FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 18 octobre 2021Flux principal

Sécurité des systèmes de contrôle industriels : spywares et scripts malveillants en hausse au premier semestre 2021

18 octobre 2021 à 11:14
Par : UnderNews

D’après l’Industrial Control Systems Cyber Emergency Response Team (ICS CERT) de Kaspersky, une unité qui vise à détecter et à éliminer les menaces touchant les systèmes de contrôle industriels, près d’un système informatique industriel sur trois a été la cible d’activités malveillantes au premier trimestre 2021. Au premier semestre 2021, les cybercriminels ont eu largement […]

The post Sécurité des systèmes de contrôle industriels : spywares et scripts malveillants en hausse au premier semestre 2021 first appeared on UnderNews.
À partir d’avant-hierFlux principal

Supprimer les virus de Google Chrome (publicités, popup, redirections)

18 septembre 2021 à 10:04

Google Chrome est un navigateur internet populaire.
Comme toute application très utilisée, elle est la cible de logiciels malveillants.
Principalement par des adwares qui cherchent à afficher des publicités pour faire gagner de l'argent.
Cela se traduit par des pubs, popup ou redirections lors du surf.

Dans ce tutoriel, je vous donne une procédure standard afin de supprimer les virus de Google Chrome.

Supprimer les virus de Google Chrome (publicités, popup, redirections)

Quels sont les symptômes des virus de Google Chrome

Lorsque Google Chrome est infecté par un malware, ce dernier a un comportement anormal.
Il est en général ralentit et des popups, onglets ou messages s'ouvre automatiquement.

Voici une liste des principaux symptômes à l'origine de virus dans Google Chrome.

  • Publicités contextuelles, popup ou nouveaux onglets qui n'ont de cesse de s'ouvrir intempestivement
  • Votre page d'accueil chrome ou votre moteur de recherche continue de changer sans votre permission
  • Des extensions pour Chrome ou des barres d'outils non désirées s'installent sans votre consentement
  • Votre navigation est détournée et redirige vers des pages ou des annonces inconnues
  • Des alertes de virus, avertissements ou message indiquant que appareil est infecté ne cesse de s'afficher
  • Des publicités s'affichent en bas à droite de l'écran
  • Google Chrome est ralenti et beaucoup plus lent qu'à l'habitude
  • Des problèmes de chargement des pages WEB et sites internet : ERR_CONNECTION_REFUSED, ERR_CONNECTION_CLOSED
Publicités en bas à droite de l'écran :  symptômes de virus de Google Chrome

Comment supprimer les virus de Google Chrome

Réinitialiser Google Chrome

La première chose à faire est de réinitialiser Google Chrome pour supprimer les extensions parasites ou des paramétrages malveillants.
Cela a pour effet de remettre les paramètres par défaut :

  • Les paramètres et les raccourcis Chrome seront réinitialisés
  • Les extensions seront désactivées
  • Les cookies et les autres données de sites temporaires seront supprimés
  • Vous ne perdez pas les paramètres utilisateurs, ni vos favoris

Voici comment réinitialiser Google Chrome :

  • Cliquez sur le bouton en haut à droite
    puis Paramètres
Ouvrir les paramètres de Google Chrome
  • A gauche, déroulez les paramètres avancés
Ouvrir les paramètres avancés de Google Chrome
  • Ensuite à gauche, cliquez sur Réinitialiser et nettoyer
  • Puis en haut cliquez sur Restaurer les paramètres par défaut
Rétablir les paramètres par défaut
  • Confirmez en cliquant sur Réinitialiser les paramètres
Supprimer les virus de Google en réinitialisant le navigateur internet
  • Puis l'outil travaille pour remettre la configuration de Google Chrome par défaut. Patientez quelques minutes
Supprimer les virus de Google en réinitialisant le navigateur internet

Une méthode plus complète pour réinitialiser complètement Google Chrome est disponible dans le tutoriel suivant :

Nettoyer l'ordinateur avec la recherche des logiciels malveillants de Google Chrome

Google Chrome embarque un outil de recherche de logiciel malveillants.
Il analyse votre ordinateur pour détecter et éradiquer les malwares.

