ce dernier est un trojan Stealer Trj/GdSda.A ou TrojanSpy.Socelars!.
Pour le fonctionnement des malwares via de services Windows, lire la page : Comment supprimer un services Windows liés à un virus

svchost.exe forte utilisation CPU et Trojan
svchost.exe forte utilisation CPU et Trojan

Au moment où sont écrites ces lignes, Malwarebytes ne le détecte pas, mais je vais faire en sorte que ce soit plus le cas.

svchost.exe forte utilisation CPU et Trojan
svchost.exe forte utilisation CPU et Trojan

Une variante est arrivée plus tard qui fonctionne un peu différemment.
Ce dernier se lance en userland et à partir d’un sous-dossier dans %TEMP%

Le lancement se fait à partir de msiexec.exe qui lance un fichier fltmgr.zip, ce dernier est décompressé dans le dossier TEMP.

 

Les dossier est composé des fichier data.bin, fltmgr.cpl, pmain.zip et unzip.exe.
Une fois svchost.exe lancé, le dossier est vidé.

Les détections sont de 5 à 6 :

https://www.virustotal.com/#/file/e0255e08d4999e5a25d1885744198291837f9d33f10b545d3d934d181c2bd601/detection
https://www.virustotal.com/#/file/ba0ba1d0f87a4ef8e69740a7540b9bb2b2819246a360b9c4a73800dc6d013a5a/detection

Tout ceci est présenté dans cette vidéo :

Comment supprimer le Trojan qui provoque la forte utilisation svchost.exe

Désinfecter son PC

Pour supprimer tous les logiciels malveillants de votre PC, suivez ce tutoriel :

Il existe aussi un dossier complet qui présente différents outils de désinfection (RogueKiller, HitMan Pro, MBAM, …) : Supprimer les virus et désinfecter son PC

Vérifiez ensuite si cela résout les fortes utilisations CPU de svchost.exe
N’hésitez pas à faire plusieurs scans dans les prochains jours pour s’assurer que tous les malwares sont bien éradiqués.
Sinon demandez de l’aide sur le forum.

Après la désinfection

Pensez à changer tos vos mots de passe car ils ont été probablement récupéré par les pirates.
Ils peuvent alors accéder à votre compte internet à votre insu.

Par la suite, vous pouvez sécuriser votre PC pour éviter les malwares :

Liens

L’article svchost.exe et forte utilisation CPU et Trojan : les solutions est apparu en premier sur malekal.com.

Kmspico / KMSAuto et les trojans

24 mai 2016 à 22:15

KMSpico (et ses dérivés comme KMSAuto) est un outil de piratage ou crack qui permet d’activer des logiciels Microsoft comme Windows et Office.
Ce dernier fonctionne toutes les versions de Windows 11, Windows 10 et Windows 7 et 8.1 et Office 2019, 2016, 2013 et 2010.
Pour plus d’informations sur le fonctionnement et principe de ce dernier, lire la page : KMSPico : activation de Windows/Office de manière illégale

Comme tout programme pour cracker des logiciels, la notoriété est utilisé pour distribuer des versions vérolées.
Le but est de mettre en ligne des versions de KMPico qui mène à toute sorte de logiciel malveillants.
Cette page montre comment ces versions de KMSpico vérolées sont distribuées afin d’infecter les internautes.

Kmspico / KMSAuto et les trojans

Les sites malveillants KMSPico

Initialement, KMSpico est détecté en Hacktool (outils dit de hack) par les antivirus non pas parce qu’il s’agit d’un virus, cheval de troie ou autres menaces.
Il s’agit plutôt d’une détection économique qui vise à protéger les programmes Microsoft ou prévenir lorsque des outils pour cracker ces logiciels sont utilisés.
Ainsi, si vous avez installé KMSpico sur votre ordinateur alors votre antivirus risque d’émettre des alertes.

Voici une liste des détections que l’on peut rencontrer par les éditeurs d’antivirus.
La plupart des détections données sont HackTool:Win32/AutoKMS ou Win32/AutoKMS.

KMSpico est assez populaire et donc comme tous les cracks, des personnes malveillants peuvent profiter de la situation pour tenter de pousser des malwares.
Tout comme il existe de faux sites KickAssTorrents, de faux sites proposant KMSPico ont été mis en ligne et qui sont diablement bien placés sur Google puisqu’on les trouve dans les premiers résultats.

