Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé malware. Afficher tous les messages
Aucun message portant le libellé malware. Afficher tous les messages

jeudi 10 décembre 2020

5 outils pour tester la fiabilité d’un site internet

 

 

5 outils pour tester la fiabilité d’un site internet


Internet est incontestablement l’endroit parfait pour réaliser des bonnes affaires : rapidité, facilité, tarifs attractifs… La liste des avantages n’est plus à établir. Forts de ce constat, des arnaqueurs s’y sont infiltrés massivement en créant des faux sites marchands pour attraper les moins attentifs d’entre nous… Mais alors comment distinguer les sites de confiance des autres ? La réponse est toute trouvée : en utilisant un outil dédié à cet usage ! Il existe en effet des sites dédiés à l’analyse de la fiabilité d’autres sites. Voici la liste des 5 leaders du secteur :-), abusez-en !

ScamDoc.com : Tout dernier arrivé sur ce marché, ce site analyse automatiquement la fiabilité d’un site internet grâce à un algorithme d’intelligence artificielle : le top du domaine, français en plus… Il suffit de s’y rendre et de taper l’adresse d’un site dans un champ de formulaire. Après quelques secondes, un rapport de fiabilité s’affiche et permet de vous conforter ou non dans votre démarche d’achat. Il est gratuit et son usage est illimité ! En bonus : en plus d’une analyse de site internet, il dispose d’une fonctionnalité qui permet de tester une adresse mail.

Nouveauté : Scamdoc est désormais décliné en extension de navigateur pour ordinateur en version Chrome ou Firefox. Elle vous protège en temps réel en vous informant sur la fiabilité des sites que vous visitez.

ScamAdviser.com : Leader américain du secteur, ce site mériterait d’être plus connu à l’échelle internationale. Design sympa, données pertinentes, algorithme puissant, ScamAdviser est l’un des premiers à s’être lancé dans la détection des sites d’arnaques. Petit bémol : il a été racheté en 2018 par une grosse association d’e-commercants, sa crédibilité risque d’en pâlir… Mais ça reste mon petit préféré quand même

WOT (Web of trust) : WOT n’est pas réellement un site internet, il s’agit d’une extension qui s’installe sur un navigateur et qui permet de rejoindre une communauté mondiale de plusieurs centaines de milliers d’internautes. Incontournable outre-Atlantique, son efficacité en France reste malgré tout limitée. Petite anecdote : ScamAdviser et WOT sont des concurrents, ils ne s’aiment vraiment pas. Pour cette dernière raison, les notes respectives de chacun sont mauvaises quand vous les interrogez. Pas top au niveau impartialité…

Decodex.com : Decodex est un site édité par le journal Le Monde. D’un fonctionnement un peu différent des autres, il ne note pas un site sur sa fiabilité dans le cadre d’un achat, mais plutôt sur la fiabilité des informations qu’il affiche :  une sorte d’arme anti Fake News. Malgré une réelle notoriété publique, ce site semble être la cible de procès : la rançon du succès ?

Contrefacon.fr : Site appartenant à une association qui s’est spécialisée dans la détection des contrefaçons. Il arbore un design très sympathique et permet d’obtenir des informations de la même manière que le site précédent : juste en tapant un site dans la barre de recherche et en attendant qu’une analyse se fasse. Les informations sont pertinentes mais certains sites semblent réussir à se soustraire à son algorithme… dommage, surtout pas forcément adéquat dans le cadre d’une recherche de vérité ;-). Edit de Novembre 2020 : Ce site semble désormais inactif, il sera supprimé de cette liste en début d’année 2021 s’il n’est pas pas remis en ligne.

Voilà, nous avons fait le tour des meilleurs sites dédiés à l’analyse de fiabilité sur internet. Si malgré la présentation de ces outils, vous préférez réaliser votre propre analyse, n’hésitez à vous plonger dans notre guide de détection des sites frauduleux.

Fondateur du site Signal-Arnaques, j’aime partager mes connaissances sur les arnaques d’internet et donner des conseils aux consommateurs afin qu’ils se protègent.Je suis convaincu que la lutte contre les arnaques doit passer par une collaboration Communauté humaine / Intelligence artificielle.

vendredi 29 novembre 2019

Attention à la charge d’appareils par USB dans les lieux publics




Attention à la charge d’appareils par USB dans les lieux publics




malware, virus, USB, Smartphones,
 
 
 
 
À Los Angeles, on semble prendre la chose au sérieux, et on incite les voyageurs à ne pas utiliser ce type de charge.
Le bureau du procureur du comté de Los Angeles a partagé il y a quelques jours un mise en garde au sujet de la charge publique par USB. L’alerte déconseille aux personnes d’utiliser cette méthode pour recharger leur smartphone ou ordinateur lors de leurs déplacements dans des hôtels ou des aéroports.
Cela, afin de les avertir du risque de « juice jacking », une forme d’attaque qui installe des logiciels malveillants ou vole directement des données sur l’appareil connecté.

Mieux vaut utiliser une simple prise électrique

Cette forme de piratage n’est possible que si le port utilisé lors de la charge permet également le transfert de données. Par conséquent, pour s’en prémunir, il suffit de privilégier une recharge via une simple prise électrique dans les lieux publics. L’autre solution est bien sûr d’investir dans une batterie externe pour son smartphone, ou même de s’équiper d’un câble USB uniquement capable de faire passer l’alimentation, sans prendre en charge les données.
On ignore si une recrudescence de ce genre de fraudes a motivé ce communiqué. Mais dans tous les cas, autant rester prudent.



REF.:

Un adware caché derrière certains contenus illégaux


Un adware caché derrière certains contenus illégaux




malware, virus, Android,
 
 
 
 
Il y a quelques jours, les chercheurs en sécurité de MalwareBytes ont découvert un virus qui se balade sur internet, et qui affecte les terminaux Android, pouvant les rendre inutilisables…

Le virus provient d’un store alternatif

Sur Android, il existe des centaines d’applications qui proposent des stores alternatifs, pour télécharger des applications à la base payantes, totalement gratuitement par exemple. L’un de ces stores propose de télécharger illégalement des films; et c’est là que le virus se cache. Il est livré avec les contenus illégaux téléchargés comme Hulk, Les Gardiens de la Galaxie, ou encore Le Joker. Le programme malveillant se présente comme un bloqueur de publicité, à la manière d’AdBlock ou du uBlock Origin. Cependant, celui-ci ne bloque pas les pubs, mais en affiche énormément, jusqu’à rendre inutilisable le terminal. Le smartphone infecté présente également une altération de la batterie. Pour l’instant, ce malware est uniquement présent aux États-Unis, mais il est possible qu’il arrive rapidement jusqu’en Europe, attention donc à vos terminaux !

Un malware difficile à supprimer

Pour supprimer ce virus, la tâche n’est pas aisée. En effet, le faux bloqueur de publicité se présente comme une application grisée, qui passe inaperçue pour les utilisateurs non avertis. Les notifications sont également invisibles, bien que présentent. Pour supprimer le malware, il faut aller dans les paramètres, puis dans la liste d’applications, où vous trouverez une icône grisée, qui semble désactivée, mais qui prend bien de l’espace dans votre smartphone. Les AdWares sont très fréquents sur Android, de par la faible sécurité du système d’exploitation, qui permet l’installation d’applications externes aux stores officiels (comme le Play Store par exemple). En tout cas, la rigueur est de mise, surtout lors de l’utilisation d’applications qui servent à télécharger illégalement des contenus protégés par le droit d’auteur…


REF.:

jeudi 31 octobre 2019

Avast affirme que des pirates informatiques ont violé le réseau interne via un profil VPN compromis



Avast affirme que des pirates informatiques ont violé le réseau interne via un profil VPN compromis

Hackers, avast, antivirus, vpn, Ccleaner, malware,
Un fabricant tchèque d’antivirus dévoile une deuxième attaque visant à compromettre les versions de CCleaner. Le fabricant de logiciels de cyber-sécurité tchèque Avast a annoncé aujourd’hui une violation de la sécurité affectant son réseau interne.