  • Accédez aux paramètres avancés
  • Puis à gauche sur Réinitialiser et nettoyer
  • Enfin à droite, cliquez sur Nettoyer l'ordinateur
  • Cliquez sur le bouton bleu rechercher
  • La recherche de logiciels malveillants s'effectue, elle est très longue, patientez

Rétablir la page d'accueil et le moteur de recherche

Les Browser hijacker détourne la page de démarrage et le moteur de recherche pour imposer un site de recherche.
Ils utilisent des stratagèmes sophistiqués pour rester dans la configuration du navigateur et vous empêcher de rétablir la page d'accueil ou moteur de recherche par défaut.
La réinitialisation de Google Chrome aide à corriger ces problèmes, toutefois, il convient de vérifier que les réglages sont corrects

  • Cliquer en haut à droite sur le bouton
  • Puis Paramètres
Ouvrir les paramètres de Google Chrome
  • Restez dans le menu Google et vous puis descendez pour trouver :
    • Moteur de recherche pour choisir le moteur de recherche dans le menu déroulant
    • Au démarrage pour modifier la page d'accueil qui s'ouvre au lancement de Google Chrome

Supprimer les extensions malveillantes, parasites et adwares

Les extensions sont des programmes additifs que l'on installe dans le navigateur internet pour ajouter des fonctionnalités ou modifier le comportement du navigateur internet.
Il existe de nombreuses extensions malveillantes de type Adware ou Browser Hijacker.
En effet, une extension peut très facilement injecter des publicités sur les pages WEB visités ou créer des redirections vers Yahoo!, Bing ou des régies publicitaires.
Enfin, elle peut forcer un moteur de recherche ou page d'accueil.

Ainsi, il est impératif de vérifier les extensions installées et supprimer les extensions inconnues.

  • Cliquez en haut à droite sur
    > Plus d'outils > Extensions
  • Ou encore directement via l'URL : chrome://extensions
Ouvrir le menu des extensions de Google Chrome
  • Puis vérifiez les extensions installées et désactiver ou supprimer les extensions inconnues que vous pensez ne pas avoir installées. En cas de doute, supprimer l'extension et réinstallez la à partir de Google WebStore

Par exemple ci-dessous Green Blocker et Youtube AdBlocker, deux extensions qui se font passer pour des bloqueurs de publicités sont en réalité des adwares.

Supprimer les extensions malveillantes, parasites et adwares de Google Chrome

Faire une désinfection Malwarebytes Anti-Malware (MBAM)

Malwarebytes Anti-Malware (MBAM) est un logiciel gratuit de désinfection très puissant.
Il vise toute sorte de menaces informatiques tels que les trojans, adwares, PUP, rootkit ou backdoor.
C'est un complément très efficace pour supprimer les virus de Google Chrome.

L’article Supprimer les virus de Google Chrome (publicités, popup, redirections) est apparu en premier sur malekal.com.

Browser Hijacker : les pirates des navigateurs Internet

7 mai 2017 à 11:41

Les Browser Hijacker en français les pirates des navigateurs WEB sont des programmes malveillants qui visent à prendre en otage les navigateurs internet en modifiant la page de démarrage.
Ces programmes malveillants sont spécialisés dans le détournement de page d'accueil des navigateurs.
Plus précisément la modification de paramètres (Hijack en anglais) de Firefox, Chrome, et Internet Explorer.
Certains antivirus peuvent classer ces menaces en Trojan.StartPage.

Des subterfuges sont ensuite utilisés pour garder ces paramètres (persistance) et forcer le retour vers le moteur de recherche ou page d'accueil indésirable.

Le but final est de gagner de l'argent avec les publicités sur ce moteur, gagner de l'argent avec le volume du trafic envoyé à des moteurs tiers (Yahoo!, Bing ou Google).
Ces méthodes font parti intégrante de la guerre que livre les moteurs de recherche, lire : La guerre des moteurs de recherche sur internet.