KMSPico et malwares
KMSPico et malwares
KMSPico et malwares
KMSPico et malwares

Ces sites se ressemblent tous en effet, l’auteur a multiplié ces derniers pour maximiser les chances que les internautes tombent dessus.

Quelques exemples de malwares distribués par KMSpico

Sur les forums de désinfection informatique, on constate beaucoup d’internautes qui se font piéger par ces faux sites KMSpico et qui demandent à désinfecter leurs ordinateurs.
Parmi les malwares présents, on trouve généralement :

Ces derniers mènent systématiquement à la plateforme de programmes indésirables et adwares : Amonetize
Et pire pour certains autres sites qui mènent en plus à des Trojans plus sophistiqués.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Official-KMSpico.com est un site qui propose KMSpico et qui sort en premier dans les résultats de Google.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Le fichier ZIP est protégé par un mot de passe.

Une fois que l’utilisateur lance le Setup KMSpico, le contrôle des comptes d’utilisateur (UAC) se déclenche sur un fichier KMS_pico.exe

Le fichier est positif avec 8 détections sur VirusTotal.
La taille du fichier est gonflé artificiellement pour éviter l’analyse en temps réel et la remonté automatique du fichier par l’antivirus vers les laboratoires.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

La majorité des détections sont des détections génériques.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Windows Defender le détecte en tant que Trojan:Win32/Androm.
Ce dernier du type Trojan Stealer et va voler des données comme les mots de passe.

Trojan:Win32/Androm détecté par Windows Defender

Un Trojan AutoIT est alors actif dans le système.

Official-KMSpico.com et Trojan AutoIt et Trojan Stealer

Il se rend actif dans le système par une tâche planifiée.

KMSpico : Hijacker.proxy et PUP.Optional.PrxySvrRST et Trojan/Pacoredi

Getkmspico.com et OfficielKMSpico.com suivent dans les résultats Google.
Les téléchargements renvoient vers des hébergeurs comme file.fan ou rapideshare.io.

Getkmspico.com et OfficielKMSpico.com et  Hijacker.proxy et PUP.Optional.PrxySvrRST

Ce dernier installe un malware se faisant passer par InstallShield, par le passé, il a pu aussi se faire passer pour Adobe Flash.

KMSpico : Hijacker.proxy et PUP.Optional.PrxySvrRST

Il s’agit d’un malware de type Hijacker.Proxy qui force un proxy dans le système, ici à l’adresse 127.0.0.1:86.
Lorsque l’on tente de le désactiver ou le supprimer, il revient.
Cela peut générer des erreurs ERR_PROXY_CONNECTION_FAILED ou ERR_PROXY_CONNECTION_FAILED lors du chargement des sites internet.

KMSpico : Hijacker.proxy et PUP.Optional.PrxySvrRST

De plus des restrictions administrateur (policies) sont placés pour griser les paramètres réseau dans les options internet.
Le message “Certains paramètres sont gérés par votre administrateur système” s’affiche.

Certains paramètres sont gérés par votre administrateur système dans les paramètres réseau des options internet

Ce dernier se rend actif par une tâche planifiée.

Tâche planifiée qui exécute le Trojan Pacoredi

La détection est essentiellement de type HackTool.

Détection d'un malware poussé par KMSpico

Par la suite, des détections du type Détection Trojan/Pacoredi ou Hacktool.Pacoredi ont été ajoutées.

Détection Trojan/Pacoredi ou Hacktool.Pacoredi

AdwCleaner peut détecter ce dernier en PUP.Optional.PrxySvrRST, toutefois, afin de pouvoir supprimer entière les paramètres de Proxy.
On retrouve une tâche planifiée de type InstallShield pdate Service.
Il faut activer dans les paramètres d’AdwCleaner la réinitialisation du proxy sinon Malwarebytes Anti-malware peut faire le boulot.

Supprimer PUP.Optional.PrxySvrRST de KMSPico

Beaucoup d’internautes sont touchés par un logiciel malveillant qui installe un proxy afin de manipuler les pages visitées.

Supprimer PUP.Optional.PrxySvrRST de KMSPico

Trojan Boaxxe (2016)

Une ancienne campagne de sites KMSPico malveillants autour de 2016.
J’ai d’ailleurs fait une vidéo en démonstration de ces pièges présents sur la toile :

Sur la vidéo, c’est le Trojan Boaxxe qui est poussé mais bien entendu avec le temps, les liens peuvent mener à d’autres menaces.