Dans une déclaration publiée aujourd'hui, la société a déclaré qu'elle pensait que le but de cette attaque était d'insérer un logiciel malveillant dans le logiciel CCleaner, à l'instar du tristement célèbre incident de CCleaner 2017.

Avast a déclaré que l'infraction avait eu lieu parce que l'attaquant avait compromis les informations d'identification VPN d'un employé et obtenu l'accès à un compte qui n'était pas protégé à l'aide d'une solution d'authentification à plusieurs facteurs.

L'intrusion a été détectée le 23 septembre, mais Avast a déclaré avoir trouvé des preuves de l'attaquant visant son infrastructure depuis le 14 mai de cette année.

"L'utilisateur, dont les informations d'identification étaient apparemment compromises [...], ne disposait pas de privilèges d'administrateur de domaine. Toutefois, après une élévation réussie des privilèges, l'acteur est parvenu à obtenir les privilèges d'administrateur de domaine", a déclaré Jaya Baloo, responsable de la sécurité des informations chez Avast (Avast). RSSI).

L’augmentation soudaine des droits d’accès a amené la société à enquêter, a déclaré Baloo à ZDNet dans un courrier électronique aujourd’hui.

Le personnel a finalement repéré d'autres alertes de sécurité dans le tableau de bord ATA d'Avast, des alertes ignorées auparavant par les ingénieurs, pensant qu'il s'agissait de faux positifs. ATA signifie Microsoft Advanced Threat Analytics, un moteur d'analyse de réseau sur site et un système d'analyse du trafic que Microsoft vend aux entreprises afin de protéger les réseaux internes contre les attaques malveillantes déclenchées de l'intérieur.

L'alerte a montré que le compte d'utilisateur compromis répliquait le service Active Directory d'Avast, une carte numérique efficace du réseau interne de la société.
Avast laisse les pirates informatiques se déplacer librement pendant deux semaines pour suivre leurs intentions

Baloo a déclaré qu'Avast avait délibérément laissé le profil VPN compromis actif, dans le but de suivre l'attaquant et d'observer ses actions.

Cela a duré jusqu'au 15 octobre, date à laquelle la société a terminé l'audit des versions précédentes de CCleaner et a publié une nouvelle mise à jour propre.

Parallèlement, Avast a également modifié le certificat numérique utilisé pour signer les mises à jour de CCleaner. La nouvelle mise à jour a été signée avec un nouveau certificat numérique et la société a révoqué le précédent certificat utilisé pour signer les anciennes versions de CCleaner. Il l'a fait pour empêcher les attaquants de l'utiliser pour signer de fausses mises à jour de CCleaner, au cas où les pirates informatiques parviendraient à mettre la main sur l'ancien certificat lors de la récente intrusion.

La dernière étape consistait à réinitialiser toutes les informations d'identification des employés.

"Après avoir pris toutes ces précautions, nous sommes certains de dire que nos utilisateurs de CCleaner sont protégés et non affectés", a déclaré Baloo.

Le fabricant d’antivirus a annoncé qu’il enquêtait actuellement sur cet incident avec l’agence de renseignement tchèque, le service d’information de sécurité (BIS), la division de la cybersécurité des forces de police tchèques locales et une équipe de criminalistique externe.

Avast a respectueusement refusé de fournir des détails supplémentaires à d'autres questions que ZDNet a envoyées à la société aujourd'hui, citant l'enquête judiciaire. BIS a également confirmé aujourd'hui l'enquête sur le piratage d'Avast, affirmant que l'attaque avait été menée par des pirates chinois.

Avast a déclaré qu'il n'y avait aucune preuve à ce moment pour suggérer que cette attaque a été causée par le même groupe de hacker chinois qui a violé son infrastructure en 2017; toutefois, la société a souligné que l'intrusion avait été perpétrée par un acteur de menace expérimenté.

"D'après les informations que nous avons recueillies jusqu'à présent, il est clair qu'il s'agissait d'une tentative extrêmement sophistiquée à notre encontre visant à ne laisser aucune trace de l'intrus ni de son objectif, et que l'acteur progressait avec une prudence exceptionnelle pour ne être détecté ", a déclaré Baloo.

L'enquête est en cours et la société a promis d'autres mises à jour.

Auparavant, Avast avait reçu des éloges pour la franchise dont il avait fait preuve en enquêtant sur le piratage CCleaner de 2017, publiant plusieurs mises à jour sur l'incident, alors qu'il continuait à en apprendre davantage sur la violation de 2017 dans les mois suivants [1, 2, 3, 4].

Le piratage 2017 de CCleaner a eu lieu avant qu'Avast ait acheté Piriform, la société derrière CCleaner. Les pirates informatiques ont violé le réseau de Piriform via un compte TeamViewer et ont introduit des logiciels malveillants dans CCleaner. Les assaillants, soupçonnés d’être un groupe de pirates informatiques commandités par l’État chinois, ont introduit un logiciel malveillant qui ne téléchargerait une charge utile que lorsque CCleaner serait installé sur le réseau d’une grande entreprise. La liste des cibles incluait Cisco, Microsoft, Google, NEC et de nombreuses autres grandes entreprises. Avast a déclaré que 2,27 millions d'utilisateurs avaient téléchargé le logiciel contaminé CCleaner en 2017; 1 646 536 ordinateurs ont été infectés par le cheval de Troie Floxif au premier stade qui a recherché des cibles de grande valeur; mais seuls 40 ordinateurs ont reçu le cheval de Troie du deuxième étage, une porte dérobée plus puissante.

Avast a déclaré à ZDNet qu'il n'envisageait pas de supprimer CCleaner à la lumière des deux attaques visant l'infrastructure de l'application.


REF.:

jeudi 26 septembre 2019

Chevaux de Troie bancaires


Chevaux de Troie bancaires

Le botnet Emotet revient à la vie


banque, Hackers, Botnet, cyberattaques, malware,
 
 
 
 
Sécurité : Le botnet Emotet, souvent considéré comme l’un des plus dangereux, reprend ses opérations après avoir été silencieux pendant près de quatre mois.

Emotet, l’un des botnets de logiciels malveillants les plus importants du moment, a repris vie après une période d’inactivité de près de quatre mois à compter de la fin du mois de mai de cette année.
Durant cette période, les serveurs de commande et de contrôle (C&C) du réseau d’ordinateurs infectés avaient été arrêtés et Emotet a cessé d’envoyer des commandes aux machines infectées, ainsi que de diffuser nouvelles campagnes de spam par courrier électronique pour infecter de nouvelles victimes.
Certains chercheurs en sécurité espéraient que les forces de l'ordre avaient secrètement trouvé un moyen de bloquer ce botnet. Ce n'était pas le cas.

Nouvelles campagnes de spam

Emotet a commencé à diffuser de nouveaux spams hier selon Raashid Bhat, chercheur en sécurité chez SpamHaus.
Selon Bhat, les e-mails contenaient des pièces jointes malveillantes ou des liens vers des pages contenant des téléchargements malveillants. La campagne de spam lancée hier via Emotet vise principalement des utilisateurs polonais et germanophones.
Les utilisateurs qui reçoivent ces courriels, téléchargent et exécutent l’un des fichiers malveillants s’exposent au risque d’être infectés par le programme malveillant Emotet.
Une fois infectés, les ordinateurs sont ajoutés au botnet Emotet. Le malware Emotet sur les ordinateurs infectés est notamment utilisé pour télécharger et installer d’autres programmes malveillants.
Emotet est connu pour fournir des modules capables d'extraire les mots de passe d'applications locales, de se déplacer et d’infecter d'autres ordinateurs du même réseau, et même de voler des thread d'emails complets pour les réutiliser ultérieurement dans des campagnes de spam.
En outre, les opérateurs d’Emotet sont également connus pour proposer leur botnet en tant que Malware-as-a-Service (MaaS) : d'autres gangs criminels peuvent louer l'accès à des ordinateurs infectés par Emotet et diffuser leurs propres programmes malveillants aux côtés d'Emotet.
Certains des clients les plus connus d’Emotet sont les opérateurs des souches de ransomware Bitpaymer et Ryuk, qui ont souvent loué l’accès à des hôtes infectés par Emotet pour infecter des réseaux d’entreprise ou des administrations locales avec leurs ransomwares.

