Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé cheval de troie. Afficher tous les messages
Aucun message portant le libellé cheval de troie. Afficher tous les messages

lundi 26 septembre 2022

Cheval de troie/Trojan horse: sur iOS ,l'attaque NoReboot simule l'arrêt du téléphone pour vous espionner:

 

 

Cheval de troie/Trojan horse: sur iOS ,l'attaque NoReboot simule l'arrêt du téléphone pour vous espionner:

Sécurité : Cette attaque développée par des chercheurs pourrait être utilisée pour détourner les fonctions du micro et de la caméra.

Des chercheurs ont publié une nouvelle technique permettant de simuler l'arrêt de l'iPhone pour effectuer une surveillance.

Baptisée "NoReboot", la preuve de concept de ZecOps est décrite comme une méthode qui peut contourner la pratique normale de redémarrage d'un appareil pour effacer l'activité malveillante de la mémoire et obtenir la persistance sur l'appareil.

Présentant cette semaine une analyse et un dépôt public GitHub, ZecOps a expliqué que le cheval de Troie NoReboot simule un véritable arrêt de l'appareil tout en fournissant une couverture pour le fonctionnement du malware, qui pourrait inclure le détournement secret des capacités du micro et de la caméra pour espionner le propriétaire du téléphone.

« L'utilisateur ne peut pas sentir de différence entre un véritable arrêt et un "faux arrêt" », indiquent les chercheurs. « Il n'y a pas d'interface utilisateur ni de retour de bouton jusqu'à ce que l'utilisateur remette le téléphone "en marche". »

La technique provoque l'événement d'arrêt attendu en injectant du code dans trois démons : InCallService, SpringBoard, et backboardd.

Lorsqu'un iPhone est éteint, des indicateurs physiques indiquent que l'opération a été effectuée avec succès : une sonnerie ou un son, une vibration et l'apparition du logo Apple à l'écran. Mais en désactivant le « retour d'information physique », le malware peut créer l'apparence d'un arrêt alors qu'une connexion en direct avec un opérateur est maintenue.




« Lorsque vous éteignez l'appareil, il s'agit en fait d'une application système /Applications/InCallService.app qui envoie un signal d'arrêt à SpringBoard, qui est un démon responsable de la majorité de l'interaction avec l'interface utilisateur », expliquent les chercheurs. « Nous avons réussi à détourner le signal en utilisant la méthode Objective-C -[FBSSystemService shutdownWithOptions:]. Maintenant, au lieu d'envoyer un signal d'arrêt à SpringBoard, il notifiera à la fois SpringBoard et backboardd pour déclencher le code que nous y avons injecté. »

L'affichage indiquant un processus d'arrêt peut alors être détourné via backboardd et la fonction SpringBoard peut à la fois être forcée à quitter et bloquée pour ne pas redémarrer. ZecOps précise qu'en prenant le contrôle de SpringBoard, un iPhone cible peut « donner l'impression » qu'il n'est pas allumé, ce qui est le « déguisement parfait ».

Les utilisateurs ont toutefois toujours la possibilité de procéder à un redémarrage forcé. C'est là qu'intervient l'altération du backboardd : en surveillant les saisies de l'utilisateur, notamment la durée de maintien des boutons, un redémarrage peut être simulé juste avant qu'un vrai redémarrage ait lieu, par exemple en affichant le logo Apple plus tôt.

« Empêcher les utilisateurs de redémarrer manuellement un appareil infecté en leur faisant croire qu'ils ont réussi à le faire est une technique notable de persistance des logiciels malveillants », commente Malwarebytes.

Comme la technique se concentre sur la tromperie des utilisateurs plutôt que sur les vulnérabilités ou les bugs de la plateforme iOS, ce comportement ne sera pas corrigé avec un simple patch. ZecOps indique que la méthode NoReboot a un impact sur toutes les versions d'iOS et que seuls des indicateurs matériels pourraient aider à détecter cette forme de technique d'attaque.

https://www.youtube.com/watch?v=g_8JVUVLxTk

REF.:  https://www.zdnet.fr/actualites/ios-l-attaque-noreboot-simule-l-arret-du-telephone-pour-vous-espionner-39935243.htm

jeudi 20 février 2020

Le cheval de Troie Emotet se propage maintenant par Wi-Fi


Le cheval de Troie Emotet se propage maintenant par Wi-Fi

Sécurité : L'entreprise de cybersécurité BinaryDefense a découvert récemment ce qui semble être le plus dangereux module d'Emotet.