Ce tutoriel vous présente ces menaces, les outils pour les éradiquer et nettoyer vos navigateurs internet.

Introduction au Browser Hijacker

Les Browser Hijacker sont des menaces qui ont explosés et s'installent avec des packs d'adwares et PUPs (Programmes Potentiellement Indésirables).
Ces Browser Hijacker n'ont qu'un seul but : bloquer la page de démarrage sur un moteur de recherche en particulier afin de forcer son utilisation.
Pour cela, il modifie la configuration de tous les navigateurs internet présents : Google Chrome, Mozilla Firefox, Internet Explorer ou Microsoft Edge.
Certains de ces Browser Hijacker tentent ensuite de maintenir ce blocage à travers divers mécanismes.

Le but est de faire de l'argent, en augmentant artificiellement le nombre de visiteurs de ces moteurs de recherche et gagner de l'argent avec les publicités qui s'y trouvent.
L'adresse et le nom du moteur de recherche change régulièrement dans le temps, afin de contourner d'éventuellement liste noire antivirus et autres.

Pour une liste de Browser Hijacker, rendez-vous sur la page : Liste des Browser Hijacker

Search engine Browser Hijacker

Le mot Hijack provient de l'anglais exproprier, en informatique, le hijacking est la pratique d'attaques de type hijack, à l'aide d'un Hijacker.
Le hijacking consiste à modifier la configuration d'un élement.
En général, il cherche aussi à ce que cette modification reste.
Parmis les réglages qui peuvent être hijackés :

Trojan.StartPage est aussi une menace lié au Browser Hijacker puisque ce sont des chevaux de troie spécialisés dans le remplacement de la page de démarrage du navigateur WEB.

Pourquoi détourner la page de démarrage ?

Pour des raisons économiques.
Il existe une guerre des moteurs de recherche sur internet, en positionnant un moteur de recherche spécifique en page d'accueil ou de démarrage, on peut vous forcer à utiliser ce dernier.
Ainsi, on augmente le nombre de visiteurs et l'audience du site artificielle, cela permet de gagner de l'argent avec les publicités qui s'ouvriront durant les recherches ou le volume du trafic envoyé vers un moteur de recherche plus important.
Dans le cas de Bing ou Yahoo! cela permet de récupérer des parts de marchés dans la bataille que se livre les géants du net.

Ces détournement de page d'accueil ou homepage sont souvent accompagnés de logiciels publicitaires (adwares).
Là aussi, le but est de se servir de l'ordinateur pour charger des pubs en tout genre afin de gagner de l'argent.

Exemple de détournement de page vers le moteur webssearches.

Techniques et méthodes des Browser Hijacker

Voici quelques méthodes utilisées par les Browser Hijacker pour forcer la page de démarrage souhaitée.
La plupart du temps, un programme malveillant tourne sur l'ordinateur et remet périodiquement la page de démarrage voulue.

Extensions parasites

Une des méthodes consiste à proposer l'installation d'extensions parasites sur Chrome ou Firefox.
Ces extensions permettent de modifier les paramétrages des navigateurs Internet et contrôler la page de démarrage.
Par exemple, le moteur de recherche myway est assez active dans ces méthodes.

Parfois, la proposition d'installation des extensions est vicieuses, car elle vise à forcer l'installation, par l'utilisation du plein écran ou des popups incessantes qui empêchent la fermeture de la page, ainsi, l'utilisateur est contraint d'installer l'extension vérolée.

Browser Hijacker et Extensions parasites

Modification du raccourcis

Cette méthode consiste à forcer un lien dans les propriétés de tous les raccourcis des navigateurs internet.
Ainsi, lorsque l'internaute double-clic sur le raccourcis, le moteur de recherche hijack s'ouvre en plus de la page de démarrage.
Il faut alors nettoyer tous les raccourcis de lancement des navigateurs WEB.
Certains Browser Hijacker installent alors des mécanismes (tâche planifiées etc) afin de replacer ce lien dans les raccourcis.