SHA256: 34bb6d3cd5efa256caf885940b23f0ee06fe181fe95a85a772d2f26ae600b7c9
File name: 72ac6c9aa9efaea7313947655b4b7023.exe
Detection ratio: 19 / 56
Analysis date: 2016-05-24 13:10:08 UTC ( 6 hours, 47 minutes ago )
Antivirus Result Update
AVG Inject3.AQUC 20160524
AVware Trojan.Win32.Generic.pak!cobra 20160524
AegisLab Inject3.Aquc.Gen!c 20160524
Avast Win32:Malware-gen 20160524
Avira (no cloud) TR/Agent.mlqw 20160524
DrWeb Trojan.Boaxxe.484 20160524
ESET-NOD32 Win32/Boaxxe.EJ 20160524
Fortinet W32/Injector.CYKT!tr 20160524
GData Win32.Trojan.Agent.IUIVTW 20160524
Ikarus Trojan.Win32.Injector 20160524
K7AntiVirus Trojan ( 004de0511 ) 20160524
K7GW Trojan ( 004de0511 ) 20160524
Malwarebytes Trojan.Kovter 20160524
McAfee Artemis!72AC6C9AA9EF 20160524
McAfee-GW-Edition BehavesLike.Win32.Downloader.cc 20160524
Microsoft Trojan:Win32/Dynamer!ac 20160524
Rising Malware.Undefined!8.C-ZihdbJhmqeM (Cloud) 20160524
Sophos Mal/Generic-S 20160524
VIPRE Trojan.Win32.Generic.pak!cobra 20160524

On trouve d’autres plateformes de programmes indésirables/Adwares dont le malicieux ShopperZ et MPC Cleaner

Kmspico_Trojans_bundle_adwares

Quelques autres faux sites liés à KMSPico :

198.143.129.108 :
KMSPico 10.2.1 | Windows 10 Activator and Office Activator
http://microsofttoolkits.com/ http://kmspicodownload.com/ http://removewatdownload.net/ http://download.kmspicofinal.com/ http://windows10activatordownload.com/
KMSPico 10.2.1 | Windows 10 Activator and Office Activator
http://officeactivator.com/ http://download.officeactivator.com/
162.144.20.148 :
www.kmspicoactivator.org
www.windows7activator.org
windows7activator.org
kmspicoactivator.org

La conclusion de tout cela, est que lorsqu’on tenter de cracker ses logiciels, il faut bien choisir ses sites car les pièges sont vraiment fréquents.
Depuis des années et des années, de faux cracks sont mis en lignes pour pousser des malwares, plus d’informations : Le danger des cracks et keygen

Faux sites KMSAuto et Windows Loader

Même procédés avec de faux sites KMSAuto qui est un autre logiciel similaire à KMSPico.
Là aussi, les premières sites en résultat de recherche Google conduisent à des installeurs malicieux.

kmsauto-faux-site_trojan

ou encore “Windows Loader by Daz” qui est un autre utilitaire connu pour cracker Windows.
On reconnaît la charte graphique de celui-ci qui est la même que pour KMSPico.

Windows Loader pour cracker Windows renvoie vers des malwares

Les deux suivants installent un Trojan RAT qui permet de contrôler l’ordinateur et récupérer les mots de passe enregistrés dans les navigateurs internet.

Windows Loader pour cracker Windows renvoie vers des malwares
Windows Loader pour cracker Windows renvoie vers des malwares

L’article Kmspico / KMSAuto et les trojans est apparu en premier sur malekal.com.

Applications malveillantes sur Android : 7 conseils pour les éviter

12 octobre 2022 à 08:22

Les smartphones Android sont devenus très courants dans la vie de tous les jours.
Ainsi, il existe un marché pour les logiciels malveillants pour voler des données, contrôler un Smartphone à distance, installer un logiciel espion (Stalkware) ou logiciels publicitaires et Android.
Pour cela, les auteurs de malwares mettent des applications malveillantes en ligne sur Google Play Store qui peuvent renfermer un cheval de troie ou un adware.
Outre les malwares, des applications indésirables peuvent tout simplement collecter des données comme vos contacts, adresses emails, sites visités pour les transmettre à un tiers.
A partir de là, vous pouvez être la cible de démarchage, SMS, SPAM ou appels téléphoniques abusifs.

Dans ce tutoriel, je vous explique tous les conseils pour éviter les applications malveillantes sur Android.