virus, cheval de troie, WiFi,



Il ne fait aucun doute que le trojan Emotet est aujourd'hui la principale menace parmi les logiciels malveillants, tant en termes de quantité (en raison de ses énormes campagnes de spam) que de risque (en raison de son historique : des gangs de ransomware ont pu acheter eux-mêmes l'accès à des réseaux infectés).
Historiquement, Emotet mettait le pied dans une entreprise grâce à des employés négligents qui ouvraient des documents Office piégés qu'ils avaient reçus par e-mail. Une fois le poste infecté, le cheval de Troie Emotet téléchargeait différents modules afin de se propager latéralement au sein d'un réseau.
Ces dernières années, ce "mouvement latéral" était limité, Emotet étant confiné aux seuls ordinateurs et serveurs se trouvant sur le même réseau. Les entreprises ayant mis en œuvre une segmentation de réseau appropriée étaient généralement en mesure de limiter la portée d'une attaque Emotet à quelques départements ou à quelques ordinateurs.

publicité

Le nouveau "Wi-Fi Spreader" de Emotet

Toutefois, dans un billet publié la semaine dernière, des chercheurs en sécurité de BinaryDefense ont fait une découverte assez importante qui risque de causer un peu de stress à de nombreux administrateurs système dans un avenir proche. À savoir, un module Emotet qui, dans certaines circonstances, peut passer d'un réseau Wi-Fi à ses réseaux voisins.
Le nouveau module de propagation par Wi-Fi d'Emotet, de son nom "Wi-Fi Spreader", ne garantit pas un taux d'infection de 100 %. En effet, il repose sur l'utilisation de mots de passe faibles sur les réseaux Wi-Fi. Cependant, il ouvre un nouveau vecteur d'attaque au sein des entreprises infectées que les pirates d'Emotet peuvent exploiter pour maximiser sa portée. Ainsi, les ordinateurs infectés par Emotet ne constituent désormais plus seulement un danger pour le réseau interne de l'entreprise infectée, mais aussi pour les réseaux de toute entreprise se trouvant à proximité.
Alors si une personne proche de vous (en termes de localisation) a été infectée et que vous utilisez un mot de passe Wi-Fi non sécurisé, vous risquez de recevoir un colis indésirable signé Emotet.

Le fonctionnement du module

Avant de nous intéresser à l'importance du module et de ses conséquences pour les entreprises, voici comment fonctionne le "Wi-Fi Spreader" d'Emotet :
  • Emotet infecte un hôte.
  • Le malware télécharge et fait fonctionner le module Wi-Fi Spreader.
  • Wi-Fi Spreader répertorie tous les appareils Wi-Fi activés chez l'hôte (généralement le NIC WLAN).
  • Le module extrait la liste de tous les réseaux Wi-Fi accessibles localement.
  • Wi-Fi Spreader attaque frontalement chaque réseau Wi-Fi en utilisant deux listes internes de mots de passe simples à deviner.
  • Si l'attaque réussit, le module a désormais un accès direct à un autre réseau, mais il ne peut pas encore s'introduire sur un serveur ou un poste de travail du nouveau réseau.
  • Alors, il passe à une seconde attaque frontale en essayant de deviner les noms d'utilisateur et les mots de passe des serveurs et des appareils connectés à ce réseau Wi-Fi.
  • Si la deuxième attaque réussit, Emotet s'infiltre sur un deuxième réseau, et le cycle d'infection du logiciel malveillant recommence depuis le début.
Selon BinaryDefense, ce module de diffusion par Wi-Fi ne fonctionne pas sous Windows XP SP2 et Windows XP SP3, le module utilisant des fonctions trop récentes. Ils datent le module de diffusion Wi-Fi du 16 avril 2018, ce qui suggère qu'il a été développé il y a presque deux ans. Malgré tout, il semble qu'il n'ait été largement déployé que récemment. Ou en tout cas il n'a pas été détecté jusqu'à la découverte de cette équipe.

Les conséquences en entreprise

La découverte de ce nouveau module Emotet est une nouvelle importante à plusieurs niveaux : elle concerne la sécurité du réseau Wi-Fi bien sûr, mais aussi les espaces de travail partagés et le travail de réponse aux incidents.