Browser Hijacker : Modification du raccourcis de lancement du navigateur WEB

Remplacement du navigateur Internet

Une autre méthode consiste à remplacer le navigateur internet par défaut, ou modifier les raccourcis des navigateurs internet existant pour faire pointer sur une copie avec un paramétrage particulier.
Du côté, des navigateurs internet alternatif, Chromium est souvent utilisé à ces fins.

Les programmes de sécurité

Les éditeurs de sécurité proposent des logiciels de protection de la page de démarrage qui visent à modifier celle-ci.
Le but est en fait le même que les Browser Hijacker, utiliser un moteur de recherche spécifique qui va permettre à l'éditeur de gagner de l'argent.
C'est un des méthodes utilisées par les antivirus gratuits pour monétiser ces derniers.
Par exemple, AVG propose d'installer AVG Search qui va en fait utilise Yahoo!
L'argument avancé est la sécurité car le programme protège la page de démarrage et le moteur proposé est soit disant plus sûr, ce qui est du pipeau.

D'autres programmes comme Adaware Web Companion fonctionne de la même manière.
Plus de détails sur la page : Comment supprimer Adaware Web Companion

Browser Hijacker et Adaware Web Companion

Orange fait aussi de même avec Orange Insider : Orange Insider : Page de démarrage de Chrome ou Firefox forcée

Browser Hijacker et Orange Insider

Ces changements et tentatives de contrôle de la page de démarrage et moteur de recherche sont avant tout économique.

Comment supprimer les Browser Hijacker

Vous devez désinfecter Windows, supprimer tous les programmes malveillants et parasites.
A partir de là, il sera ensuite possible de re-paramétrer votre page de démarrage.

Les outils de suppression des Browser Hijacker

Les outils de désinfection et de suppression de Browser Hijacker et Trojan.StartPage suivant sont gratuits.
Leurs fonctionnements est assez identiques pour tous ces outils avec une partie analyse et une partie nettoyage.

Les outils génériques, qui analysent l'ordinateur afin de supprimer les Browser Hijacker mais aussi toute autre malware :

Supprimer les Browser Hijacker

Voici un lien de désinfection générique pour les adwares et PUPs qui permet aussi de nettoyer les Browser Hijacker.
La procédure est très détaillée et vous guide pas à pas pour parvenir à supprimer tous ces virus.

Les sites de désinfection (suppression d'adwares, Browser Hijacker & trojans) :

Remettre la page de démarrage

Cette page vous donne toutes les procédures pour remettre la page souhaitée dans la configuration de votre navigateur internet.

Suivez le tutoriel :


Comment changer la page de démarrage de Chrome, Firefox, Internet Explorer ou Edge

L’article Browser Hijacker : les pirates des navigateurs Internet est apparu en premier sur malekal.com.

BlackHole Exploit WebKit : Présentation

30 novembre 2011 à 12:27

Après le billet Spyeye C&C et Business underground, voici une présentation de BlackHole Exploit WebKit.

Un Exploit WebKit est un kit clef en main qui permet l'installation de malware via des exploits sur site WEB. Ces kits sont vendus dans le milieu underground et permettent à des groupes la propagation de leurs malwares (ou après en avoir acheté) via des exploits sur site WEB.
Le kit fournit les exploits et un panel de gestion (avec souvent des statistiques).
Un service de support est disponible en cas de problème technique ou éventuellement des mises à jour des exploits pour échapper aux détections via un abonnement supplémentaire.

Blackhole Exploit WebKit est un des plus utilisés actuellement, vous trouvez une présentation sur cette page : http://malwareint.blogspot.com/2011/08/black-hole-exploits-kit-110-inside.html et http://xylibox.blogspot.com/2011/09/blackhole-exploit-kit-v120.html
D'après le lien précédent, la licence était vendu en aout 2011 à 1500 dollars l'année.