Applications malveillantes sur Android : 6 conseils pour les éviter

Comment les applications malveillantes et virus s’installent sur Android

Android est un système d’exploitation un peu plus verrouillé que Windows.
En effet, par défaut, vous ne pouvez pas installer d’application depuis un site internet pour l’installer dans le système.
L’installation d’application par des sources inconnues sont désactivées par défaut, mais l’utilisateur peut les autoriser pour télécharger un APK et l’installer.
Bien entendu, pour des raisons de sécurité, cela n’est pas du tout indiqué.

Dans Android, vous devez vous rendre dans Google Play Store, qui est un magasin d’application, jeux, musiques et films.
De là, vous ouvrez la fiche du logiciel et vous pouvez l’installer.
Pour lutter contre cela, Google a mis en place Google Protect qui vérifient les applications du Play Store mais aussi les applications installées sur votre appareil.
Malgré les vérifications de Play Store, régulièrement, les auteurs de malwares soumettent des applications malveillantes qui peuvent toucher des millions de d’utilisateurs.

Si vous désirez un aperçu, suivez ce sujet du forum :

De manière générale, pour avoir un aperçu général des menaces informatiques sur Android :

Comment éviter les applications malveillantes sur Android

Eviter d’installer trop d’applications et jeux

L’installation d’une nouvelle application n’est pas une opération anodine.
Outre le fait que vous pouvez tomber sur une application dangereuse, elle peut aussi provoquer des instabilités du systèmes.
Les utilisateurs qui installent beaucoup d’applications et jeux augmentent les chances de rencontrer des problèmes : lenteur, publicité intempestive, plantage.

Utiliser que les sources et magasins officiels

Il existe quelques sites Web et magasins d’applications comme APKPure, APKMirror, APKPure, Apkplaygame et bien d’autres.
Ils mettent en ligne des applications, jeux sous la forme de fichiers APK.
Mais en général, la majorité des sites Web ont une arrière-pensée ou ne disposent pas de la sécurité appropriée pour analyser les applications téléchargées.

En conséquence, essayez de vous en tenir aux canaux officiels si vous le pouvez. Si vous devez passer par un site d’applications tiers en raison de restrictions, assurez-vous de l’obtenir auprès d’une source fiable.

Eviter d’installer les applications “peu téléchargés”

Lorsque vous ouvrez la fiche de l’application ou jeux, vérifiez le nombre de téléchargement.
Je vous conseille d’installer que les applications installées plus de 1 Millions de fois.
Vous augmentez les chances de n’installer que des applications saines et non malveillantes.

Comment éviter les applications malveillantes sur Android

Vérifier la sécurité des données

Ensuite en dessous, vérifiez le contenu de la sécurité d es données.
Les éditeurs ou développeurs peuvent déclarer comment l’application collecte des données et les pratiques.
Cela comprend :

  • Si l’éditeur partage les données à un tiers
  • Quel type de données sont collectées (informations personnelles, historique des achats, …)
  • L’activité de l’application et comment elle interagit avec les applications installées dans le système
  • Si le transfert de données est chiffrée
  • Si vous avez la possibilité de supprimer les données

Cette déclaration d’utilisation des données n’est pas obligatoire.
De plus, l’éditeur peut les modifier par la suite. Bien sûr, un éditeur d’application malveillant risque de mentir.

Toutefois, pour une application saine, cela peut indiquer si votre adresse e

Comment éviter les applications malveillantes sur Android

Vérifier les commentaires négatifs

Ensuite il est très important de vérifier les commentaires de l’applications et notamment les commentaires négatifs.
Pour cela, un filtre est proposé.
Bien sûr, il faut prendre les commentaires avec du recul, mais parfois, cela donne une indication.
Souvent, i lest indiqué si l’application bug ou plante et parfois encore des comportements inappropriés.

Par exemple, ce VPN gratuit semble installer un adware.

Comment éviter les applications malveillantes sur Android

Jeter un coup d’oeil à l’éditeur

Dans la fiche, vous pouvez cliquer sur l’éditeur pour obtenir des informations sur ce dernier.
Je vous conseille de vérifier le type d’applications proposées et si cela paraît logique.

Par exemple Free VPN LLC (notez le nom générique) propose une application VPN et des jeux.
Cela ne paraît pas logique, une société de sécurité propose des solutions de sécurité et pas des jeux.