Sécuriser le réseau Wi-Fi

Il n'est pas rare que les entreprises utilisent un mot de passe assez simple à retenir, le but étant de maintenir la connectivité internet disponible pour tous les employés. Malheureusement, les administrateurs système ne peuvent plus se permettre d'utiliser des mots de passes non sécurisés, depuis la découverte de ce nouveau module qui peut très vite se propager de réseau en réseau.

Faire attention aux espaces de travail partagés

Toutes les entreprises ne disposent pas d'un siège social qui leur est propre. Or, si vous travaillez dans un immeuble partagé entre plusieurs sociétés, avec des réseaux Wi-Fi à portée, votre entreprise est potentiellement en danger, même si aucun de vos collaborateurs n'a été en contact direct avec Emotet.

Réponse à incident

Le fait qu'Emotet arrive sur le réseau via le Wi-Fi va très probablement compliquer de nombreuses enquêtes sur les réponses aux incidents, le Wi-Fi n'étant pas un vecteur d'attaque traditionnel, ni pour Emotet ni pour les autres malwares.

Sécuriser les mots de passe Wi-Fi

Souvent, les entreprises utilisent des mots de passe non sécurisés pour les réseaux Wi-Fi internes, car elles savent que seuls les employés pourront y accéder. Il faut être conscient qu'avec cette nouveauté du logiciel malveillant Emotet, les mots de passe basiques deviennent une faille de sécurité. BinaryDefense a insisté dans son rapport publié la semaine dernière sur le fait qu'Emotet a largement développé ses capacités d'attaque.
BinaryDefense conseille aux entreprises de prendre des précautions en sécurisant les réseaux Wi-Fi avec des mots de passe forts, car c'est le moyen le plus simple de se défendre contre le nouveau module Wi-Fi d'Emotet.

Source.: ZDNet.com

vendredi 5 mai 2017

Les virus ou trojan Powershell

Powershell est une suite logicielle et langage inclus depuis Windows 7.
Powershell est beaucoup plus poussé que l’invite de commandes de Windows et  se veut être un concurrent de bash dans le monde Linux et permet d’écrire afin d’administrer Windows.
Avec Powershell, il est tout à fait possible d’écrire un petit script qui télécharge un fichier et exécute ce dernier sur l’ordinateur.
Ainsi cela pose des problèmes de sécurité, puisque l’on peut se servir de Powershell comme porte d’entrée pour installer des logiciels malveillants (Trojan Downloader) sur Windows.


Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Introduction

Powershell est un langage de scripts inclus dans Windows.
Les scripts Powershell peuvent être appelé de diverses manières, ainsi l’interface de Powershell est incluse dans les menus depuis Windows 8.

La fenêtre Powershell s’ouvre alors, il est alors possible de passer ses commandes.

Un script powershell peut aussi se présenter sous la forme d’un fichier .ps1.. en double-cliquant dessus, le script s’exécute.
Enfin, il est possible d’exécuter un script et commandes en appellant directement l’exécutable de PowerShell.exe suivant du script.
C:\Windows\System32\WindowsPowerShell\v1.0\Powershell.exe

mercredi 12 juin 2013

Nouveau cheval de Troie sévit sur Android : Backdoor.AndroidOS.Obad.a

Les experts en sécurité de Kaspersky Lab viennent de démasquer un cheval de Troie sur Android qui exploite des failles inédites et dont le fonctionnement s’inspire des malwares que l’on trouve sur Windows.
Identifié sous le nom de Backdoor.AndroidOS.Obad.a, ce Trojan est utilisé pour envoyer des textos vers des numéros surtaxés, mais il permet aussi de dérober les données présentes sur le terminal ou d’installer d’autres malware qui peuvent être propagés à d’autres mobiles via la liaison Bluetooth. Kaspersky souligne la très grande sophistication de ce programme qui recourt au chiffrement pour se dissimuler.
L’une des failles inédites d’Android qu’exploite Obad.a se situe au niveau du système de conversion des APK Android en fichiers Java Archive. Il se sert également d’un autre bug au niveau de la gestion des fichiers AndroidManifest.xml qui contiennent des informations sur la structure et les paramètres de lancement de chaque application installée.
Obad.a se propage via du spam SMS mais sa diffusion serait encore limitée selon Kaspersky (0,15% du nombre total de tentatives d’infection sur des terminaux mobiles sur une période de 3 jours). L’éditeur dit avoir informé Google de cette menace. (Eureka Presse) 

mardi 6 novembre 2012

Malware Jackpot




 

Un paquet nouveaux logiciels malveillants basée sur Java a été trouvé qui a le potentiel d'affecter plusieurs plates-formes.