La page d'accueil affiche les statistiques, à gauche vous avez le nombre de hits et hosts et le nombre de load avec un pourcentage de "réussite", ce qui donne une certaine efficacité de l'exploit WebKit.
Les mêmes statistiques par jour.
A droite, vous avez les exploits avec les statistiques de load/réussite, comme vous pouvez le voir, les exploits Java fonctionnent plutôt bien.
En bas à gauche, vous avez les statistiques par systèmes d'exploitations, on voit que Windows XP est le plus touché avec un nombre de hits assez identiques à Windows Seven.

Plus bas les statistiques par malwares et par navigateurs WEB et par pays.
On peux voir qu'IE a le nombre de hits le plus élevés, le taux de réussite pour Firefox et IE est assez identiques.
Chrome est par contre très haut et inversement Opera est très bas.
On peux voir que cet Exploit vise les pays américains en majorité.

Le webpanel prévoit la possibilité de filtre les éléments affichés... bref du beau Web 2.0

BlackHole Exploit WebKit prévoit la possibilité de gérer les malwares ainsi que les exploits.
Par exemple ici on peux définir des malwares différents ou gérer des affiliations différentes, chacun ayant ses statistiques, en cliquant sur l'icône stats, on retrouve les statistiques de la page précédentes.

Il est aussi possible de cibler des pays avec des navigateurs/OS différents et les redirigers sur des exploits en particuliers.
L'onglet Files permet de gérer les malwares.
Les fichiers ne sont pas directement téléchargements, lors d'une infection par l'exploit, ce sont des scripts PHP qui sont appelés (cela permet d'enregistrer les informations pour alimenter les statistiques).
Souvent des urls avec des noms alématoires ou via une page w.php?=f=xxx&e=xxx ou f est le fichier malicieux qui va être chargé  et e est l'exploit qui a permis le chargement.

L'onglet Security permet de blacklister des referers ou IP, par exemple, des bots d'antivirus ou autres.
Il est possible d'exporter ou importer la liste.
La config de l'Exploit WebKit - il est possible de changer les noms des scripts ce qui est assez interressant d'un point de vue sécurité, en effet, les pages des Exploit webkit étant en généralement connues.
Comme vous pouvez le voir en bas à droite, il est aussi possible de soumettre de manière automatiquement son malware à des détections d'antivirus.
Les services sont bien sûrs des services underground : Scan4you et VirTest.

Comme vous pouvez le voir, les Exploit WebKit sont assez professionnels avec les services de support qui vont derrière.
De quoi proposer tout clef en main pour propager des malwares, d'où une explosion ces dernières années.

En amont, on peux trouver un Traffic system qui permet de gérer l'affiliation et la monétisation.
Exemple avec le « TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »

EDIT 13 Septembre

L'exploitkit BlackHole 2.0 est sorti avec quelques inovations, se reporter au billet suivant : http://malware.dontneedcoffee.com/2012/09/blackhole2.0.html
Notamment, il va être plus difficile à tracker, avec la version 1, il était possible de retélécharger le binaire mais aussi, par défaut, de télécharger tous les binaires d'un même ExploitKit.
Un captcha a aussi été ajouté à l'authentification admin pour éviter les bruteforces afin d'éviter que des petits malins se logguent sur le panel 😉
L'auteur semble avoir corrigé cela.

Les URLs ont aussi changé, voici un exemple d'un BlackHole :

http://follow.fellowshipsports.org/links/loaded-mistook-requirements.php
http://follow.fellowshipsports.org/links/loaded-mistook-requirements.php?knlc=030b080537360a3736340b083804070335060434333804093308343802020508&oianr=474c&nha=zhwvb&lexelpv=ugcbhsqc
http://follow.fellowshipsports.org/links/loaded-mistook-requirements.php?knlc=030b080537360a3736340b083804070335060434333804093308343802020508&oianr=474c&nha=zhwvb&lexelpv=ugcbhsqc
http://follow.fellowshipsports.org/links/plugindetecta/plugindetecta.class
http://follow.fellowshipsports.org/links/plugindetecta/plugindetecta.class
http://follow.fellowshipsports.org/links/loaded-mistook-requirements.php?uvd=030b080537360a3736340b083804070335060434333804093308343802020508&kny=34&fmdimmsa=37053505383737373608&vzvivb=09000200020002

 En plus détaillé, se reporter à ce billet : http://malware.dontneedcoffee.com/2012/09/BHEK2.0landing.html

L’article BlackHole Exploit WebKit : Présentation est apparu en premier sur malekal.com.