Le réveil d'Emotet était attendu

Le renouveau d’Emotet n’est pas une surprise totale pour les chercheurs en sécurité. Les serveurs C&C d’Emotet sont devenus inactifs à la fin du mois de mai, mais ils ont repris vie à la fin du mois d’août.
Ils n'ont néanmoins pas commencé à envoyer du spam tout de suite. Au cours des dernières semaines, les serveurs C&C étaient restés inactifs, diffusant des fichiers binaires pour les modules "déplacement latéral" et "vol de justificatifs d'identité", a déclaré Bhat à ZDNet au cours d'une interview.
Bhat pense que les opérateurs d’Emotet ont passé ces dernières semaines à rétablir les communications avec des appareils précédemment infectés qu'ils avaient abandonnés fin mai et à se répandre sur les réseaux locaux afin de maximiser la taille de leur botnet avant de passer à leur activité principale : l’envoi de spam.
Plusieurs chercheurs en sécurité ont prédit cette période de montée en puissance le mois dernier, lorsque l'équipe Emotet a réactivé les serveurs C&C.
Le fait que les opérations d'Emotet aient été interrompues pendant quelques mois n'est pas vraiment une nouveauté. Les réseaux botnets malveillants restent souvent inactifs pendant des mois pour différentes raisons.
Certains botnets deviennent silencieux afin de procéder à la mise à niveau de leur infrastructure, tandis que d'autres le font simplement parce que leurs opérateurs prennent des vacances. Par exemple, le botnet Dridex diminue régulièrement son activité chaque année entre la mi-décembre et la mi-janvier, pour les vacances d'hiver.
À l’heure d’écrire cet article, on ne sait pas pourquoi Emotet s'est arrêté pendant l'été. Néanmoins, le botnet est revenu à son état précédent, continuant de fonctionner en utilisant un modèle d'infrastructure double basé sur deux botnets distincts.

TrickBot veut la couronne

Mais même si Emotet a mis fin à ses activités pendant près de quatre mois, les autres botnets n'ont pas fait de pause. Pendant qu’Emotet était en panne, les opérateurs du botnet TrickBot ont pris la place du botnet le plus actif du marché.
Emotet et TrickBot partagent de nombreuses similitudes. Tous deux étaient à l’origine des chevaux de Troie bancaires qui ont été recodés pour être utilisés en tant que « dropper » de logiciels malveillants - des logiciels malveillants téléchargeant d’autres logiciels malveillants.
Les deux infectent les victimes, puis téléchargent d'autres modules pour voler des informations d'identification ou se déplacer latéralement sur un réseau. En outre, ils vendent tous deux l'accès aux machines infectées à d'autres groupes malveillants, pour des opérations de minage de cryptomonnaie ou des attaques de ransomware.
Avec l’essor de Trickbot, le réveil d’Emotet est une mauvaise nouvelle pour les administrateurs système chargés de la protection des réseaux d’entreprise et gouvernementaux, cibles favorites des deux botnets.
Les chercheurs en sécurité et les administrateurs système cherchant des hashs de fichiers, des adresses IP de serveur, des lignes d'objet d'e-mails de spam et d'autres indicateurs de compromission (IOC) peuvent trouver ces données sur Twitter. Cryptolaemus, un groupe de chercheurs en sécurité surveillant le botnet Emotet, a également publié des indicateurs de compromission destinés à ceux qui souhaitent se protéger.
Source : Emotet, today's most dangerous botnet, comes back to life 

REF.:

vendredi 20 septembre 2019

Un logiciel malveillant frappe 24 applications Android

Un logiciel malveillant frappe 24 applications Android

Un chercheur en sécurité informatique du CSIS a découvert la présence d’un logiciel malveillant sur appareils mobiles Android. Ce sont plus d’une vingtaine d’applications téléchargées depuis le Google Play Store.


malware, Android,
 
 
 
C’est loin d’être la première fois que les utilisateurs d’Android sont touchés par un problème du genre. La présence de logiciels malveillants rattachés à des applications dans le Play Store est un problème qui se répète fréquemment.
Même s’il n’est plus possible de télécharger les applications touchées à l’heure actuelle, elles l’ont été plus de 400 000 fois depuis juin dernier. 

Joker malware virus mobile android telephone app applicaions
Un logiciel malveillant du nom de Joker s'invite chez les utilisateurs Android.

Un problème qui pourrait nous coûter cher

Le logiciel malveillant a été surnommé "le Joker". Son but est de nous inscrire à des services payants sans notre approbation.
Le Joker rend automatique l’interaction entre une offre premium qui nécessite un code de confirmation par SMS.
Quand nous recevons ce message de confirmation, le logiciel s’en empare et transmet les informations au service de paiement.
Avant même qu’on ait eu le temps de s’en rendre compte, les messages textes sont supprimés de notre téléphone.
Voici la liste des applications touchées par le Joker 
  • Advocate Wallpaper
  • Age Face
  • Altar Message
  • Antivirus Security
  • Beach Camera
  • Board Picture editing
  • Certain Wallpaper
  • Climate SMS
  • Collate Face Scanner
  • Cute Camera
  • Dazzle Wallpaper
  • Declare Message
  • Display Camera
  • Great VPN
  • Humour Camera
  • Ignite Clean
  • Leaf Face Scanner
  • Mini Camera
  • Print Plant scan
  • Rapid Face Scanner
  • Reward Clean
  • Ruddy SMS
  • Soby Camera
  • Security Scan
  • Spark Wallpaper
Si vous êtes parmi ceux qui ont ces applications, je vous encourage grandement à les désinstaller et à être bien attentif à vos relevés de carte de crédit.

REF.:

dimanche 15 septembre 2019

Cybersécurité: une école sur cinq piratée par ses propres élèves



Cybersécurité: une école sur cinq piratée par ses propres élèves




école, éducation, Hackers, cyberattaques, phishing, malware,
 
 
 
Sécurité : Quatre écoles sur cinq admettent avoir connu un incident de sécurité, mais seule la moitié des sondés se déclarent prêts à répondre à une véritable attaque informatique. 

Quatre écoles sur cinq ont été victimes d'un incident de cybersécurité, telles qu'un phishing ou un logiciel malveillant, et une sur cinq a signalé un accès non autorisé à ses ordinateurs, réseaux ou serveurs par ses propres élèves.
Les conclusions proviennent d'un audit de sécurité effectué dans plus de 430 écoles du Royaume-Uni par le National Cyber ​​Security Centre (le département cybersécurité de l'agence de surveillance GCHQ) et le London Grid for Learning (LGfL).
L’audit a révélé que presque toutes les écoles (97%) estimaient que la perte d’accès à des services informatiques connectés à un réseau causerait des perturbations considérables. La grande majorité des écoles (83%) ont été affectées par au moins un type d'incident de sécurité.
Ainsi, 69% des écoles déclarent avoir été la cible d’attaques par hameçonnage et 35% ont eu des périodes sans accès à des informations importantes, tandis que 30% ont déclaré avoir été victimes d’un programme malveillant, notamment de virus ou de ransomware. Et 20% ont déclaré avoir été victimes d'attaques d'usurpation d'identité, dans lesquelles les mails de l’école étaient imités par d'autres.