Comment éviter les applications malveillantes sur Android

Il est donc possible ici que le but soit d’être présent dans des secteurs d’applications populaires pour collecter des données, voire pire encore, proposer des applications malveillantes.

Vérifiez les applications installées avec Google Play Protect

Google Play Protect est un programme de protection intégré qui permet d’empêcher les logiciels indésirables ou dangereux de pénétrer dans votre appareil.
Vous pouvez effectuez une analyse pour vérifier que vos applications ne sont pas malveillantes.

Vous pouvez bien entendu installer un antivirus, cela peut s’avérer utile si vous installez beaucoup d’applications.
Mais si vous suivez ces conseils et vous installez peu d’applications, cela n’est pas forcément nécessaire.

L’article Applications malveillantes sur Android : 7 conseils pour les éviter est apparu en premier sur malekal.com.

Trojan Stealer : le malware qui vole des données

7 octobre 2022 à 08:09

Dans un précédent article, j’expliquant comment les cybercriminels piratent les comptes internet, pour cela ils peuvent utiliser un Trojan Stealer.

Parmi les menaces informatiques les plus dangereuses, le Trojan Stealer est une des plus importantes.
Ce cheval de troie est capable de siphonner les données de l’appareil infecté.
Il donne accès aux informations de connexion des comptes internet pour un accès frauduleux.

Dans ce tutoriel, je vous explique ce qu’est un Trojan Stealer et vous donne les grandes lignes de son fonctionnement.

Trojan Stealer : le malware qui vole des données

Qu’est-ce qu’un Trojan Stealer

Un Trojan Stealer est un cheval de troie qui se spécialise dans le vol de données.
Les données ciblées sont diverses comme les mots de passe; des accès à des comptes en ligne ou encore des données nominatives telles que les noms, prénom, adresse postale, numéro de téléphone etc.
Si le malware s’attaque à une entreprise, cela peut aussi être des données clientes ou encore des données industrielles.

Un Trojan.Stealer peut fonctionner silencieusement en arrière-plan et ne fournir aucune indication d’infection à l’utilisateur. Certains peuvent également désactiver les programmes antivirus et autres fonctions de sécurité de Microsoft Windows.

Les détections ou dénominations utilisés par les antivirus peuvent être du type : Trojan.Stealer Trojan.PasswordStealer, Trojan.PWD, InfoStealer.
Etant donné qu’un Trojan Stealer possède des capacités de surveillance (KeyLogger, capture d’écran, etc), ils peuvent aussi être détecté en tant que Spyware ou Trojan-Spy.

Détection TrojanSpy.Win32/Stealer par Microsoft Defender

Comment fonctionne un Trojan Stealer

Le fonctionnement est relativement simple.
La victime installe un malware sur son appareil sans le savoir.
Une fois établi dans un système ou un réseau, le malware peut utiliser des techniques automatisées pour collecter des données internes. Ces techniques peuvent inclure des recherches automatisées pour collecter des informations correspondant à des critères définis, tels que le type de fichier, l’emplacement ou le nom, à des intervalles de temps spécifiques.

Ensuite le cheval de troie doit exfiltrer les données volées.
Certains Trojan Stealer envoie les données par SMTP à une adresse email spécifique, ou par FTP sous la forme d’un fichier texte avec le nom de l’ordinateur.
Enfin les plus sophistiqués utilisent un certains de contrôle, les données y sont déposés et le Trojan Stealer peut aussi recevoir des ordres.
Il prend alors la forme d’un bot et on dit que le PC a rejoint un botnet.
Le malware peut permettre à un attaquant d’obtenir des informations supplémentaires sur l’appareil comme les versions, applications installées, patch etc mais aussi au niveau du réseau.
Le malware peut être utilisé pour pénétrer plus profondément un réseau ou iinstaller des logiciels supplémentaires sur la machine infectée.
Le but est en général d’installer des logiciels malveillants supplémentaires pour monétiser, comme un ransomware, un adware ou encore demander à la machine infectée de participer à un botnet malveillant dans le but d’envoyer du spam ou d’autres activités malveillantes.
La communication vers le serveur de contrôle (C&C) peut se faire par HTTP, WebSocket ou encore via IRC.