Détection des Chevaux de Troie à l’aide du machine learning

11 août 2021 à 15:31
Par : UnderNews

Dans notre société moderne, des milliards d'appareils électroniques sont utilisés chaque jour. Une tendance accentuée par la démultiplication de l'Internet des objets (IoT).

The post Détection des Chevaux de Troie à l’aide du machine learning first appeared on UnderNews.

Le malware multiplateforme de WildPressure s’attaque à macOS au Moyen-Orient

11 août 2021 à 14:32
Par : UnderNews

Milum est un cheval de Troie utilisé par WildPressure, un groupe APT (Advanced Persistent Threat) actif au Moyen-Orient, que Kaspersky surveille depuis août 2019. Lors de leurs investigations sur l’une des dernières attaques de ce groupe qui semble viser le secteur industriel, les chercheurs de Kaspersky ont détecté de nouvelles versions du malware écrites dans différents langages de programmation, dont une qui peut infecter à la fois les systèmes Windows et macOS. 

The post Le malware multiplateforme de WildPressure s’attaque à macOS au Moyen-Orient first appeared on UnderNews.

Comment faire une analyse forensic d’un smartphone pour y détecter des signes d’infection ?

27 juillet 2021 à 09:00
Par : Korben

Il y a quelques jours éclatait le scandale Pegasus. Un genre de trojan commercial qui utilise des failles 0day pour s’installer sur des smartphones Android et iOS afin d’espionner leurs utilisateurs.

Le problème ? Il s’agit d’un outil commercial édité par la société NSO Group qui est revendu à plein de services de renseignement et de sociétés privées.

Et vous connaissez la fourberie de l’humain… Pegasus a surtout été utilisé pour espionner des journalistes, des activistes…etc., ce qui est contraire aux droits de l’homme.

Bref, une saloperie de plus. Alors évidemment, sont sorties ensuite les méthodes pour « détecter » la présence de Pegasus sur les smartphones, car oui ce n’est pas simple.

Alors je ne vais pas spécialement vous expliquer comment détecter Pegasus, car vous ne l’avez probablement pas sur votre smartphone. Moi je l’ai pas en tout cas. Personne l’a en fait. Faut être président ou titilleur de gouvernement pour se retrouver avec ça sur son téléphone.

Mais n’empêche que grâce à ça, j’ai découvert un outil open source super cool qui s’appelle MVT pour Mobile Verification Toolkit. Développé et publié par le laboratoire de sécurité d’Amnesty International en juillet 2021 dans le cadre du projet Pegasus, il s’agit d’un outil destiné à faciliter l’analyse forensics des appareils Android et iOS, dans le but d’identifier les traces de compromission et accessoirement d’en sortir de la donnée.

Il faut bien sûr l’accord du propriétaire du smartphone pour faire ça. Ou au moins un accès déverrouillé au smartphone.

Je vais vous présenter ça. Maintenant si c’est Pegasus qui vous intéresse et que vous cherchez à déterminer si vous êtes infecté, installez simplement l’application Tehtris MTD qui vous dira si votre smartphone est compromis. Dispo sous Android et iOS.

Mais revenons à MVT.