Nos chères têtes blondes

Un peu plus d'une école sur cinq - 21% - a déclaré avoir constaté l’utilisation des ordinateurs, des réseaux ou des serveurs (y compris une utilisation accidentelle) par des élèves sans autorisation, tandis que 11% estimaient avoir déjà vu l’utilisation des ordinateurs, des réseaux ou des serveurs sans autorisation par des membres de l’équipe. Seulement 4% ont déclaré qu'il y avait eu une utilisation d’origine externe non autorisée et encore moins - 3% - ont admis des fuites d'informations confidentielles à partir de systèmes en ligne.
"Depuis l'entrée en vigueur du GDPR en mai 2018, de nouvelles exigences ont été imposées aux écoles en matière d'accès et de protection des données. Néanmoins, 21% déclarent avoir fait face à des utilisations non autorisées des systèmes par les élèves.", indique le rapport.
Les pirates informatiques considèrent souvent les écoles comme une cible intéressante, car elles disposent de fonds et de compétences limitées en matière de cybersécurité pour se protéger, tout en détenant de grandes quantités de données sensibles.
Pour un point de vue plus positif, plus de 95% des écoles disposent de pare-feu, d’antivirus, de sauvegardes de données et de mises à jour logicielles à jour. 85% avaient un plan de cybersécurité, mais 41% seulement avaient un plan de continuité des opérations et l’audit a révélé que les pratiques de cybersécurité strictes, telles que la gestion des appareils mobiles et l’authentification à deux facteurs, étaient relativement peu utilisées.
"Les budgets sont serrés, le programme est serré et l'école vise à assurer la sécurité des enfants et à fournir la meilleure éducation possible. Vous n'entendrez donc pas souvent les écoles parler de leur préparation en matière de cybersécurité. Si les hôpitaux ont particulièrement été affectés par les perturbations causées par le virus WannaCry, les écoles sont aussi susceptibles que toute organisation de faire face à des attaques DDoS et de phishing ", a déclaré Mark Bentley, responsable de la sécurité et de la cybersécurité chez LGfL.
Source. : Cybersecurity: One in five schools says students have broken into computer systems

mercredi 14 août 2019

Marcus 'MalwareTech' Hutchins échappe à la prison ferme



Marcus 'MalwareTech' Hutchins échappe à la prison ferme

Sécurité : Les poursuites judiciaires américaines contre le chercheur en sécurité qui a contribué à enrayer l'épidémie de rançongiciel WannaCry prennent fin.

Marcus 'MalwareTech' Hutchins, chercheur en sécurité qui a contribué à enrayer l'épidémie de rançongiciel WannaCry, a été condamné aujourd'hui aux États-Unis à une peine déjà purgée et un an de liberté surveillée.
L’analyste des programmes malveillants né au Royaume-Uni évite les peines de prison dans son affaire, le juge ayant estimé que l’accusé présentait "trop ​​de points positifs." La clémence de la justice fait référence au rôle joué par Hutchins dans l’épidémie de ransomware WannaCry et à son travail en tant qu’analyste des logiciels malveillants.
Le juge J. P. Stadmueller avait une décision difficile à prendre et aurait envisagé une grâce. Cependant, les tribunaux n’ont pas ce pouvoir et cette option est laissée au pouvoir exécutif. Après l'audience de détermination de la peine, les avocats de Hutchins ont déclaré qu'ils l'envisageraient.
Au tribunal, Hutchins a de nouveau présenté ses excuses aux victimes, à la famille et aux amis. Le juge a renoncé à toute amende.
Hutchins sera autorisé à retourner au Royaume-Uni. Les autorités américaines vont maintenant décider s'il lui est interdit de retourner aux États-Unis en raison de son casier judiciaire.

MalwareTech a plaidé coupable en avril

Cette sentence intervient après que Hutchins a plaidé coupable en avril pour deux chefs d'accusations : avoir participé à un complot en vue de créer et de distribuer des logiciels malveillants, et avoir aidé et encouragé sa diffusion.
Les autorités américaines ont arrêté Hutchins à l'aéroport international de Las Vegas en août 2017, alors que le chercheur tentait de rentrer chez lui au Royaume-Uni après avoir participé aux conférences sur la sécurité Black Hat et DEF CON.
Il a été accusé de développer le cheval de Troie bancaire Kronos. De nouvelles accusations ont également été ajoutées ultérieurement pour avoir collaboré au développement du cheval de Troie UPAS KIT.
Hutchins a été accusé d'avoir écrit le code source de ces deux programmes malveillants, qu’un complice identifié dans les documents judiciaires uniquement sous le nom de VinnyK, a ensuite été diffusé et vendu en ligne.

Un cas très controversé

Selon des documents judiciaires, les faits se sont produits entre juillet 2012 et septembre 2015, avant que Hutchins ne commence sa carrière de chercheur en sécurité. Il est considéré comme l'un des professionnels les plus talentueux de la cybersécurité.
L’arrestation de Hutchins a été controversée. Il a fait valoir qu'il avait été arrêté et interrogé alors qu'il était privé de sommeil et sous influence, et que les agents du FBI l'avaient induit en erreur sur les véritables intentions de l'interrogatoire.
Ses avocats ont également affirmé que les actes de Hutchins avaient eu lieu alors qu'il était encore mineur et en dehors du délai de prescription habituel de cinq ans.
L'accusation a réagi en avançant de nouvelles accusations, notamment pour avoir menti au FBI, que de nombreux experts juridiques ont jugé ridicules à l'époque.

Soutien de la communauté de cybersécurité

Le mémorandum de peine de l'accusation n'inclut pas de recommandation de peine. Celle-ci qui a été soumise en tant que document séparé et scellé.
Le mémorandum de peine de Hutchins, l'argument de ses avocats en faveur d'une peine plus légère, est également sous scellé. Le document inclut des détails sensibles qui sont pertinents pour d'autres enquêtes, liées aux dernières années où Hutchins a poursuivi des cybercriminels.
De nombreux membres de la communauté de la cybersécurité ont exprimé leur soutien en faveur de Hutchins, affirmant que le tribunal devrait faire preuve de retenue à son égard en raison de ses années de travail avec les autorités.

REF.:

 

samedi 27 avril 2019

Scranos, le malware vicieux qui fait des ravages sous Windows



Scranos, le malware vicieux qui fait des ravages sous Windows



malware
 
 
Les chercheurs en sécurité de BitDefender ont découvert un nouveau logiciel malveillant particulièrement sophistiqué qui sévit sous Windows.

Les chercheurs de BitDefender, célèbre éditeur de solutions de sécurité, viennent de lancer une alerte inquiétante. Ces experts auraient en effet découvert un nouveau logiciel malveillant terriblement dangereux qui fait actuellement des ravages sur les PC fonctionnant sous Windows. Baptisé Scramos, il serait d'abord apparu en Chine avant de se répandre massivement partout dans le monde, y compris en France, en infectant des ordinateurs avec des techniques particulièrement élaborées lui permettant notamment de se mettre régulièrement à jour.

Comme les chercheurs l'expliquent dans leur publication, Scranos se diffuse selon la méthode du cheval de Troie, en se cachant dans divers logiciels d'apparence inoffensive comme des lecteurs vidéo ou des lecteurs de livres électroniques (e-books) et même des utilitaires de sécurité et des pilotes (drivers).
Une fois en place, Scramos installe des bibliothèques partagées (DLL) capables d'analyser des cookies de navigateurs et de récupérer de nombreuses informations sensibles, notamment des identifiants et des codes de comptes de divers services en ligne comme Facebook, Amazon, Youtube, Steam ou encore Airbnb. Plutôt effrayant...

