Le Bulletin Sécurité, suivez l'info !

15/11/2019 00:00

Le Bulletin Santé vous est proposé afin de vous informer et vous sensibiliser aux dangers du web.

N'héstez pas à revenir sur cette page régulièrement.

NB : la provenance des pages dont ces bulletins sont extraits est indiquée.

Elles sont référencées par le portail des Antivirus que nous distribuons.

 

Pour les clients sous contrat d'assistance, un lien direct leur est mentionné par le 'CLIENT INTERACTIF'.

 

Une application de cryptomonnaie sur Mac, découverte par ESET Research, contient un cheval de Troie qui collecte des portefeuilles et des captures d’écran

16.07.2020

 

Les chercheurs d’ESET ont récemment découvert des sites web diffusant des applications de négociation de cryptomonnaie pour Mac contenant un cheval de Troie. Il s’agit d’applications légitimes détournées par le malware GMERA, utilisées par des cybercriminels pour voler des informations telles que des cookies de navigateur et des portefeuilles de cryptomonnaie, et effectuer des captures d’écran. Dans le cadre de cette campagne, l’application commerciale légitime Kattana a été rebaptisée, des sites web similaires ont été créés, et le malware a été intégré à son programme d’installation. Les chercheurs d’ESET ont noté quatre noms différents utilisés dans cette campagne pour l’application comportant le cheval de Troie : Cointrazer, Cupatrade, Licatrade et Trezarus.
« Comme lors de campagnes précédentes, le malware accède à un serveur de commande et de contrôle via http (C2, C&C), et se connecte à un autre serveur de commande et de contrôle via des sessions terminal distantes à l’aide d’une adresse IP codée en dur, » explique Marc-Etienne Léveillé, le chercheur d’ESET qui a mené l’enquête sur GMERA.
Les chercheurs d’ESET n’ont pas encore été en mesure de trouver la source exacte de ces chevaux de Troie. Cependant, en mars 2020, le site légitime de Kattana comportait une note avertissant que des victimes étaient approchées individuellement pour les inciter à télécharger une fausse application, ce qui semble indiquer des tentatives d’ingénierie sociale. Des sites web similaires sont mis en place pour donner l’impression que le téléchargement est légitime. Le bouton de téléchargement sur les faux sites est un lien vers une archive ZIP contenant le programme d’installation du cheval de Troie.
En plus de l’analyse du code du malware, les chercheurs d’ESET ont également mis en place des leurres sous la forme de honeypots pour attirer les exploitant de GMERA et leur donner le contrôle à distance les honeypots. L’objectif des chercheurs était de révéler les motivations de ce groupe de cybercriminels. « D’après les activités dont nous avons été témoins, nous pouvons confirmer que les pirates ont collecté des informations sur les navigateurs, telles que des cookies et l’historique de navigation, des portefeuilles de cryptomonnaie et des captures d’écran, » conclut M. Léveillé.2. Les attaquants ont piraté des milliers d’appareils connectés mal-protégés tels que les routeurs domestiques et les caméras de surveillance, pour former un réseau botnet.
 

ESET a découvert une application de chat qui espionne les utilisateurs et divulgue les données volées

 

15.07.2020

Des chercheurs d’ESET ont découvert de nouvelles activités liées à une campagne de cyberespionnage de longue date au Moyen-Orient, apparemment associées au groupe de pirates connus sous le nom de Gaza Hackers ou Molerats.

Une application Android, Welcome Chat, qui fait office de spyware tout en fournissant les fonctionnalités de chat promises, fait partie intégrante de la campagne. Le site web malveillant qui diffuse l'application prétend proposer une plateforme de chat sécurisée disponible dans la boutique Google Play. Ces affirmations ne sauraient être plus éloignées de la vérité, selon les chercheurs d'ESET, surtout en ce qui concerne la sécurité.

« En plus d'être un outil d'espionnage, Welcome Chat rend les données récoltées auprès de ses victimes librement accessibles sur Internet. Et l'application n'a jamais été disponible dans la boutique officielle de Google, » explique Lukáš Štefanko, le chercheur d'ESET qui a effectué l'analyse de Welcome Chat.