MVT permet de :

  • Déchiffrer les sauvegardes iOS chiffrées.
  • Traiter et analyser les enregistrements de nombreuses bases de données, journaux et analyses du système et des applications iOS.
  • Extraire les applications installées sur les appareils Android.
  • Extraire les informations de diagnostic des appareils Android via le protocole adb.
  • Comparer les enregistrements extraits à une liste fournie d’indicateurs malveillants au format STIX2 (et le STIX2 de Pegasus est là pour info).
  • Générer des journaux JSON des enregistrements extraits et des journaux JSON distincts de toutes les traces malveillantes détectées.
  • Générer une chronologie unifiée des enregistrements extraits, ainsi qu’une chronologie de toutes les traces malveillantes détectées.

Pour résumer, MVT est un outil d’investigation qui permet de rechercher des signes d’infection dans les smartphones.

Installer MVT

Avant de l’utiliser, faut l’installer. Si vous êtes sous mac, vous aurez besoin de Xcode et de homebrew et d’installer la dépendance suivante :

brew install python3 libusb

Si vous êtes sous Linux, vous aurez besoin des paquets suivants :

sudo apt install python3 python3-pip libusb-1.0-0

Et après il suffit de l’installer avec pip comme ceci :

pip install mvt

Ou si vous préférez partir des sources du projet sur Github comme ceci :

git clone https://github.com/mvt-project/mvt.git
cd mvt
pip3 install .

À présent, vous disposez de deux outils : mvt-ios et mvt-android.

Analyser un smartphone iOS

Avant de vous lancer dans l’acquisition et l’analyse des données d’un appareil iOS, vous devez déterminer quelle est la méthodologie d’analyse la plus efficace pour vous, à savoir partir d’un backup ou d’un dump complet du système.

Le backup

Cela consiste à générer une sauvegarde iTunes ou avec libmobiledevice. Il faut savoir que les sauvegardes ne fournissent qu’un sous-ensemble des fichiers stockés sur l’appareil, mais dans de nombreux cas, cela peut être suffisant pour au moins détecter certains artefacts suspects. Les sauvegardes chiffrées avec un mot de passe contiennent des enregistrements supplémentaires intéressants qui ne sont pas disponibles dans les sauvegardes non chiffrées, comme l’historique de Safari…etc. Donc pensez à chiffrer votre sauvegarde.&

Le dump


Même s’il n’est pas toujours possible de jailbreaker certains modèles d’iPhone, c’est cet accès au système de fichiers complet qui vous permettra d’extraire des données qui ne seraient pas disponibles autrement. Mais c’est assez invasif comme méthode alors je ne vous la recommande pas, sauf si vous n’avez pas prévu de rendre le smartphone ensuite, et que vous pouvez bourriner.

Étape 1 : Installer libimobiledevice

Cet utilitaire est utile lors de l’extraction des journaux de crash et de la génération de sauvegardes iTunes.

Pour l’installer sous mac :

brew install --HEAD libimobiledevice

Pour l’installer sous Linux (ubuntu, debian comme d’hab) :

sudo apt install libimobiledevice-utils

Et pour voir si ça fonctionne, entrez simplement la commande suivante dans votre terminal. Ça va sortir un tas d’infos sur votre iPhone / iPad, ce qui est déjà très sympa :

ideviceinfo

Étape 2 : Faire la sauvegarde

On va devoir faire une sauvegarde chiffrée du smartphone. Avec un Mac et iTunes (ou l’équivalent dans le Finder d’Apple) c’est possible mais je trouve ça long et un peu buggé chez moi. J’ai donc procédé à une sauvegarde complète. Tout d’abord, vous devez vous assurer que le chiffrement des sauvegardes est activé, car comme ça elles contiendront plus de données.

idevicebackup2 backup encryption on

Après vous pouvez si vous ne l’avez pas encore fait, spécifier un mot de passe pour le chiffrement des sauvegardes comme ceci :

idevicebackup2 backup changepw

Et dès que c’est bon, vous pouvez lancer la sauvegarde comme ceci :

idevicebackup2 backup --full /répertoire/de/sauvegarde/

Étape 3 : Analyser la sauvegarde

Viens ensuite l’analyse de cette sauvegarde. Pour cela, il suffit d’indiquer à l’outil le mot de passe utilisé pour le chiffrement ainsi que le répertoire où se trouve la sauvegarde (/répertoire/de/sauvegarde/).

mvt-ios decrypt-backup -p password -d /repertoire/des_fichiers/déchiffrés /répertoire/de/sauvegarde/

Voilà, y’a plus qu’à attendre et vous obtiendrez une série de fichiers JSON contenant plein d’infos sympas comme des listes de contacts, les appels, l’historique de Chrome / Safari, les SMS, les pièces jointes des SMS, les données Whatsapp…etc.