Dans le dernier mois, un nouveau malware multiplateforme package appelé Jacksbot a été découvert, et alors qu'il était initialement considéré comme une menace minime, il ne pourrait pas rester comme ça pendant un certain Mac , Windows et Linux.
Jacksbot est en partie un cheval de Troie Java d'accès à distance (RAT)remote access Trojan (RAT), qui semble être construit par un groupe piratage dans le but de provoquer des tout-trop-commune des activités malveillantes, y compris le vol de mots de passe, ce qui oblige les URL à charger (probablement pour la fraude au clic) , supprimer et modifier des fichiers, des captures d'écran, enregistrement des frappes, et par ailleurs obtenir des renseignements personnels.
Java est une plate-forme attractive pour les criminels à utiliser, car étant multi-plateforme implique un effort de codage unique par les développeurs de logiciels malveillants peuvent se traduire par un paquet attaque beaucoup plus distribuable qui affectera non seulement les systèmes d'exploitation différents (Windows, OS X, Linux, etc) mais aussi de travailler dans divers navigateurs Web sur ces plateformes. La société de sécurité TrendMicro suggère que l'utilisation de Java par les développeurs Jacksbot signifie qu'ils sont dedans "pour le long terme», de sorte que les résultats actuels peuvent être que la pointe de quelque chose de grand.
Lorsque le cheval de Troie a été découvert et décrit par Intego plus tôt en Octobre, il a d'abord été considéré comme un nonthreat raison de son caractère brut et de programmation apparemment incomplète. À l'époque, le cheval de Troie que partiellement travaillé dans OS X et Linux, et il semblait être une composante d'un ensemble plus vaste, comme un téléchargeur ou compte-gouttes. Le cheval de Troie ne semble pas non pour tromper les utilisateurs, et il ne serait pas fonctionner correctement sans les permissions root, ce qui rendait son codage semblent suspectes, sans être vraiment «cheval de Troie» dans la nature.
Le cheval de Troie a été également pas soupçonné d'avoir infecté des ordinateurs, mais, à la suite de ces constatations, Trend Micro a trouvé deux systèmes infectés par le malware jusqu'ici. Alors que les deux systèmes sur des millions de PC dans le monde entier des systèmes est un petit nombre presque inutile de mentionner même, il montre que le malware est dans la nature, à la différence des soupçons antérieurs. Qu'il s'agisse prend son envol et se transforme en quelque chose de plus est encore à voir.
Pour les systèmes Mac et Linux, le logiciel malveillant est connu d'ajouter une commande d'exécution Java pour / du système etc / rc.local et / etc / rc.common fichiers de le faire tourner comme un processus planifié automatiquement au démarrage. Ce qui rend détectable en vérifiant le contenu des fichiers de configuration différents RC sur le système pour tous les cas de commandes d'exécution Java. Vous pouvez le faire en ouvrant le terminal et exécutez la commande suivante:
cat / etc / rc * |. grep java
Comme le mot «java» ne devrait pas être inclus dans l'un des fichiers de configuration "RC" par défaut, si cette commande affiche quoi que ce soit avant qu'il ne vous retombe à la ligne de commande, regarder de plus près à ce que l'exécutable est.
Pour les systèmes Windows, vous pouvez vérifier le Registre de la présence de la clé suivante:
HKEY_CURRENT_USER \ Microsoft \ Windows \ CurrentVersion \ Run Microsoft ® Windows ® Operating System = "{} Répertoire racine Java \ bin \ javaw.exe-jar" {chemin et le nom du fichier Malware} ""
Encore une fois, il faut souligner que, jusqu'à présent, ce malware n'a été vu dans les deux systèmes, et son codage suggère l'accent sur l'exécution avec succès sous Windows plutôt que d'autres systèmes d'exploitation (bien que cela puisse changer facilement). Enfin, il s'agit d'un exécutable Java, ce qui nécessite Java pour fonctionner, puisque Java n'est pas un élément inclus de Mac OS X ou d'autres systèmes d'exploitation, les utilisateurs disposant d'installations OS fraîches n'auront pas l'infrastructure disponible pour l'exécuter.
En conséquence, Jacksbot n'est pas connu pour être une grande menace, mais il est encore tôt dans sa détection, il ya toujours une chance que de nouvelles variantes peuvent surgir.