Chaîne d'infection d'un Trojan Stealer

Les fonctionnalités principales d’un Trojan Stealer sont :

  • Fonctionnalité d’enregistrement de frappe clavier / KeyLogger
  • Capturer le presse papier pour voler les données utilisées pour copier/coller
  • Voler les cookies enregistrés dans le navigateur internet
  • Faire des captures d’écran qui peuvent être utilisées pour récupérer des informations
  • Capture vidéo : Un adversaire peut exploiter les périphériques d’un ordinateur (par exemple, les caméras intégrées ou les webcams) ou les applications (par exemple, les services d’appel vidéo) pour capturer des enregistrements vidéo dans le but de recueillir des informations. Des images peuvent également être capturées à partir de périphériques ou d’applications, potentiellement à des intervalles spécifiés, à la place de fichiers vidéo

Ensuite le malware se doit de pouvoir s’attaquer à des applications spécifiques.
Par exemple, à des clients FTP comme FileZilla pour récupérer des accès à des serveurs FTP, à des gestionnaires de mots de passe, client VPN, application de messageries ou encore des portefeuilles de crypto-monnaie.

Les Trojan Stealer spécifiques

Le Trojan Stealer est une catégorie de menaces informatiques liées à ses capacités.
Ainsi, d’autres catégories de malware peuvent être pris en Trojan Stealer.
Par exemple, beaucoup de Trojan RAT sont des Trojan Stealer car ils ont des capacités pour voler des données.

Toutefois, il existe des familles de malware créés spécifiquement dans le but de voler des données.
Parmi les plus courantes et actives, on trouve Redline Stealer, Raccoon Stealer, Agent Testla, Arechclient2, MassLogger, ColdStealer, Vidar Stealer, LodaRAT, ColdStealer, Mars Stelaler, Racoon Stealer, BlackGuard Stealer, Fabookie, PseudoManuscrypt ou Danabot.

Les différences se situent dans la sophistication à échapper aux détections et l’étendue des logiciels ciblés (client de messagerie, gestionnaire de mots de passe, etc).
C’est souvent ce qui est mis en avant dans la vente ou la localisation d’un malware (malware-as-a-service (MaaS)).

Les Trojan PWD Stealer pour voler les mots de passe du navigateur internet
source : https://blog.cyble.com/2022/07/25/luca-stealer-source-code-leaked-on-a-cybercrime-forum/

Certains cherchent à viser un maximum d’applications et d’autres se restreindre à des catégorie spécifiques de cibles.
Ces Trojan sont souvent redoutables car ils développement des méthodes spécifiques et sophistiquées pour voler ces données.

Par exemple, il existe aussi des Trojan Stealer qui se spécialisent dans le vol de certains données.
Par exemple, ceux qui s’attaquent aux comptes bancaires sont des Trojan Banker.
Bien souvent, ils spécialisent pour s’attaquer aux sites des banques.

On trouve aussi les Trojan Stealer qui s’attaquent aux jeux en ligne.
Les cybercriminels vendent également l’accès à des comptes de jeux spécifiques, à la fois individuellement et en gros. Il n’est pas surprenant que les comptes contenant de nombreux jeux, des modules complémentaires et des articles coûteux aient une valeur particulière. En général, les cybercriminels les vendent avec d’énormes remises.
Ainsi, ces Trojan Stealer ciblent des plateformes de jeux ligne telles que Bethesda, Epic Games, GOG, Origin, Steam, Telegram, VimeWorld et Twitch et Discord.

Comment se protéger d’un Trojan Stealer

Voici les principales conseils afin de se protéger de ce type de Trojan Stealer :

  • Protéger vos comptes avec des mots de passe forts, activez l’authentification à deux facteurs et, d’une manière générale
  • Optimisez les paramètres de sécurité de la plateforme en ligne
  • Ne télécharger que des applications provenant de sources officielles afin de minimiser les risques d’attraper des logiciels malveillants
  • Méfiez-vous des liens contenus dans les e-mails et les messages d’inconnus
  • Avant de saisir vos informations d’identification sur un site Web, assurez-vous qu’il est authentique

En outre vous pouvez aussi suivre les conseils du site pour sécuriser votre PC contre les menaces informatiques.

Comment protéger son PC des virus et des pirates ?

Comment supprimer un Trojan Stealer de son PC ?

Enfin côté désinfection, rien de particulier pour supprimer cette menace informatique.
Vous pouvez suivre le tutoriel du site :

Comment supprimer un trojan de son PC gratuitement

Liens

L’article Trojan Stealer : le malware qui vole des données est apparu en premier sur malekal.com.

❌