Pire encore, il désactive la protection en temps réel Windows Defender, le logiciel de sécurité de Microsoft installé par défaut avec Windows, de manière à passer inaperçu. Scramos passe alors à l'étape suivante suivante, en installant un rootkit déguisé en pilote graphique authentifié par une signature au nom d'une société chinoise (Yun Yu Health Management Consulting Shanghai), un module extrêmement vicieux qui modifie le registre de Windows de façon à s'activer automatiquement à chaque démarrage du PC sans se faire repérer.

Les dégâts occasions par Scramos ne sont pas tous connus. Mais il semblerait que ses créateurs l'utilisent déjà massivement pour créer un réseau de PC "esclaves" (un botnet) générant des faux clics sur les publicités affichées dans des chaînes YouTube : un procédé permettant de rentabiliser leurs méfaits. Mais Scramos évolue visiblement en permanence, grâce à un module le mettant constamment à jour et lui permettant de télécharger d'autres composants malveillants. L'un d'eux servirait ainsi à envoyer des applications vérolées via Facebook aux amis de ses victimes. Un autre installerait des extensions aux navigateurs pour injecter des publicités ou forcer l'ouverture de certaines pages.

Bref, le potentiel de Scramos semble aussi vaste qu'effrayant. Et il est fort probable que ce malware fasse parler encore de lui dans les prochaines semaines. Inutile de préciser qu'il convient de mettre à jour son antivirus et de lancer une analyse au plus vite.

REF.:

mercredi 3 avril 2019

L0rdix : le nouveau couteau suisse du piratage Windows



L0rdix : le nouveau couteau suisse du piratage Windows


malware
 
Sécurité : Le nouvel outil combine le vol de données et l’extraction de cryptomonnaie dans un produit idéal pour attaquer les machines Windows.
Un nouvel outil de piratage qui circule dans les forums clandestins est présenté comme la dernière offre universelle "idéale" pour les attaquants ciblant les ordinateurs Microsoft Windows.
Le logiciel s'appelle L0rdix et, selon les chercheurs en sécurité de la société enSilo, "vise à infecter les machines Windows, combine des méthodes d'extraction de données volées et de minage de cryptomonnaies, [et] permet d'éviter les outils d'analyse des logiciels malveillants."
 
Dans un article publié mardi sur le blog de la société, Ben Hunter, chercheur chez EnSilo, a déclaré que cet outil est relativement nouveau et disponible à l'achat. Il existe cependant des indicateurs selon lesquels L0rdix est en cours de développement, en dépit de nombreuses fonctions déjà implémentées dans le programme malveillant.
Écrit en .NET, L0rdix a été développé pour la furtivité. Le logiciel malveillant est masqué à l'aide de l’outil d’obfuscation standard ConfuserEx et certains échantillons ont été modifiés avec un outil plus sophistiqué .NETGuard.

Sous le radar

Les développeurs de L0rdix ont apporté une attention particulière aux environnements virtuels et aux sandbox. Ces outils sont couramment utilisés par les chercheurs à des fins d'ingénierie inverse et d'analyse des logiciels malveillants.
L0rdix non seulement effectue un certain nombre d'analyses standard pour détecter ces environnements, mais utilise également des requêtes WMI et des clés de registre pour rechercher des chaînes pouvant indiquer des produits en mode sandbox.
"Les vérifications moins courantes effectuées par L0rdix incluent des processus de recherche qui chargent sbiedll.dll, une bibliothèque logicielle qui appartient au produit sandboxie. Le but pour le malware est d'éviter de s'exécuter dans un simple outil d'environnement virtuel gratuit" a ajouté Hunter.
Le malware a été conçu dans l’optique d’être vendu, et contient cinq modules de base avec des fonctionnalités de mise à jour automatique de la configuration et une structure qui permet d’intégrer facilement les futurs modules à L0rdix.
Une fois qu'un ordinateur est infecté, le programme malveillant extrait des informations, notamment la version du système d'exploitation, l'ID de périphérique, le modèle de processeur, les produits antivirus installés et les privilèges des utilisateurs actuels. Ces informations sont chiffrées et envoyées au serveur de commande et contrôle (C2), avec une capture d'écran de la machine.

Adapté aux besoins

Les fichiers du logiciel malveillant et les paramètres de configuration sont ensuite mis à jour en fonction de ces informations. C'est à ce stade que L0rdix "décide" si l'extraction de cryptomonnaie et le vol de données sont appropriés ou non.
L0rdix infectera alors tous les lecteurs amovibles, remplaçant leurs icônes et en masquant les fichiers et répertoires de lecteurs légitimes. "Tout cela est fait pour s'assurer que le malware sera exécuté par l'utilisateur en double-cliquant dessus sur une autre machine" explique le chercheur.
Une autre fonction est responsable de la persistance. Le logiciel malveillant se copiera dans un certain nombre d’emplacements traditionnels, tels que les tâches planifiées - mais il s’agit d’un domaine qui doit encore être amélioré.
L0rdix est également capable d’agir en tant que botnet en asservissant le PC infecté, avec des commandes facultatives comprenant l’ouverture d’URL spécifiques dans un navigateur (potentiellement utilisables pour l’inondation de domaine dans les attaques par déni de service distribué), en bloquant des processus spécifiques, le chargement et l’exécution de charges utiles supplémentaires et exécution de commandes cmd.
En outre, le programme malveillant est capable de surveiller le presse-papiers de Windows pour détecter des signes de portefeuille et de chaîne de cryptomonnaie. S'il le trouve, ce contenu est envoyé au C2 et L0rdix aura également pour objectif de collecter les cookies et les informations d'identification du navigateur.
En ce qui concerne l'extraction frauduleuse de cryptomonnaies, certains échantillons contiennent du code de cryptominage - mais enSilo pense que celui-ci a été développé au cours de l'une des dernières étapes du codage, car cette fonctionnalité est absente dans certains exemples.
"S'il est très facile de constater que beaucoup d’efforts ont été déployés pour échapper aux environnements virtuels et aux outils d'analyse, ainsi que pour l'implémentation du module de vol, L0rdix présente toujours des modules inachevés et des détails de mise en œuvre inachevée. Par exemple, le chiffrement trop simple ou une gestion des données entre le serveur et le client infecté en font partie" dit Hunter. "Ces indicateurs pourraient suggérer que l'outil est encore en développement."
EnSilo espérait voir à l'avenir des versions plus sophistiquées de l'outil multifonction, à mesure que L0rdix se perfectionnerait davantage pour rester attractif pour les éventuels acheteurs

REF.: Cet article est une traduction de "L0rdix becomes the new Swiss Army knife of Windows hacking" initialement publié sur ZDNet.com 

mercredi 21 novembre 2018

Problêmes pour les utilisateurs du acethinker



malware, Malwarebytes, download, dnl, video





Certaines versions video peuvent très bien vous causer des ennuis,si vous avez windows Vista,c'est mieux avec une version a jour comme win7 ou plus.De plus une recherche avec duck duck go a de meilleur résultats et plusieurs versions de video s'offre a vous,donc, une version sera plus facile a Dnl.Car youtube a souvent des video qui sont de plus en plus en .webm et bloque le logiciel de dnl d'Attila Pergel ou bien certain video pour les droits d'auteurs.