L'application Welcome Chat se comporte comme toute application de chat téléchargée en dehors de Google Play : il est nécessaire d’activer le paramètre « Autoriser l'installation d'applications depuis des sources inconnues ». Après l'installation, l’application demande l'autorisation d'envoyer et de consulter des SMS, d'accéder à des fichiers, d'enregistrer des fichiers audio, d’accéder aux contacts et à la géolocalisation de l'appareil. Immédiatement après avoir reçu les autorisations, Welcome Chat commence à recevoir des commandes de son serveur de commande et de contrôle (C&C), et elle lui transmet toute information récoltée. Outre les messages de chat, l'application vole des informations telles que les SMS envoyés et reçus, l'historique des appels, la liste des contacts, les photos, des enregistrements des appels téléphoniques et la localisation GPS de l'appareil.

« Malheureusement pour les victimes, l'application Welcome Chat, y compris son infrastructure, n'a pas été développée dans un souci de sécurité. Les données transmises ne sont pas chiffrées, et de ce fait, elles sont non seulement librement accessibles aux pirates, mais également à toute personne se trouvant sur le même réseau, » poursuit M. Štefanko.

Les chercheurs d'ESET ont essayé de déterminer si Welcome Chat est un détournement d'une application légitime, qui aurait été piratée par le groupe, ou un malware développé à des fins malveillantes. « Nous avons fait de notre mieux pour découvrir une version légitime de cette application, pour sensibiliser son développeur à ses vulnérabilités. Mais il semble qu'une telle application n'existe pas. Naturellement, nous n'avons fait aucune démarche pour joindre les auteurs de la campagne d'espionnage, » explique M. Štefanko.

L'application d'espionnage Welcome Chat appartient à une famille connue de malwares Android, qui partage l’infrastructure d’une campagne d'espionnage précédemment documentée appelée BadPatch, qui visait également le Moyen-Orient. BadPatch a été attribué au groupe de pirates Gaza Hackers, alias Molerats. Sur la base de ces éléments, nous pensons que cette campagne utilisant les nouveaux chevaux de Troie Android provient des mêmes auteurs.

 

Si l'opération d'espionnage utilisant Welcome Chat semble être étroitement ciblée, ESET déconseille fortement aux utilisateurs d'installer des applications en dehors de la boutique officielle Google Play, à moins qu'il ne s'agisse d'une source fiable, comme le site web d'un fournisseur de sécurité établi ou d'une institution financière réputée. Par ailleurs, les utilisateurs doivent faire attention aux autorisations requises par leurs applications et se méfier de toute application nécessitant des autorisations au-delà de ses fonctionnalités. Comme mesure de sécurité très élémentaire, les utilisateurs devraient également utiliser une application de sécurité réputée sur leurs appareils mobiles.3. L’attaque a été facilitée par la négligence des utilisateurs qui n’ont pas changé le mot de passe par défaut de leurs appareils.
4. L’exploitation d’appareils numériques par un code malveillant peut perturber l’activité économique d’un pays : il est probable que plusieurs millions de dollars de vente ligne soient perdus.
5. De nombreuses personnes malveillantes sont prêtes à nuire à l’activité économique d’un pays au moyen d’un code malveillant, et ce pour de multiples raisons.
6. L’information et l’éducation des utilisateurs sont primordiales.
7. La réduction du nombre d’appareils connectés vulnérables est un objectif réalisable et auquel les entreprises peuvent contribuer. Voici d’ailleurs 4 mesures recommandées par l’US CERT : 
• Remplacer tous les mots de passe par défaut par des mots de passe forts 
• Mettre à jour les objets connectés 
• Désactiver l’UPnP (universal plug and play) des routeurs sauf en cas d’absolue nécessité 
• Acheter des objets connectés auprès d’entreprises certifiant de fournir des dispositifs sécurisés
8. Le code malveillant infectant les routeurs n’est pas nouveau et a déjà été repéré en mai 2015 par les équipe ESET.
9. Les nouvelles générations d’attaques DDos amplifient leur portée dans le fait qu’elles s’appuient sur de nombreux objets connectés.
10. Cette dernière attaque nous montre à quel point un pays peut être vulnérable en cas d’attaque de son système d’informations.