Étape 4 : Facultative – Appliquer un indicateur de compromission (IOC)

Pour savoir si on a Pegasus, il faut relancer l’outil avec un paramètre supplémentaire –iocs comme ceci

mvt-ios decrypt-backup -p password -d /repertoire/des_fichiers/déchiffrés --iocs /répertoire/de/pegasus.stix2 /répertoire/de/sauvegarde/

Et voilà… Ainsi vous saurez si Pegasus est dans la place.

Analyser un smartphone Android

Bizarrement, c’est plus complexe de faire une analyse technique d’un téléphone Android et MVT permet simplement de télécharger les APKs installés afin de les analyser et d’extraire la sauvegarde Android afin de rechercher les SMS suspects.

Étape 1 : Vérifier les APK

Pour récupérer tous les APK en place, on va donc utiliser mvt-android. Connectez le smartphone à l’ordinateur, activez le débogage USB puis lancez la commande suivant avec le chemin du répertoire où vous voulez stocker les APK :

mvt-android download-apks --output /répertoire/de/sortie

Si vous suspectez la présence d’un malware, vous pouvez également envoyer les empreintes des APK à des services comme VirusTotal ou Koodous comme ceci :

mvt-android download-apks --output /répertoire/de/sortie --virustotal (ou --koodous)

Ou si vous voulez solliciter les 2 services simultanément, ajoutez le paramètre all-checks :

mvt-android download-apks --output /répertoire/de/sortie --all-checks

Étape 2 : Vérifier la sauvegarde

Comme certaines attaques contre les téléphones Android se font par l’envoi de liens malveillants par SMS, la fonction de sauvegarde d’Android peut être utilisée pour extraire les SMS et les vérifier avec MVT.

Pour cela, vous devez connecter votre appareil Android à votre ordinateur et activer le débogage USB.

Vous pouvez ensuite utiliser adb pour extraire la sauvegarde pour les SMS uniquement avec la commande suivante :

adb backup com.android.providers.telephony

La sauvegarde sera alors stockée dans un fichier backup.ab.

Vous devrez alors utiliser Android Backup Extractor pour convertir ce fichier en un format lisible avec la commande suivante (il vous faut java) :

java -jar ~/Download/abe.jar unpack backup.ab backup.tar
tar xvf backup.tar

Vous pouvez ensuite extraire les SMS contenant des liens avec MVT comme ceci :

mvt-android check-backup --output /répertoire/des_fichiers/déchiffrés /répertoire/de/sauvegarde/

Étape 3 : Facultative – Appliquer un indicateur de compromission (IOC)

Grâce au paramètre iocs, vous pouvez spécifier un fichier STIX2 définissant une liste d’indicateurs malveillants à comparer aux enregistrements extraits de la sauvegarde par mvt.

mvt-android check-backup --output /répertoire/des_fichiers/déchiffrés --iocs /répertoire/de/pegasus.stix2 /répertoire/de/sauvegarde/

Et voilà !

Des Trojans Android volent des logins et mots de passe d’utilisateurs Facebook

2 juillet 2021 à 13:18
Par : UnderNews

Les analystes de Doctor Web ont détecté plusieurs applications malveillantes sur Google Play qui volent des logins et des mots de passe d’utilisateurs de Facebook. Ces Trojans-Stealers ont été diffusés sous le couvert d'applications inoffensives dont le nombre total d'installation a dépassé les 5 856 010.

The post Des Trojans Android volent des logins et mots de passe d’utilisateurs Facebook first appeared on UnderNews.
❌