Note : Sinon ça vous prendra le web compagnon/video helper qui fonctionne avec firefox ,en win-7;
ou video dnl capture en version payante;
Les video serons vérulés si vous utilisez ceux de 1080p et plus évidemment !
https://distillvideo.com est quand a lui plus que contaminé !
REF.: T30

vendredi 31 août 2018

Malware: Smartphone Android : Supprimer les Adwares et publicités intempestives

Malware: Smartphone Android : Supprimer les Adwares et publicités intempestives



malware, spyware

Les téléphones (smartphones) ou tablettes Android sont de plus en plus présentes et les adwares et autres logiciels malveillants commencent donc à débarquer.
Tout comme sur PC, il y a de l’argent à se faire et on retrouve exactement les mêmes méthodes pour infecter ces appareils.
Il existe beaucoup d’applications gratuites qui se font rémunérer par la publicité, souvent via des bandeaux publicitaires, comme pour les sites WEB.
Malheureusement, on commence aussi à voir de plus en plus d’application incorporant des fonctionnalités d’adwares, celles-ci vont ouvrir des publicités de régulièrement sur votre périphérique Android, ce qui peut vite devenir pénible. Bien entendu, cela n’est pas clairement spécifié lors de l’installation.
Si le phénomène est relativement restreint, il va vite prendre de l’ampleur, seront touchés les utilisateurs qui ont un peu tendance à installer un peu tout et n’importe quoi comme application.
Espérons que Google prendra les mesures nécessaires pour que cela ne devienne pas la jungle comme sur PC.
Cet article vous aide à supprimer les adwares et publicités sur vos smartphones ou tablettes.
android_adware_logo

Supprimer les Adwares et publicités intempestives sur Smartphone Android

Introduction

Voici deux exemples de publicités dues à des adwares Android, le bémol, c’est qu’aucune mention de l’application source n’est donnée.
De ce fait, l’utilisateur ne saura pas quelle application est la source de ces publicités et risque d’éprouver des difficultés pour faire stopper ces publicités intempestives.
adware_android_popup
ou ci-dessous une fausse alerte de virus pour faire installer une application de nettoyage.
Ce procédé est plutôt connu puisque ce PC il est présent depuis des années : Arnaque : fausse alerte de virus
Ces faux messages de sécurité ont été très vite porter sur les smartphones et tablettes Android, plus d’exemples sur la page : Fausses alertes virus Android : Publicités pourries sur tablettes/mobile Android)
adware_android

Pour se débarrasser des publicités intempestives sur Android, il suffit de trouver l’application source.
En général, ce sont des applications installées tiers, style téléchargement MP3, Smileys ou jeu.

Applications pour supprimer les publicités et adwares

Ces deux applications permettent de détecter les adwares sur votre mobile.
Elles sont gratuites et relativement simples d’application pour détecter des modules malveillants ou publicitaires cachés.
Addons Detector semble être assez efficace pour détecter des modules publicitaires cachés, bien entendu, il n’est pas efficace à 100%
Dans le cas où les précédentes applications ne vous permettent pas de vous débarrasser des publicités.
Tentez alors d’effectuer un scan avec l’antivirus ESET pour Android : Eset Mobile Security.
Cet antivirus est disponible pour 30 jours d’essai, ce qui peut vous permettre d’effectuer une analyse et espérer pouvoir vous débarrasser des malwares.
Vous pouvez récupérer ce dernier depuis le PlayStore ou depuis ce lien : Mobile Security & Antivirus

Gérer les applications installées sur Android

Le système d’exploitation Android incorpore tout ce qu’il faut pour gérer ses applications.
Le but est de faire du ménage dans les applications installées et espérer aussi supprimer des applications indésirables.
Pour gérer vos applications : Ouvrez le menu des Paramètres > Applications > Gestionnaire d’applications
adware_android_gerer_application

La liste des applications téléchargées s’ouvre.adware_android_gerer_application2
Pour désinstaller une application, sélectionnez celle-ci puis cliquez sur Désinstaller.adware_android_gerer_application4
Notez que des onglets sont disponibles dans la liste des applications, notamment l’onglet Exécution qui permet de visualiser les applications en cours d’exécution.
adware_android_gerer_application3

La difficulté étant de trouver l’application responsable de ces publicités intempestives, nous vous conseillons de :
  • de désinstaller toutes les applications inutiles : jeu, téléchargement MP3, smileys etc
  • ou de stopper leur exécution depuis l’onglet exécution.
Ceci afin de déterminer l’application responsable des publicités.

Conseils de sécurité sur l’installation d’applications Android

Voici quelques conseils de sécurité sur l’installation d’application Android.
Dans un premier temps, évitez d’installer les APK qu’on vous propose depuis des publicités : malwares assurés.
D’autant que ces applications nécessites de désactiver la protection contre la source non sûr.
Notamment, aux USA, des ransomwares et autres malwares existent et risquent par la suite de viser la France, vous trouverez quelques exemples sur la page : Index of Android Locker ou Android/Torec by Fake Flash Malvertising
On retrouve les mêmes procédés que sur PC, comme par exemple, de fausses propositions d’installation de Flash.
Bref quelque soit le motif, si on vous balance un APK, ne l’installez pas.
En ce qui concerne les logithèque comme Google PlayStore, celui-ci n’est pas forcément exempt de malwares et encore moins d’Adwares.
Avant d’installer depuis Google PlayStore, il est conseillé d’effectuer un tour d’horizon de celle-ci.
Évitez déjà les applications qui n’ont pas un grand nombre de téléchargement.
Notez aussi que dans les informations supplémentaires, vous obtenez des informations sur la source.
Il peut être conseillé d’éviter d’installer les applications Chinoises.
adware_android_installation_application2
adware_android_installation_application
Avant d’installer, prenez le temps de visualiser les accès nécessaires à l’application.
Par exemple cette application est capable de contrôler la camera/micro ou visualiser les informations sur les appels entrants, ce qui n’est pas forcément nécessaire pour une application de téléchargement.
adware_android_installation_application3
Notez que les accès peuvent aussi être visualisés depuis le gestionnaire d’applications.adware_android_gerer_application5
Enfin, les dernières versions Android peuvent vous alerter sur des comportements suspicieux, comme des applications qui peuvent accéder à vos messages.adware_android_installation_application4

Conclusion

La conclusion est la même que sur PC. Les utilisateurs qui ont tendance à installer un peu tout et n’importe quoi vont à coup sûr être embête par des applications avec un comportement anormale, question de probabilité.
Je vous conseille donc de n’installer que des applications reconnues, provenant de sociétés sûres, cela limitera les problèmes, car après il sera trop tard, si dans le cas d’un adware, le problème reste juste des publicités intempestives, dans le cas d’un malware, cela peut aller jusqu’à l’envoi de SMS surtaxé.

EDIT – Novembre 2015 : Adware Android Locker

En plus des applications embarquant des adwares dans le Google Store, il faut bien sûr refuser les APK.
Outres les virus gendarmerie, voici un exemple d’une proposition de téléchargement d’un APK reçu par une publicité depuis un site pour adulte qui balance un APK :
adware_fr_static_planet49.com
Au final, le navigateur WEB est bloqué sur fr.static.planet49.com qui oblige à remplir un sondage.
C’est donc un locker pour navigateur WEB à des fins publicitaires.fr_static_planet49.com

Liens autour des adwares et virus

Le dossier complet sur les logiciels malveillants Android : Les virus sur Android
Tous les liens du site autour de la sécurité informatiques et les logiciels malveillants :
REF.:

mercredi 18 juillet 2018

InvisiMole : Couvrir sa webcam ? Ce spyware enregistre son et image

Faut-il couvrir sa webcam ? Ce spyware enregistre son et image

Sécurité : Le logiciel malveillant InvisiMole se répand de manière très ciblée et se déploie de manière à éviter toute détection - et les chercheurs en sécurité ignorent comment il infecte ses victimes.

Un outil malveillant de cyber-espionnage récemment découvert transforme les PC en postes d'écoute, permettant aux pirates d'écouter des conversations et de prendre des photos en utilisant la machine compromise.
Surnommée InvisiMole, la campagne est active depuis 2013 mais vient juste d'être découverte, mettant en évidence la nature particulièrement furtive des attaques.

Campagne active depuis 2013 

Le malware a été détaillé par des chercheurs d'ESET, après avoir été découvert sur des ordinateurs compromis en Ukraine et en Russie. On pense que la campagne est très ciblée, avec seulement quelques douzaines d'ordinateurs affectés. Les cibles sont en revanche de grande envergure et de grande valeur pour les attaquants.
ESET précise que le logiciel malveillant transforme l'ordinateur infecté "en une caméra vidéo, laissant les attaquants voir et entendre ce qui se passe dans le bureau de la victime ou à tout autre endroit où se trouve leur terminal."
Les auteurs de la campagne ont si bien réussi à couvrir leurs traces que les chercheurs ignorent qui est derrière InvisiMole. Une chose est certaine : la nature puissante de l'outil le place parmi les campagnes d'espionnage les plus sophistiquées.
"InvisiMole est un logiciel espion entièrement équipé dont les capacités riches peuvent certainement rivaliser avec d'autres outils d'espionnage vus dans la nature" juge Zuzana Hromcová, analyste en malware pour ESET.
Le malware a notamment la capacité d'enregistrer le son en utilisant les périphériques audio d'entrée de la machine, mais aussi de prendre des captures d'écran sur l'ordinateur infecté. Les chercheurs notent que des captures d'écran de chaque fenêtre ouverte peuvent être capturées séparément, ce qui permet aux attaquants de prendre des captures d'écran des applications et des informations qui s'exécutent en arrière-plan.
Le logiciel malveillant permet également à l'attaquant d'ouvrir, de créer et de supprimer des fichiers, de lister toutes les informations sur le système et plus encore - avec des attaquants attentifs à ne pas laisser de traces de cette activité.
 

lundi 16 juillet 2018

Virus: KODI-TV Add-on : Rampant Kodi Malware? Il est temps de mettre en place ou de fermer



Le président de la fondation XBMC, le groupe derrière Kodi, a déclaré à TorrentFreak qu'au moins autant qu'il sache, une telle chose n'existe pas. "Je n'ai jamais entendu parler de logiciels malveillants dans un flux vidéo. Je pense que tout est possible, mais à ma connaissance, il n'y a pas eu de rapport à cet effet », a déclaré Betzen.
 Bogdan Botezatu, analyste senior des menaces électroniques chez BitDefender, a également déclaré à TorrentFreak qu'il n'avait rien vu de tel dans la nature. "La vidéo malformée pourrait tirer parti des vulnérabilités du lecteur, mais je ne suis pas au courant de ces attaques qui se produisent dans la nature", a déclaré Botezatu, "la dernière fois que j'ai vu des vidéos malveillantes distribuées via des sites torrent. "Trojan.Wimad était un cheval de Troie découvert en 2005 qui était capable de télécharger des fichiers distants à partir de sites Web en exploitant la technologie DRM (Digital Rights Management) disponible dans Windows. 
 Le cheval de Troie est entré sur les ordinateurs des utilisateurs sous la forme d'un fichier vidéo protégé par licence. Les utilisateurs de Kodi ne s'y intéressent certainement pas et, de toute façon, les boîtiers Kodi basés sur Android ne sont pas affectés

Ainsi, en dehors de l'incident d'addon qui a duré une semaine en 2017, nous n'avons jamais entendu parler d'attaque de malware Kodi dans la nature. Betzen nous a dit qu'il avait entendu parler d'un cas où un mineur de pièces s'était répandu via un code tiers, mais c'est aussi un problème pour des milliers de sites grand public. 

Tout cela étant dit, nous ne sommes pas connus comme experts en sécurité. »Malheureusement, nous n'avons observé aucun risque lié aux logiciels malveillants liés à Kodi dans la nature», explique Stefanie Smith, directrice des communications d'AVAST, à TorrentFreak.

Bogdan Botezatu de BitDefender. "L'année dernière, Kodi a fait l'objet d'une grande attention et la plupart des" risques de sécurité "sont liés au fait que certains ajouts permettent aux utilisateurs de diffuser des contenus directement sur les sites Web. L'expert de BitDefender nous a cependant fait part d'un avis de sécurité de CheckPoint qui détaille une faille logicielle affectant Kodi, VLC et d'autres "Kodi 17.1 était connu pour être vulnérable à un bug d'analyse de sous-titres qui permettait à un attaquant de contrôler à distance la boîte de Kodi. C'est l'une des menaces les plus sérieuses que je connaisse, car des tierces parties pourraient truquer des sous-titres téléchargés dans divers dépôts et cela passerait inaperçu pendant un moment ", a-t-il dit. Bien que cette vulnérabilité aurait pu être utilisée à des fins infâmes jamais exploité à l'état sauvage. Et, en commun avec toutes les plateformes responsables, Kodi et tous les autres intervenants (VLC)ont corrigé le problème avant que tout dommage ne puisse être causé. 

En parcourant notre liste de fournisseurs, TorrentFreak a également demandé à Symantec s'ils avaient déjà rencontré un logiciel malveillant Kodi. La société nous a dit qu'ils n'avaient rien à signaler pour le moment mais qu'elle avait mis en évidence la même vulnérabilité de sous-titre que BitDefender. Pour être clair, les vulnérabilités peuvent affecter n'importe quel logiciel, y compris Windows, mais cela ne les rend pas dangereux pour le consommateur. Cependant, en écoutant les industries du divertissement et celles qui sont alignées avec elles, l'utilisation de Kodi présente un danger de malware actif et sérieux pour le public, mais avec une preuve presque nulle à l'appui. Minder lui-même n'a pas répondu à notre demande d'élaboration, mais nous avons réussi à obtenir une copie d'une présentation que sa société avait préparée pour la Conférence des procureurs généraux des pays de l'Ouest, détaillant les prétendues menaces Kodi. Le document, daté de mai 2018, permet une lecture intéressante.

Parallèlement aux allégations selon lesquelles les logiciels malveillants Kodi sont disponibles sur le web noir(DarkNet), les diapositives de présentation montrent une publicité découverte sur le marché caché de «Dream Market». L'annonce propose des abonnements à un service IPTV illégal, mais il est en fait un qui est facilement accessible sur le web ouvert régulier. Peut-être le plus important, il n'y a aucune mention de malware n'importe où sur la diapositive. IPAD Web, mais pas de malware La diapositive suivante s'est révélée intéressante puisqu'elle couvre un sujet publié ici sur TorrentFreak début 2018. 
Nous avons révélé comment certaines configurations Kodi sont accessibles par des tiers si les utilisateurs ne font pas attention aux paramètres de l'interface Web de Kodi. Bien que ce soit un problème connu, cela n'a rien à voir avec les logiciels malveillants. 

Enfin, la dernière diapositive avait ceci à dire à propos de Kodi et des addons Kodi tiers. "À l'insu du consommateur, ces add-ons tiers introduisent [utilisateurs] aux risques tels que les violations de droits d'auteur, les logiciels malveillants, la divulgation d'adresses IP et le comportement d'Internet, et la perte de la confidentialité de leurs communications », peut-on lire dans la diapositive. la revendication de logiciels malveillants omniprésente n'est pas soutenue et disponible publiquemen.

L'information indiquant qu'un tel événement s'est produit plus d'une fois ou deux fois. Pour mettre cela en perspective, l'Institut AV-TEST dit qu'il enregistre plus de 250 000 nouveaux programmes malveillants chaque jour. En outre, les adresses IP sont toujours divulgués quel que soit le contenu auquel les utilisateurs accèdent en ligne, ce qui est également discutable. la confidentialité des communications. 

 De plus, GroupSense a plus à ajouter. "De plus, la communication entre leur application Kodi et les modules complémentaires tiers est non cryptée et non authentifiée, ce qui signifie qu'un attaquant peut introduire du code malveillant dans le flux de communication ou compromettre le module tiers. avant que le destinataire (consommateur) ne reçoive les données; infectant ainsi leur dispositif pour incorporer dans un botnet ou voler des informations privilégiées telles que les informations d'identification de l'utilisateur. "Nous avons présenté ces revendications à TVAddons, le plus grand référentiel d'addons tiers au monde et le développeur de nombreux, passés et présents. Ils n'ont pas été impressionnés par les revendications. "Cet argument est tout à fait le bout droit.  
Techniquement, la même chose s'applique à tout site Web que vous visitez et qui n'utilise pas HTTPS forcé. Presque tous les référentiels non officiels sont hébergés via GitHub, ce qui force le chiffrement ", a déclaré le site. Les" boîtes Kodi "sont utilisées sur les réseaux domestiques, et non sur le Wi-Fi public. Au moment où quelqu'un pourrait effectuer une attaque [Man-in-the-Middle] sur votre boîtier Kodi, cela signifierait qu'ils auraient déjà dû compromettre votre routeur. Si quelqu'un venait à traverser tout ça, il pourrait probablement faire beaucoup plus de dégâts sans même envisager d'exploiter Kodi. "De plus, la plupart des utilisateurs utilisent Kodi sur leurs boîtes de médias, où peu ou aucune information privilégiée serait présente".  

Soyons clairs: chaque pièce de matériel et de logiciel, qu'elle soit en ligne ou hors ligne, peut être exploitée d'une manière ou d'une autre par des joueurs malveillants ou simplement par des curieux. Cependant, l'affirmation persistante selon laquelle les utilisateurs de Kodi sont en quelque sorte sous attaque malveillante constante n'est confirmée par aucune information disponible publiquement. En effet, l'un des fournisseurs anti-piratage les plus populaires au monde d'AVAST indique qu'ils n'ont aucun antécédent de malware Kodi . Et Marius Buterchi, responsable des relations publiques au très respecté BitDefender, ne pouvait pas non plus nous pointer vers des instances spécifiques. "Je viens de parler avec les gars de la Lab et ils m'ont dit qu'ils n'avaient pas vu de logiciels malveillants Kodi dans le "Avec cela, il semble maintenant le moment idéal pour mettre en place ou taire en raison de" malware Kodi. "S'il y a des logiciels malveillants là-bas affectant les utilisateurs de Kodi, les entreprises de sécurité et de divertissement faisant ces les revendications devraient les étayer par des preuves solides car, en l'état, les histoires d'horreur semblent conçues pour effrayer les masses, plutôt que de les protéger. Les avantages de la divulgation complète, détaillant les NOMS EXACTS du malware, QUAND ils ont été découverts et par qui et, ce qu'ils font EXACTEMENT, serait double. Tout d'abord, l'objectif de faire fuir les gens de Kodi aurait plus d'impact, puisque les preuves de malware seraient difficiles à ignorer. Ce serait un gros plus pour les industries du cinéma et de la télévision qui se préoccupent à juste titre de protéger leur entreprise.  

Deuxièmement, et tout aussi important, les utilisateurs de Kodi pourraient prendre des mesures pour se protéger, ce qui devrait être la première priorité de tout groupe. , ou une entreprise qui prétend agir dans le meilleur intérêt des consommateurs et du public en général. Dans cet esprit, nous comprenons que la Digital Citizens Alliance publiera un nouveau rapport sur les logiciels malveillants Kodi dans les semaines à venir. Peut-être contiendra-t-il des preuves concrètes de la présence continue du malware dans les médias. Nous serions certainement heureux de publier une liste spécifique et détaillée de toutes les variantes de logiciels malveillants qui ciblent spécifiquement les utilisateurs de Kodi. À ce stade, nous pouvons alerter les principaux fournisseurs d'antivirus et de logiciels malveillants qui semblent étrangement dans l'obscurité.

Mise à jour: Informations supplémentaires de Mikko Hypponen de F-Secure: «Nous avons dû faire quelques recherches, comme des logiciels malveillants basés sur Kodi n'est pas actuellement dans notre liste des choses les plus courantes. Il y a eu des cas publics avec des plugins majeurs changeant leur code pendant les processus de mise à jour pour exécuter quelque chose de hautement suspect / malveillant (par exemple Exodus créant un botnet DDoS). Mais en dehors de cela, nos découvertes ont été un peu courtes. »Apparemment, ceci a été soulevé à nouveau lors de la dernière conférence de RSA sur GroupSense (« Comment le malware progresse sur la plateforme Kodi / XMBC »). Malheureusement, la recherche elle-même n'est pas encore publique, donc nous ne pouvons pas évaluer l'ampleur de leurs résultats. " 

Les plugins Kodi les plus populaires que nous pouvons trouver semblent propres. Mais il y a au moins quelques plugins qui sont clairement malveillants mais qui ne semblent pas servir à d'autres fins réelles pour les utilisateurs de Kodi. Donc, des plugins malveillants qui semblent inutiles de toute façon. "De notre point de vue, cela ne semble pas être une menace majeure."


Qui n'aime pas KODI ? Les studios de cinéma et les sites de streaming !

Kodi Addons évite les popups, logiciels malveillants et le piratage de navigateur pour extraire la cryptomonnaie12/14/20170PARTAGER
Il n'y a qu'une chose que les studios de cinéma et les sites de streaming ont en commun: leur haine de Kodi. Tout le monde peut deviner pourquoi les studios de cinéma détestent Kodi, mais pourquoi les sites de streaming?  


La raison est simple: les sites de streaming ne font pas d'argent sur les utilisateurs de Kodi, pas un centime - jamais. En passant en revue les addons de Kodi, vous contournez efficacement toutes les formes de monétisation et de publicité; cela inclut la dernière forme de malware connue sous le nom de crypto-jacking, par laquelle la crypto-monnaie est extraite de votre navigateur Web sans votre consentement.
Quiconque a déjà essayé de diffuser la dernière émission de télévision en ligne a probablement connu des popups, des virus et G-d sait quoi d'autre. Les addons Kodi sont conçus pour récupérer du contenu utile à partir de sources en ligne, tout en laissant derrière lui tout le monde. Nous définissons "hooey" comme tout ce qui n'est pas absolument nécessaire à l'expérience de streaming: design web sophistiqué, publicités, promotions, offres upsell et popups. Kodi addons gratter la structure du site Web et les liens de diffusion, c'est tout.
Tandis que les addons de Kodi peuvent être excellents pour l'utilisateur, ils ne sont certainement pas bons pour les sites de streaming et les cyberlockers.  


La raison pour laquelle ces sites montrent des publicités, des popups et d'autres nuissances est qu'ils peuvent générer de l'argent pour garder leurs serveurs en ligne. La diffusion en continu de vidéos de haute qualité nécessite beaucoup de bande passante, et probablement pas trop facile sans revenus. Cela étant dit, nous sommes presque certains que ces sites génèrent suffisamment d'argent, il est donc inutile de risquer de s'exposer à des logiciels malveillants ou à des publicités fragmentaires, simplement pour leur jeter un os.
Il convient de noter que les sites de streaming et les cyber-lockers ne sont peut-être pas ceux qui diffusent directement le code malveillant et le code crypto-jacking, bien que vous puissiez soutenir qu'ils le facilitent effectivement. En raison de la nature de ces sites Web, ils ne peuvent pas utiliser les réseaux de publicité en ligne conventionnels, ils se tournent donc vers le côté sombre des publicités en ligne. Ils pourraient même ne pas savoir quel type d'annonces sont affichés à quels utilisateurs de leurs sites Web, il se pourrait que les mauvais acteurs ont trompé les réseaux publicitaires sans méfiance dans le service de leurs popups.
À la fin de la journée, vous êtes nettement plus sûr de streaming via les addons Kodi, par opposition à la visite des sites de streaming en ligne dans votre navigateur web. Hollywood pourrait essayer de détruire ces addons, mais en ce qui concerne l'expérience utilisateur, ces modules Kodi peuvent avoir évité à des millions de personnes d'être exposés à des logiciels malveillants, à des crypto-jacking, à des popups et à bien d'autres "hooey".


REF.: