Plus de 12 000 applications Android contiendraient des portes dérobées

Libellés

BackDoor, virus, samsung, Android,

Technologie : Plus de 12 000 applications Android disponibles notamment sur le Play Store contiendraient des portes dérobées permettant de pirater votre smartphone, comme le révèle une étude qui a de quoi faire frémir.

Par Catalin Cimpanu | Lundi 06 Avril 2020

Les applications Android sont-elles un nid de portes dérobées ? C'est le sombre constat que révèle une étude académique complète publiée cette semaine, qui a relevé des comportements cachés de type "backdoor" dans plus de 12 700 applications Android. Pour en arriver à ce nombre énorme, des universitaires européens et américains ont développé un outil personnalisé appelé InputScope, qu'ils ont utilisé pour analyser les champs de formulaires de saisie trouvés dans plus de 150 000 applications Android.
Les auteurs de cette étude ont notamment analysé les 100 000 applications installées le plus grand nombre de fois via le Play Store, les 20 000 meilleures applications hébergées sur des boutiques d'applications tierces, et plus de 30 000 applications préinstallées sur des téléphones Samsung. Le constat est sans appel selon eux : « l'évaluation a révélé une situation préoccupante. Nous avons identifié 12 706 applications contenant une variété de portes dérobées telles que des clés d'accès secrètes, des mots de passe administrateur et des commandes secrètes », ont-ils relevé.
Les chercheurs affirment que ces mécanismes de portes dérobées cachées pourraient permettre à des attaquants d'accéder sans autorisation aux comptes des utilisateurs. De plus, si l'attaquant a un accès physique à un appareil et que l'une de ces applications a été installée, il pourrait également accorder aux attaquants l'accès à un téléphone ou leur permettre d'exécuter du code sur l'appareil avec des privilèges élevés (en raison des commandes secrètes cachées présentes dans les champs de saisie de l'application).

publicité

Des mécanismes variés

« De tels cas ne sont pas hypothétiques », révèlent les chercheurs à l'origine de cette étude, en citant une liste non exhaustive de cas particuliers. « En examinant manuellement plusieurs applications mobiles, nous avons découvert qu'une application populaire de contrôle à distance (10 millions d'installations) contient un mot de passe principal qui peut déverrouiller l'accès même si le propriétaire du téléphone le verrouille à distance en cas de perte de l'appareil », ont déclaré les chercheurs.
« Pendant ce temps, nous avons également découvert qu'une application populaire de verrouillage d'écran (5 millions d'installations) utilise une clé d'accès pour réinitialiser les mots de passe arbitraires des utilisateurs afin de déverrouiller l'écran et d'entrer dans le système. « De plus, nous avons également découvert qu'une application de diffusion en direct (5 millions d'installations) contient une clé d'accès pour entrer dans son interface d'administrateur, grâce à laquelle un attaquant peut reconfigurer l'application et déverrouiller des fonctionnalités supplémentaires. »
« Enfin, nous avons découvert qu'une application de traduction populaire (un million d'installations) contient une clé secrète permettant de contourner le paiement de services avancés tels que la suppression des publicités affichées dans l'application. Comme le montrent les exemples fournis par l'équipe de recherche, certains problèmes représentent clairement un danger pour la sécurité de l'utilisateur et les données stockées sur l'appareil, tandis que d'autres n'étaient que des œufs de Pâques inoffensifs ou des fonctionnalités de débogage qui ont accidentellement été mises en production.

Plus de 12 000 applications concernées

Au total, les chercheurs ont déclaré avoir trouvé plus de 6 800 applications avec des portes dérobées/fonctions cachées sur le Play Store, plus de 1 000 sur des magasins tiers et près de 4 800 applications préinstallées sur des appareils Samsung. L'équipe de recherche à l'origine de cette étude a déclaré qu'elle avait informé tous les développeurs d'applications où elle avait trouvé un comportement caché ou un mécanisme de type porte dérobée. Cependant, tous les développeurs d'applications n'ont pas répondu.
Par conséquent, certaines des applications citées en exemple dans le livre blanc de l'équipe ont vu leur nom édité pour protéger leurs utilisateurs. Des détails supplémentaires sur cette recherche sont disponibles dans un article de recherche intitulé "Automatic Uncovering of Hidden Behaviors FromInput Validation in Mobile Apps", publié par des chercheurs de l'Université d'État de l'Ohio, de l'Université de New York et du Centre Helmholtz pour la sécurité de l'information de la CISPA en Allemagne.
Comme l'outil InputScore analysait les champs de saisie dans les applications Android, l'équipe universitaire a également découvert quelles applications utilisaient des filtres de mots indésirables cachés ou des listes noires à motivation politique. Au total, les chercheurs ont déclaré avoir trouvé 4 028 applications Android qui comportaient des listes noires de saisie.

Source : ZDNet.com

Quelle est la commande la plus puissante qui peut être utilisée pour détruire un ordinateur ?

Quelle est la commande la plus puissante qui peut être utilisée pour détruire un ordinateur ?

 

 

 

 

 

Libellés

PC, effacer, hdd, virus, Ordinateurs,

 

 

Loïc Boursin, Étudiant chez École Polytechnique de l’Université de Nantes (2017-présent)

par Jean-Philippe Brunet, Doctorat Sciences, Université Pierre et Marie Curie (1983)

 

Quentin Mallet, Master's degree Computer Science & Computer Security, University of Limoges (2018)

Original author

Cette réponse peut ne pas être une traduction fidèle de la réponse de Quentin Mallet à Quora en anglais : What is the most powerful command which can be used to destroy a computer?

 

 

J'ai donné cette commande à un ami qui m'avait posé cette question. Je lui ai d'abord dit de s'éloigner de son clavier, et de ne JAMAIS écrire ça sur un invite de commande de sa vie. Pour faire simple, il ne m'a pas cru et l'a fait quand même. Il s'est retrouvé avec un disque dur corrompu qui avait besoin d'une réinstallation complète du système d'exploitation.

ATTENTION : NE FAITES JAMAIS ÇA

sudo dd if=/dev/random of=/dev/sda

Je vous aurai prévenu. Cette commande écrirait instantanément des données aléatoires sur votre disque dur (/dev/sda) sans se soucier une seule seconde des systèmes de fichiers ou des partitions.

Vous n'aurez plus qu'à vous amuser à essayer de récupérer vos données. Et puis au final vous formaterez votre disque dur et vous devrez tout réinstaller…!

REF.:

Le cheval de Troie Emotet se propage maintenant par Wi-Fi

Sécurité : L'entreprise de cybersécurité BinaryDefense a découvert récemment ce qui semble être le plus dangereux module d'Emotet.

Libellés

virus, cheval de troie, WiFi,

Il ne fait aucun doute que le trojan Emotet est aujourd'hui la principale menace parmi les logiciels malveillants, tant en termes de quantité (en raison de ses énormes campagnes de spam) que de risque (en raison de son historique : des gangs de ransomware ont pu acheter eux-mêmes l'accès à des réseaux infectés).
Historiquement, Emotet mettait le pied dans une entreprise grâce à des employés négligents qui ouvraient des documents Office piégés qu'ils avaient reçus par e-mail. Une fois le poste infecté, le cheval de Troie Emotet téléchargeait différents modules afin de se propager latéralement au sein d'un réseau.
Ces dernières années, ce "mouvement latéral" était limité, Emotet étant confiné aux seuls ordinateurs et serveurs se trouvant sur le même réseau. Les entreprises ayant mis en œuvre une segmentation de réseau appropriée étaient généralement en mesure de limiter la portée d'une attaque Emotet à quelques départements ou à quelques ordinateurs.

publicité

Le nouveau "Wi-Fi Spreader" de Emotet

Toutefois, dans un billet publié la semaine dernière, des chercheurs en sécurité de BinaryDefense ont fait une découverte assez importante qui risque de causer un peu de stress à de nombreux administrateurs système dans un avenir proche. À savoir, un module Emotet qui, dans certaines circonstances, peut passer d'un réseau Wi-Fi à ses réseaux voisins.
Le nouveau module de propagation par Wi-Fi d'Emotet, de son nom "Wi-Fi Spreader", ne garantit pas un taux d'infection de 100 %. En effet, il repose sur l'utilisation de mots de passe faibles sur les réseaux Wi-Fi. Cependant, il ouvre un nouveau vecteur d'attaque au sein des entreprises infectées que les pirates d'Emotet peuvent exploiter pour maximiser sa portée. Ainsi, les ordinateurs infectés par Emotet ne constituent désormais plus seulement un danger pour le réseau interne de l'entreprise infectée, mais aussi pour les réseaux de toute entreprise se trouvant à proximité.
Alors si une personne proche de vous (en termes de localisation) a été infectée et que vous utilisez un mot de passe Wi-Fi non sécurisé, vous risquez de recevoir un colis indésirable signé Emotet.

Le fonctionnement du module

Avant de nous intéresser à l'importance du module et de ses conséquences pour les entreprises, voici comment fonctionne le "Wi-Fi Spreader" d'Emotet :

• Emotet infecte un hôte.
• Le malware télécharge et fait fonctionner le module Wi-Fi Spreader.
• Wi-Fi Spreader répertorie tous les appareils Wi-Fi activés chez l'hôte (généralement le NIC WLAN).
• Le module extrait la liste de tous les réseaux Wi-Fi accessibles localement.
• Wi-Fi Spreader attaque frontalement chaque réseau Wi-Fi en utilisant deux listes internes de mots de passe simples à deviner.
• Si l'attaque réussit, le module a désormais un accès direct à un autre réseau, mais il ne peut pas encore s'introduire sur un serveur ou un poste de travail du nouveau réseau.
• Alors, il passe à une seconde attaque frontale en essayant de deviner les noms d'utilisateur et les mots de passe des serveurs et des appareils connectés à ce réseau Wi-Fi.
• Si la deuxième attaque réussit, Emotet s'infiltre sur un deuxième réseau, et le cycle d'infection du logiciel malveillant recommence depuis le début.

Selon BinaryDefense, ce module de diffusion par Wi-Fi ne fonctionne pas sous Windows XP SP2 et Windows XP SP3, le module utilisant des fonctions trop récentes. Ils datent le module de diffusion Wi-Fi du 16 avril 2018, ce qui suggère qu'il a été développé il y a presque deux ans. Malgré tout, il semble qu'il n'ait été largement déployé que récemment. Ou en tout cas il n'a pas été détecté jusqu'à la découverte de cette équipe.

Les conséquences en entreprise

La découverte de ce nouveau module Emotet est une nouvelle importante à plusieurs niveaux : elle concerne la sécurité du réseau Wi-Fi bien sûr, mais aussi les espaces de travail partagés et le travail de réponse aux incidents.

Sécuriser le réseau Wi-Fi

Il n'est pas rare que les entreprises utilisent un mot de passe assez simple à retenir, le but étant de maintenir la connectivité internet disponible pour tous les employés. Malheureusement, les administrateurs système ne peuvent plus se permettre d'utiliser des mots de passes non sécurisés, depuis la découverte de ce nouveau module qui peut très vite se propager de réseau en réseau.

Faire attention aux espaces de travail partagés

Toutes les entreprises ne disposent pas d'un siège social qui leur est propre. Or, si vous travaillez dans un immeuble partagé entre plusieurs sociétés, avec des réseaux Wi-Fi à portée, votre entreprise est potentiellement en danger, même si aucun de vos collaborateurs n'a été en contact direct avec Emotet.

Réponse à incident

Le fait qu'Emotet arrive sur le réseau via le Wi-Fi va très probablement compliquer de nombreuses enquêtes sur les réponses aux incidents, le Wi-Fi n'étant pas un vecteur d'attaque traditionnel, ni pour Emotet ni pour les autres malwares.

Sécuriser les mots de passe Wi-Fi

Souvent, les entreprises utilisent des mots de passe non sécurisés pour les réseaux Wi-Fi internes, car elles savent que seuls les employés pourront y accéder. Il faut être conscient qu'avec cette nouveauté du logiciel malveillant Emotet, les mots de passe basiques deviennent une faille de sécurité. BinaryDefense a insisté dans son rapport publié la semaine dernière sur le fait qu'Emotet a largement développé ses capacités d'attaque.
BinaryDefense conseille aux entreprises de prendre des précautions en sécurisant les réseaux Wi-Fi avec des mots de passe forts, car c'est le moyen le plus simple de se défendre contre le nouveau module Wi-Fi d'Emotet.

Source.: ZDNet.com

Attention à la charge d’appareils par USB dans les lieux publics

Libellés

malware, virus, USB, Smartphones,

 

 

 

 

À Los Angeles, on semble prendre la chose au sérieux, et on incite les voyageurs à ne pas utiliser ce type de charge.

Le bureau du procureur du comté de Los Angeles a partagé il y a quelques jours un mise en garde au sujet de la charge publique par USB. L’alerte déconseille aux personnes d’utiliser cette méthode pour recharger leur smartphone ou ordinateur lors de leurs déplacements dans des hôtels ou des aéroports.

Cela, afin de les avertir du risque de « juice jacking », une forme d’attaque qui installe des logiciels malveillants ou vole directement des données sur l’appareil connecté.

À lire aussi : Six hackeurs sont désormais millionnaires grâce à HackerOne, légalement !

Mieux vaut utiliser une simple prise électrique

Cette forme de piratage n’est possible que si le port utilisé lors de la charge permet également le transfert de données. Par conséquent, pour s’en prémunir, il suffit de privilégier une recharge via une simple prise électrique dans les lieux publics. L’autre solution est bien sûr d’investir dans une batterie externe pour son smartphone, ou même de s’équiper d’un câble USB uniquement capable de faire passer l’alimentation, sans prendre en charge les données.
On ignore si une recrudescence de ce genre de fraudes a motivé ce communiqué. Mais dans tous les cas, autant rester prudent.



REF.:

Un adware caché derrière certains contenus illégaux

Libellés

malware, virus, Android,

 

 

 

 

Il y a quelques jours, les chercheurs en sécurité de MalwareBytes ont découvert un virus qui se balade sur internet, et qui affecte les terminaux Android, pouvant les rendre inutilisables…

Le virus provient d’un store alternatif

Sur Android, il existe des centaines d’applications qui proposent des stores alternatifs, pour télécharger des applications à la base payantes, totalement gratuitement par exemple. L’un de ces stores propose de télécharger illégalement des films; et c’est là que le virus se cache. Il est livré avec les contenus illégaux téléchargés comme Hulk, Les Gardiens de la Galaxie, ou encore Le Joker. Le programme malveillant se présente comme un bloqueur de publicité, à la manière d’AdBlock ou du uBlock Origin. Cependant, celui-ci ne bloque pas les pubs, mais en affiche énormément, jusqu’à rendre inutilisable le terminal. Le smartphone infecté présente également une altération de la batterie. Pour l’instant, ce malware est uniquement présent aux États-Unis, mais il est possible qu’il arrive rapidement jusqu’en Europe, attention donc à vos terminaux !

Un malware difficile à supprimer

Pour supprimer ce virus, la tâche n’est pas aisée. En effet, le faux bloqueur de publicité se présente comme une application grisée, qui passe inaperçue pour les utilisateurs non avertis. Les notifications sont également invisibles, bien que présentent. Pour supprimer le malware, il faut aller dans les paramètres, puis dans la liste d’applications, où vous trouverez une icône grisée, qui semble désactivée, mais qui prend bien de l’espace dans votre smartphone. Les AdWares sont très fréquents sur Android, de par la faible sécurité du système d’exploitation, qui permet l’installation d’applications externes aux stores officiels (comme le Play Store par exemple). En tout cas, la rigueur est de mise, surtout lors de l’utilisation d’applications qui servent à télécharger illégalement des contenus protégés par le droit d’auteur…


REF.:

Ransomware : les criminels voulaient 5,3 millions, la ville n’avait que 400 000 dollars à offrir

Libellés

ransomwares, virus, hackers

 

 

 

Sécurité : Les fonctionnaires de la ville américaine de New Bedford ont finalement décidé de restaurer à partir de sauvegardes après l'échec des négociations.

Un gang de cybercriminels a tenté d’obtenir le paiement d’une rançon de 5,3 millions de dollars auprès de la ville de New Bedford, dans le Massachusetts aux États unis. La ville a finalement choisi de restaurer à partir de sauvegardes après que les pirates aient rejeté une contre-offre plus modeste de seulement 400 000 dollars.
L'incident s'est produit début juillet, mais les détails ont été gardés secrets jusqu'à aujourd'hui. Le maire de New Bedford, Jon Mitchell, a tenu une conférence de presse détaillant les efforts déployés par la ville pour gérer les retombées de l'infection par le ransomware.

Seulement 4% du réseau informatique de la ville touché

Selon le maire Mitchell, le ransomware a touché le réseau informatique de la ville dans la nuit du 4 au 5 juillet.
Selon un rapport publié la semaine dernière par Fidelis Security, un groupe de pirates informatiques s’ets infiltré sur le réseau informatique de la ville et a installé Ryuk, un type de ransomware utilisé lors d'attaques ciblées, qui constitue la souche la plus répandue dans le monde des ransomwares.
Le maire Mitchell a déclaré que les ransomwares s’étaient répandus sur le réseau de la ville et avaient procédé au chiffrement des fichiers sur 158 postes de travail, ce qui représentait 4% du parc informatique total de la ville.
Les choses auraient pu être bien pires, a déclaré le responsable, mais des assaillants ont frappé la nuit lorsque la plupart des systèmes de la ville étaient éteints, ce qui a limité la propagation du malware.

Une rançon absurde

Le personnel informatique de la ville a découvert le logiciel ransomware le lendemain en arrivant au travail. Les employés ont rapidement déconnecté les ordinateurs infectés du réseau de la ville et de contenir l'infection avant qu'elle ne cause encore plus de dégâts.
"Alors que l'attaque était toujours en cours, la ville, par l'intermédiaire de ses consultants, a contacté les attaquants, qui avaient laissé une adresse électronique", a déclaré le maire Mitchell lors d'une conférence de presse.
"L'attaquant a répondu par une demande de rançon, précisant qu'il fournirait une clé de déchiffrement pour déverrouiller les fichiers en échange d'un paiement en Bitcoins de 5,3 millions de dollars", a-t-il ajouté.
La ville n'a pas payé, principalement parce qu'elle n'avait pas les fonds nécessaires. Si c’était le cas, cela aurait constitué le plus important paiement de rançon de ransomware jamais effectué, dépassant ainsi le record précédent de 1 million de dollars, détenu par une société d’hébergement Web sud-coréenne.
Même s’ils savaient qu’ils ne pourraient pas payer, le maire Mitchell a déclaré que la ville avait décidé d’engager une conversation avec les pirates informatiques afin que le personnel informatique dispose de plus de temps pour renforcer les défenses de la ville et protéger son réseau au cas où les attaquants prendraient d’autres mesures, en plus de l'exécution de ransomware.
"Compte tenu de ces considérations, j'ai décidé de faire une contre-offre en utilisant notre assurance d'un montant de 400 000 dollars, montant que je jugeais conforme aux rançons récemment versées par d'autres municipalités", a déclaré le maire Mitchell. "L'attaquant a refusé de faire une contre-offre, rejetant complètement la proposition de la ville."
À ce moment-là, réalisant que les pirates informatiques ne négocieraient pas, le maire de New Bedford a déclaré avoir décidé de restaurer à partir de sauvegardes.
La décision de la ville de restaurer à partir de sauvegardes a été facile, en raison du faible nombre de systèmes infectés et du fait qu'aucun système critique n'avait été affecté par le malware. La situation de la ville n’était pas aussi délicate que dans d’autres municipalités, ou plusieurs services critiques avaient été rendus inutilisables par des attaques informatiques.
La conférence de presse complète du maire Mitchell est disponible ci-dessous, avec l'aimable autorisation de The Standard-Times, dont les journalistes ont également publié l'histoire plus tôt aujourd'hui.
Au cours des derniers mois, les villes américaines ont été une cible privilégiée pour les gangs de ransomwares. Vous trouverez ci-dessous quelques-unes des affaires les plus médiatisées qui ont touché les municipalités américaines:    

• Plus de 20 gouvernements locaux du Texas impliqués dans une "attaque de ransomware" coordonnée    
• Le gouverneur de Louisiane déclare l'état d'urgence après une épidémie de ransomware   
• Une ville de Floride verse 600 000 dollars à un gang de cybercriminels pour récupérer ses données    
• Une deuxième ville de Floride paie une rançon pour récupérer ses données    
• Le comté de Georgia verse 400 000 dollars pour se débarrasser d'une infection par un ransomware

Une récente enquête de ProPublica a révélé que les sociétés d'assurance alimentaient l'économie du ransomware en conseillant aux villes de payer des demandes de rançons plutôt que de reconstruire des réseaux informatiques, car les rançons se révèlent moins coûteuses pour les sociétés d'assurance.
Cette augmentation du nombre de paiements a redonné une nouvelle jeunesse au secteur des ransomware, attirant de nouveaux acteurs vers cette activité lucrative, et ce bien que celui-ci ait connu l’année dernière un creux en termes d’activité.
Source.: Ransomware gang wanted $5.3 million from US city, but they only offered $400,000

revcandep.com : Hameçonnage par texto a propos de Revenu Canada

revcandep.com n'existe pas et n'est pas un site de revenu canada,avec un numéro de téléphone de la nouvelle-écosse ! Tout comme dep-e.info n'est pas un site de l'ARC(le messsage inscrit toujours le même montant de 328.67$). Et virusTotal commence a le détecter !!!

Serving IP Address

181.174.166.150

The PTR is host-181-174-166-150.offshoreracks.com. The IP number is in Panama. It is hosted by Proxy Entry for Customer.

We investigated four host names that point to 181.174.166.150. Example: canv-dep.com, revcandep.com, canvdep.com and revdepcanver.com.

 

Libellés

hameçonnage, virus, Hackers, textos, sms

À bas l’arnaque – Protégez-vous contre la fraude

L'ARC ne fera jamais les choses suivantes :

• organiser une rencontre dans un lieu public pour que vous lui fassiez un paiement en personne;
• exiger que vous lui fassiez immédiatement un paiement par virement Interac, au moyen de bitcoin, de carte de crédit prépayée ou de carte-cadeau de commerçants, comme iTunes, Amazon ou tout autre;
• vous menacer de vous faire arrêter ou emprisonner.

Par message texte/messagerie instantanée

L'ARC n'envoie jamais de messages texte aux contribuables et n’utilise jamais de programmes de messagerie instantanée tels que Facebook Messenger ou WhatsApp, peu importe les circonstances. Si vous recevez un message texte ou un message instantané provenant supposément de l'ARC, c'est une arnaque!

L'hameçonnage est un stratagème de fraude qui consiste à envoyer massivement des courriels ou des textos semblant provenir d'une institution financière ou d'une entreprise connue.
Ces courriels et textos sont utilisés par des personnes mal intentionnées pour voler vos informations personnelles ou installer un logiciel malveillant sur votre ordinateur, en vous incitant à cliquer sur des liens ou à ouvrir des fichiers joints.
Les conséquences potentielles de ce type d'attaque peuvent s'avérer importantes : perte de vos données, accès non autorisés ou vol de vos informations confidentielles dans le but de commettre des fraudes.
La vigilance et la reconnaissance des courriels et des textos d'hameçonnage permettent de vous protéger de ces conséquences. Un courriel ou un texto d'hameçonnage peut prendre plusieurs formes, mais sa caractéristique principale est d'être non sollicité.


REF.:

Une version malveillante de TeamViewer utilisée dans des attaques informatiques

Libellés

virus, Teamviewer, Hackers

 

 

Sécurité : Le logiciel de bureau à distance est détourné de son usage initial par des cybercriminels qui s’en servent à des fins malveillantes. 

Une nouvelle attaque exploitant une version détournée de Teamviewer a été identifiée par des chercheurs en sécurité. L’opération se concentre sur le vol d'informations financières appartenant à des cibles gouvernementales et financières en Europe et au-delà.

 

Des chercheurs de Check Point ont déclaré lundi que la campagne ciblait spécifiquement les responsables des finances publiques et les ambassades en Europe, mais aussi au Népal, au Kenya, au Libéria, au Liban, en Guyane et aux Bermudes.
Le vecteur d'infection commence par un courrier électronique de phishing contenant une pièce jointe malveillante prétendant être un document "Top Secret" en provenance des États-Unis.
Le courrier électronique envoyé aux victimes potentielles contient la ligne d'objet "Programme de financement militaire" et le document .XLSM joint au message a été conçu avec un logo du département d'État américain dans le but de paraître crédible.
Si une cible télécharge et ouvre la pièce jointe, il lui est demandé d'activer les macros, une méthode très utilisée par les attaquants pour accéder au système de la victime. Dans ce cas, deux fichiers sont extraits: un programme AutoHotkeyU32.exe légitime et une DLL TeamViewer illicite.
Le programme AutoHotkeyU32 est utilisé pour envoyer une demande POST au serveur de contrôle de l'attaquant, ainsi que pour télécharger des scripts AHK capables de prendre une capture d'écran du PC cible et de voler les informations de l'ordinateur qui sont ensuite envoyées au serveur de contrôle.
TeamViewer est un logiciel bien connu, souvent utilisé dans l'entreprise pour conserver un accès à distance aux PC et profiter de fonctionnalités de partage d’écran à distance. Cependant, compte tenu de ses capacités, le logiciel est aussi malheureusement utilisé par les attaquants et les fraudeurs pour obtenir un accès frauduleux aux systèmes.
Dans ce cas, le logiciel a été transformé en arme. La variante malveillante est exécutée via le chargement de la DLL et contient des fonctionnalités modifiées, notamment le masquage de l'interface TeamViewer (afin que les victimes ne se rendent pas que le logiciel, est en cours d'exécution), mais également la possibilité d'enregistrer les informations d'identification de la session TeamViewer dans un fichier texte, ainsi que le transfert et l’exécution de fichiers .exe et dll supplémentaires.
Cela expose les systèmes des victimes au vol de données, à la surveillance et potentiellement à la compromission des comptes en ligne. Les entités gouvernementales ciblées étant souvent basées dans le secteur de la finance, ce qui suggère que les acteurs de la menace ont une motivation financière plutôt que potentiellement politique.

Une méthode déjà identifiée auparavant

Les principales cibles de la campagne sont des acteurs du secteur financier public et le programme a été lié à des attaques passées supposées être l'œuvre du même groupe de cybercriminels.
Les précédents cas utilisaient également une version modifiée de TeamViewer, mais le vecteur d'attaque initial a changé. En 2018, par exemple, des archives auto-extractibles ont été utilisées plutôt que des documents malveillants activés par AutoHotKey. De fausses images, utilisant par exemple des contenus volés au ministère des Affaires étrangères du Kazakhstan et réadaptés, étaient utilisées.
Les témoignages des campagnes précédentes suggèrent également que les russophones étaient ciblés. En outre, la DLL malveillante TeamViewer a été adaptée au fil du temps, passant du simple vol d’information à une infrastructure plus moderne.
Les chercheurs disent qu'il est prouvé que le groupe qui se cache derrière cette campagne est russe, grâce à un avatar connecté à un utilisateur du forum russe appelé EvaPiks.
On pense que l’internaute identifié est, à tout le moins, le développeur des outils utilisés dans la campagne et que l’historique du pirate informatique en question renvoie aux forums de « carding » - l'exploitation et l'échange d'informations financières volées, telles que les données de cartes de crédit.
Selon le Département de la justice des États-Unis (DoJ), le carding a évolué au cours des dernières années (.PDF) pour faciliter non seulement la fraude financière, mais aussi pour financer le terrorisme et le trafic de drogue.
Source. : Trojanized TeamViewer used in government, embassy attacks across Europe

Un étudiant détruit 58 000 $ d’équipement informatique avec un dispositif USB Killer

 

 

Libellés

virus, USB Killer

Il existe de nombreuses façons de détruire un ordinateur, vous pouvez lui taper dessus, l'asséner d'attaques DDoS ou encore lui refiler un bon vieux virus. Dans le cas de Vishwanath Akuthota, ancien étudiant de 27 ans du Collège de Sainte-Rose à Albany dans l'État de New-York, il aura choisi d'utiliser un dispositif USB killer.

Selon le ministère américain de la Justice, Akuthota a décidé de détruire l’équipement informatique de son école avec un USB killer :
« USB Killer est un dispositif, ressemblant à une clé USB, qui détruit les composants physiques de n’importe quel appareil auquel il est connecté. Il est alimenté directement par le port USB. Il emmagasine de l’énergie dans ses condensateurs jusqu’à ce qu’ils atteignent une haute tension, puis il rejette du courant à haute tension dans l’appareil auquel il est connecté. L’appareil a été conçu pour tester la capacité des composants à se protéger des surtensions. » – Wikipédia
Pour une raison qui ne regarde que lui, l’homme a choisi de filmer son « exploit », prouvant ainsi qu’il avait réussi à détruire pas moins de 66 ordinateurs (58 000 $ de dommages). Il sera évidemment jugé – le 12 août 2019 – et s’il est reconnu coupable, encoure jusqu’à 10 ans de prison et pas moins de 250 000 dollars d’amende… 

REF.:

Virus : Attaque contre TSMC ,circulez, y’a rien à voir ?

Attaque contre TSMC : Circulez, y’a rien à voir ?

 

Libellés

cpu, WannaCry, virus, iPhone, TSMC, Hackers

 

Sécurité : Le fondeur TSMC a annoncé un retour à la normale de sa chaîne de production, affectée par une attaque informatique. Producteur de processeurs pour de nombreux acteurs et constructeurs, dont Apple, TSMC est aujourd’hui une cible de choix pour les cybercriminels

Par Louis Adam | Lundi 06 Août 2018

Mise à jour le 06/08 à 16h30 : Lors d'une conference de presse, les dirigeants de TSMC ont donné un peu plus de détails sur l'attaque. Comme le rapporte Zdnet.com, le virus en question était une variante de WannaCry, qui se serait activée suite à l'installation d'un logiciel n'ayant pas été vérifié. De nombreux postes opérationnels utilisés par la chaine de fabrication de TSMC utilisent encore Windows 7 comme système d'exploitation et ne disposent pas du correctif permettant de bloquer la propagation du virus.
TSMC, tiré d’affaire ? C’est ce que laisse entendre le dernier communiqué publié par le fondeur, qui annonce avoir repris le contrôle de sa chaîne de production affectée par « un virus » comme l’avait annoncé la société dans un communiqué publié hier. L’information avait été initialement publiée par l'agence Bloomberg, qui dans un article publié vendredi faisait savoir qu’un virus avait infecté plusieurs systèmes informatiques de TSMC et avait bloqué la chaîne de production de la société taïwanaise. Selon la directrice du groupe, c'est la première fois qu'une attaque informatique vient directement affecter les capacités de production de la société.

Dans un communiqué publié hier, TSMC confirme l’information de Bloomberg et explique que « 80% des outils de l’entreprise ont pu être rétablis » à la mi-journée, et que la société espère un retour à la normale complet dans la journée de lundi.
TSMC ne donne pas beaucoup de détails sur la nature exacte de l’attaque ayant affecté ses systèmes. La société se contente de designer « un virus » comme l’origine de l’attaque. TSMC blâme « une mauvaise manipulation ayant eu lieu pendant l’installation d’un nouvel outil logiciel, qui a permis à un outil de se répandre dans le système informatique une fois l’outil connecté au système. »
Pas de précision sur le type de virus en question ni sur les dégâts que celui-ci tentait de causer (vol, espionnage ou destruction de données) : TSMC préfère communiquer sur le fait que le problème est réglé et que le cours normal des opérations est en train de reprendre.
TSMC a pourtant des raisons de s’inquiéter. Les derniers mois ont montré une recrudescence des attaques informatiques visant la chaîne d’approvisionnement des constructeurs plutôt que les utilisateurs ou les terminaux.
On peut ainsi rappeler le cas de CCleaner, dont l’utilitaire de désinfection avait été victime d’une mise à jour malveillante modifiée par des cybercriminels afin de diffuser des malwares sur des systèmes informatiques appartenant à plusieurs acteurs du secteur informatique.
TSMC fournit également de nombreux acteurs en puces électroniques : Apple est souvent cité parmi ses clients, mais c’est aussi le cas d’ATI ou Nvidia qui se fournissent chez TSMC pour construire leurs produits. Le système informatique et la chaîne de production de TSMC sont donc une cible de choix pour les cybercriminels qui chercheraient à toucher ces différentes sociétés en visant le point commun entre ces entités.

A lire aussi :

iPhone : les puces de nouvelle génération 7 nm entrent en production

 

REF.:

Virus: KODI-TV Add-on : Rampant Kodi Malware? Il est temps de mettre en place ou de fermer

Le président de la fondation XBMC, le groupe derrière Kodi, a déclaré à TorrentFreak qu'au moins autant qu'il sache, une telle chose n'existe pas. "Je n'ai jamais entendu parler de logiciels malveillants dans un flux vidéo. Je pense que tout est possible, mais à ma connaissance, il n'y a pas eu de rapport à cet effet », a déclaré Betzen.
 Bogdan Botezatu, analyste senior des menaces électroniques chez BitDefender, a également déclaré à TorrentFreak qu'il n'avait rien vu de tel dans la nature. "La vidéo malformée pourrait tirer parti des vulnérabilités du lecteur, mais je ne suis pas au courant de ces attaques qui se produisent dans la nature", a déclaré Botezatu, "la dernière fois que j'ai vu des vidéos malveillantes distribuées via des sites torrent. "Trojan.Wimad était un cheval de Troie découvert en 2005 qui était capable de télécharger des fichiers distants à partir de sites Web en exploitant la technologie DRM (Digital Rights Management) disponible dans Windows. 
 Le cheval de Troie est entré sur les ordinateurs des utilisateurs sous la forme d'un fichier vidéo protégé par licence. Les utilisateurs de Kodi ne s'y intéressent certainement pas et, de toute façon, les boîtiers Kodi basés sur Android ne sont pas affectés. 

Ainsi, en dehors de l'incident d'addon qui a duré une semaine en 2017, nous n'avons jamais entendu parler d'attaque de malware Kodi dans la nature. Betzen nous a dit qu'il avait entendu parler d'un cas où un mineur de pièces s'était répandu via un code tiers, mais c'est aussi un problème pour des milliers de sites grand public. 

Tout cela étant dit, nous ne sommes pas connus comme experts en sécurité. »Malheureusement, nous n'avons observé aucun risque lié aux logiciels malveillants liés à Kodi dans la nature», explique Stefanie Smith, directrice des communications d'AVAST, à TorrentFreak.

Bogdan Botezatu de BitDefender. "L'année dernière, Kodi a fait l'objet d'une grande attention et la plupart des" risques de sécurité "sont liés au fait que certains ajouts permettent aux utilisateurs de diffuser des contenus directement sur les sites Web. L'expert de BitDefender nous a cependant fait part d'un avis de sécurité de CheckPoint qui détaille une faille logicielle affectant Kodi, VLC et d'autres "Kodi 17.1 était connu pour être vulnérable à un bug d'analyse de sous-titres qui permettait à un attaquant de contrôler à distance la boîte de Kodi. C'est l'une des menaces les plus sérieuses que je connaisse, car des tierces parties pourraient truquer des sous-titres téléchargés dans divers dépôts et cela passerait inaperçu pendant un moment ", a-t-il dit. Bien que cette vulnérabilité aurait pu être utilisée à des fins infâmes jamais exploité à l'état sauvage. Et, en commun avec toutes les plateformes responsables, Kodi et tous les autres intervenants (VLC)ont corrigé le problème avant que tout dommage ne puisse être causé. 

En parcourant notre liste de fournisseurs, TorrentFreak a également demandé à Symantec s'ils avaient déjà rencontré un logiciel malveillant Kodi. La société nous a dit qu'ils n'avaient rien à signaler pour le moment mais qu'elle avait mis en évidence la même vulnérabilité de sous-titre que BitDefender. Pour être clair, les vulnérabilités peuvent affecter n'importe quel logiciel, y compris Windows, mais cela ne les rend pas dangereux pour le consommateur. Cependant, en écoutant les industries du divertissement et celles qui sont alignées avec elles, l'utilisation de Kodi présente un danger de malware actif et sérieux pour le public, mais avec une preuve presque nulle à l'appui. Minder lui-même n'a pas répondu à notre demande d'élaboration, mais nous avons réussi à obtenir une copie d'une présentation que sa société avait préparée pour la Conférence des procureurs généraux des pays de l'Ouest, détaillant les prétendues menaces Kodi. Le document, daté de mai 2018, permet une lecture intéressante.

Parallèlement aux allégations selon lesquelles les logiciels malveillants Kodi sont disponibles sur le web noir(DarkNet), les diapositives de présentation montrent une publicité découverte sur le marché caché de «Dream Market». L'annonce propose des abonnements à un service IPTV illégal, mais il est en fait un qui est facilement accessible sur le web ouvert régulier. Peut-être le plus important, il n'y a aucune mention de malware n'importe où sur la diapositive. IPAD Web, mais pas de malware La diapositive suivante s'est révélée intéressante puisqu'elle couvre un sujet publié ici sur TorrentFreak début 2018. 
Nous avons révélé comment certaines configurations Kodi sont accessibles par des tiers si les utilisateurs ne font pas attention aux paramètres de l'interface Web de Kodi. Bien que ce soit un problème connu, cela n'a rien à voir avec les logiciels malveillants. 

Enfin, la dernière diapositive avait ceci à dire à propos de Kodi et des addons Kodi tiers. "À l'insu du consommateur, ces add-ons tiers introduisent [utilisateurs] aux risques tels que les violations de droits d'auteur, les logiciels malveillants, la divulgation d'adresses IP et le comportement d'Internet, et la perte de la confidentialité de leurs communications », peut-on lire dans la diapositive. la revendication de logiciels malveillants omniprésente n'est pas soutenue et disponible publiquemen.

L'information indiquant qu'un tel événement s'est produit plus d'une fois ou deux fois. Pour mettre cela en perspective, l'Institut AV-TEST dit qu'il enregistre plus de 250 000 nouveaux programmes malveillants chaque jour. En outre, les adresses IP sont toujours divulgués quel que soit le contenu auquel les utilisateurs accèdent en ligne, ce qui est également discutable. la confidentialité des communications. 

 De plus, GroupSense a plus à ajouter. "De plus, la communication entre leur application Kodi et les modules complémentaires tiers est non cryptée et non authentifiée, ce qui signifie qu'un attaquant peut introduire du code malveillant dans le flux de communication ou compromettre le module tiers. avant que le destinataire (consommateur) ne reçoive les données; infectant ainsi leur dispositif pour incorporer dans un botnet ou voler des informations privilégiées telles que les informations d'identification de l'utilisateur. "Nous avons présenté ces revendications à TVAddons, le plus grand référentiel d'addons tiers au monde et le développeur de nombreux, passés et présents. Ils n'ont pas été impressionnés par les revendications. "Cet argument est tout à fait le bout droit.  
Techniquement, la même chose s'applique à tout site Web que vous visitez et qui n'utilise pas HTTPS forcé. Presque tous les référentiels non officiels sont hébergés via GitHub, ce qui force le chiffrement ", a déclaré le site. Les" boîtes Kodi "sont utilisées sur les réseaux domestiques, et non sur le Wi-Fi public. Au moment où quelqu'un pourrait effectuer une attaque [Man-in-the-Middle] sur votre boîtier Kodi, cela signifierait qu'ils auraient déjà dû compromettre votre routeur. Si quelqu'un venait à traverser tout ça, il pourrait probablement faire beaucoup plus de dégâts sans même envisager d'exploiter Kodi. "De plus, la plupart des utilisateurs utilisent Kodi sur leurs boîtes de médias, où peu ou aucune information privilégiée serait présente".  

Soyons clairs: chaque pièce de matériel et de logiciel, qu'elle soit en ligne ou hors ligne, peut être exploitée d'une manière ou d'une autre par des joueurs malveillants ou simplement par des curieux. Cependant, l'affirmation persistante selon laquelle les utilisateurs de Kodi sont en quelque sorte sous attaque malveillante constante n'est confirmée par aucune information disponible publiquement. En effet, l'un des fournisseurs anti-piratage les plus populaires au monde d'AVAST indique qu'ils n'ont aucun antécédent de malware Kodi . Et Marius Buterchi, responsable des relations publiques au très respecté BitDefender, ne pouvait pas non plus nous pointer vers des instances spécifiques. "Je viens de parler avec les gars de la Lab et ils m'ont dit qu'ils n'avaient pas vu de logiciels malveillants Kodi dans le "Avec cela, il semble maintenant le moment idéal pour mettre en place ou taire en raison de" malware Kodi. "S'il y a des logiciels malveillants là-bas affectant les utilisateurs de Kodi, les entreprises de sécurité et de divertissement faisant ces les revendications devraient les étayer par des preuves solides car, en l'état, les histoires d'horreur semblent conçues pour effrayer les masses, plutôt que de les protéger. Les avantages de la divulgation complète, détaillant les NOMS EXACTS du malware, QUAND ils ont été découverts et par qui et, ce qu'ils font EXACTEMENT, serait double. Tout d'abord, l'objectif de faire fuir les gens de Kodi aurait plus d'impact, puisque les preuves de malware seraient difficiles à ignorer. Ce serait un gros plus pour les industries du cinéma et de la télévision qui se préoccupent à juste titre de protéger leur entreprise.  

Deuxièmement, et tout aussi important, les utilisateurs de Kodi pourraient prendre des mesures pour se protéger, ce qui devrait être la première priorité de tout groupe. , ou une entreprise qui prétend agir dans le meilleur intérêt des consommateurs et du public en général. Dans cet esprit, nous comprenons que la Digital Citizens Alliance publiera un nouveau rapport sur les logiciels malveillants Kodi dans les semaines à venir. Peut-être contiendra-t-il des preuves concrètes de la présence continue du malware dans les médias. Nous serions certainement heureux de publier une liste spécifique et détaillée de toutes les variantes de logiciels malveillants qui ciblent spécifiquement les utilisateurs de Kodi. À ce stade, nous pouvons alerter les principaux fournisseurs d'antivirus et de logiciels malveillants qui semblent étrangement dans l'obscurité.

Mise à jour: Informations supplémentaires de Mikko Hypponen de F-Secure: «Nous avons dû faire quelques recherches, comme des logiciels malveillants basés sur Kodi n'est pas actuellement dans notre liste des choses les plus courantes. Il y a eu des cas publics avec des plugins majeurs changeant leur code pendant les processus de mise à jour pour exécuter quelque chose de hautement suspect / malveillant (par exemple Exodus créant un botnet DDoS). Mais en dehors de cela, nos découvertes ont été un peu courtes. »Apparemment, ceci a été soulevé à nouveau lors de la dernière conférence de RSA sur GroupSense (« Comment le malware progresse sur la plateforme Kodi / XMBC »). Malheureusement, la recherche elle-même n'est pas encore publique, donc nous ne pouvons pas évaluer l'ampleur de leurs résultats. " 

Les plugins Kodi les plus populaires que nous pouvons trouver semblent propres. Mais il y a au moins quelques plugins qui sont clairement malveillants mais qui ne semblent pas servir à d'autres fins réelles pour les utilisateurs de Kodi. Donc, des plugins malveillants qui semblent inutiles de toute façon. "De notre point de vue, cela ne semble pas être une menace majeure."


Qui n'aime pas KODI ? Les studios de cinéma et les sites de streaming !

Kodi Addons évite les popups, logiciels malveillants et le piratage de navigateur pour extraire la cryptomonnaie12/14/20170PARTAGER
Il n'y a qu'une chose que les studios de cinéma et les sites de streaming ont en commun: leur haine de Kodi. Tout le monde peut deviner pourquoi les studios de cinéma détestent Kodi, mais pourquoi les sites de streaming?  

La raison est simple: les sites de streaming ne font pas d'argent sur les utilisateurs de Kodi, pas un centime - jamais. En passant en revue les addons de Kodi, vous contournez efficacement toutes les formes de monétisation et de publicité; cela inclut la dernière forme de malware connue sous le nom de crypto-jacking, par laquelle la crypto-monnaie est extraite de votre navigateur Web sans votre consentement.
Quiconque a déjà essayé de diffuser la dernière émission de télévision en ligne a probablement connu des popups, des virus et G-d sait quoi d'autre. Les addons Kodi sont conçus pour récupérer du contenu utile à partir de sources en ligne, tout en laissant derrière lui tout le monde. Nous définissons "hooey" comme tout ce qui n'est pas absolument nécessaire à l'expérience de streaming: design web sophistiqué, publicités, promotions, offres upsell et popups. Kodi addons gratter la structure du site Web et les liens de diffusion, c'est tout.
Tandis que les addons de Kodi peuvent être excellents pour l'utilisateur, ils ne sont certainement pas bons pour les sites de streaming et les cyberlockers.  

La raison pour laquelle ces sites montrent des publicités, des popups et d'autres nuissances est qu'ils peuvent générer de l'argent pour garder leurs serveurs en ligne. La diffusion en continu de vidéos de haute qualité nécessite beaucoup de bande passante, et probablement pas trop facile sans revenus. Cela étant dit, nous sommes presque certains que ces sites génèrent suffisamment d'argent, il est donc inutile de risquer de s'exposer à des logiciels malveillants ou à des publicités fragmentaires, simplement pour leur jeter un os.
Il convient de noter que les sites de streaming et les cyber-lockers ne sont peut-être pas ceux qui diffusent directement le code malveillant et le code crypto-jacking, bien que vous puissiez soutenir qu'ils le facilitent effectivement. En raison de la nature de ces sites Web, ils ne peuvent pas utiliser les réseaux de publicité en ligne conventionnels, ils se tournent donc vers le côté sombre des publicités en ligne. Ils pourraient même ne pas savoir quel type d'annonces sont affichés à quels utilisateurs de leurs sites Web, il se pourrait que les mauvais acteurs ont trompé les réseaux publicitaires sans méfiance dans le service de leurs popups.
À la fin de la journée, vous êtes nettement plus sûr de streaming via les addons Kodi, par opposition à la visite des sites de streaming en ligne dans votre navigateur web. Hollywood pourrait essayer de détruire ces addons, mais en ce qui concerne l'expérience utilisateur, ces modules Kodi peuvent avoir évité à des millions de personnes d'être exposés à des logiciels malveillants, à des crypto-jacking, à des popups et à bien d'autres "hooey".

REF.:

Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc

Les antivirus utilisent des termes qui ne sont pas forcément bien connus des internautes.
Cet article énumère les catégories de logiciels malveillants avec une description pour chacun d’eux.
Pour rappel, il existe un autre article sur le forum : Index des menaces et programmes malveillants/Malwares

Table des matières [masquer]

• 1 Les généralités sur les menaces
• 2 Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, etc
  • 2.1 Virus
  • 2.2 Trojan ou Cheval de troie
  • 2.3 Backdoor ou porte dérobée
  • 2.4 Spywares
  • 2.5 Keylogger
  • 2.6 Worms ou vers informatiques
  • 2.7 Rootkit
  • 2.8 Rogues ou scarewares
  • 2.9 Ransomwares ou rançongiciels
  • 2.10 Adwares
  • 2.11 Les Browser Hijacker
  • 2.12 PUP
  • 2.13 Exploit et Drive-by download
  • 2.14 Malvertising
• 3 La nomenclature des antivirus
  • 3.1 Les familles de malwares
  • 3.2 Les détections génériques
• 4 Autres termes liés aux logiciels malveillants
  • 4.1 Dropper et Payload
• 5 Autres liens autour des logiciels malveillants

Les généralités sur les menaces

Les menaces informatiques sont diverses et évoluent dans le temps, surtout depuis les premières dans les années 70 et 80.
Si l’on peut catégoriser les menaces, la plupart du temps, un malware endosse plusieurs catégories.
Ainsi, un ransomware peut très bien voler les mots de passe dans l’ordinateur, ce qui fait de lui, à la fois un ransomware et un spyware.
Il ne faut pas donc pas penser qu’un logiciel malveillant peut-être classé dans une seule catégorie.
Si vous cherchez un historique de ce qui a pu se faire comme attaques de malwares jusqu’à nos jours, vous pouvez lire la page : Les virus informatiques : fonctionnement et protections

Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, etc

Virus

Les virus désignent les logiciels malveillants capables d’infecter les exécutables (fichiers .exe ou .dll).
Ce dernier va insérer du code dans le fichier exécutable qui au moment de l’exécution va charger le logiciel malveillant en mémoire.
A partir de là, ce dernier devient actif est infecte à son tour tous les exécutables qui seront ouvert par l’utilisateur.
Les virus sont arrivés arrivés très tôt, dans les années 70 et se propageaient par disquette, puis par la suite par des fichiers mis en ligne sur internet.
Les derniers virus informatiques les plus importants ont été Sality, Virut et Ramnit.
De nos jours, le terme Virus est détourné de son origine pour englober la totalité des menaces informatiques et logiciels malveillants sans distinction.
En anglais, le terme pour désigner les logiciels malveillants dans leurs intégralités est malware.

Trojan ou Cheval de troie

Le Trojan ou Cheval de troie est un logiciel malveillant caché dans un logiciel présenté comme légitime.
Il s’agit d’un parallèle avec l’attaque de la ville de troie où les soldats étaient cachés à l’intérieur du cheval donné en cadeau à la ville.
Cela a permis de faire entrer les soldats et contourner les murailles pour prendre d’assaut cette dernière.
Dans le cas d’un trojan, l’utilisateur pense télécharger un fichier sain comme un setup ou un crack, au moment du lancement, le trojan s’installe sur l’ordinateur.
Ce dernier possède alors des fonctionnalités malveillantes comme la possibilité de contrôler l’ordinateur à distance, enregistrer les frappes claviers (keylogger), envoyer des mails de spams, etc.
En général, la plupart des trojans font joindre l’ordinateur dans un botnet (réseau d’ordinateur zombis) pour contrôler ces derniers.
Cela permet de sous-louer ces ordinateurs pour mener des attaques, des scans ou envoyer des mails de spams.
Le fonctionnement d’un cheval de troie se compose :

1. d’un fichier qui est copié a un emplacement précis
2. un point de chargement de Windows pour charger le malware au démarrage de Windows.

Seul les Trojan FileLess et les trojans utilisant des injections de DLL fonctionnent de manière différentes, pour ce dernier, se reporter à la page : Trojan avancé : fonctionnement de cheval de troie plus complexe
Il existe donc des sous-catégorie de trojan, par exemple :

• Trojan.Spambot : est capable d’envoyer des mails de spams.
• Trojan.PWS ou Trojan.Stealer : est spécialisé dans le vol de mot de passe, par exemple les mots de passe des navigateurs internet et peut avoir des fonctions de keylogger.
• Trojan.Proxy transforme l’ordinateur en proxy afin de vendre ce dernier pour permettre aux cybercriminels de se cacher. Exemple sur cette page : BackDoor.Proxybox : Votre PC transformé en proxy
• Trojan Patched : ce dernier modifie un fichier système de Windows pour y insérer son code et être chargé par Windows.

Les liens du site autour des trojan :

• Comment fonctionnent les trojans
• Trojan RAT (Remote Access Tool)
• Trojan Banker : botnet spécialisé dans le vol de compte
• Trojan MSIL
• Les trojan bitcoin qui vise à faire miner l’ordinateur à l’insu de l’utilisateur pour générer des crypto-monnaies

Backdoor ou porte dérobée

Les backdoor sont des portes dérobées qui permettent de contrôler un ordinateur ou système.
Initialement, l’ordinateur visé était tourné en tant que serveur, c’est à dire que la backdoor ouvrait un port et le pirate pouvait s’y connecter.
De nos jours, la plupart des trojan ont des fonctionnalités de Backdoor afin de pouvoir contrôler l’ordinateur.
La plupart fonctionne en tant que client qui se connecte à un centre de contrôle (C&C : Command & Center) qui peut être un serveur WEB ou un serveur IRC (Backdoor.IRC).
A noter que les sites internet peuvent aussi être visés par des backdoor notamment à travers des Shell PHP que qui font partie de la catégorie des backdoor PHP : Détecter des backdoors PHP parmi ses fichiers
Les liens du site autour des backdoor :

• Backdoor.IRC : le couteau suisse
• BoSSaBoTv2 : another Linux Backdoor IRC
• Backdoor IRC évoluée : Rootkit
• Backdoor IRC (snk) vise Skype
• Backdoor.Perl.Shellbot.B et Backdoor.Linux.Tsunami.A
• Les Virus MSN étaient pour la plupart des backdoor IRC

Spywares

Les Spywares sont des logiciels espions.
Comme leur nom l’indique, ces derniers permettent d’espionner un utilisateur, cela peut aller de fonctionnalités de keylogger, le vol de mot de passe, à l’activation et Piratage de Webcam de la webcam.
Initialement dans les années 2000, les spywares n’étaient pas visés par les antivirus et on devait utiliser des logiciels comme Spybot ou Ad-aware pour les supprimer.
Les tracking cookies étaient aussi inclus dans ce type de menaces.
Cela a permis aux éditeurs d’antivirus de vendre des solutions supplémentaires sous le nom d’antispyware.
Mais à partir de 2005, la distinction est devenu intenable dans le sens où la plupart des menaces informatiques et trojan intègre des fonctions espions.
On peut tout de même distinguer plusieurs type de Spywares :

• Password Stealer : malware qaui vise à voler les mots de passe de l’ordinateur. Les mots de passe enregistrés dans le navigateur internet ou client FTP.
• Banking Trojan : Trojan spécialisé dans le vol de compte bancaire ou capable de modifier les pages du site de la banque pour falsifier les transactions.
• InfoStealer : Malware qui capable de voler toutes sortes d’informations connues dans l’ordinateur comme les nom d’utilisateur, mot de passe, adresse email, historique de surf, fichiers logs, informations systèmes, documents ou autres médias.
• Keylogger : enregistreur de frappes clavier, se reporter au paragraphe suivant.

De nos jours, la catégorie ou distinction n’existe plus vraiment entre les spywares et trojan.

Keylogger

Les keylogger sont des enregistreurs de frappes clavier qui ont pour but de récupérer des mots de passe.
Cela peut aussi servir pour espionner un utilisateur et classe donc ces menaces dans la catégorie spywares.
On distingue les keylogger logiciels qui sont des programmes tournant sur le système d’exploitation, des keyloggers matériels qui sont des dispositifs que l’on peut par exemple brancher à un clavier.
La plupart des trojans qui visent à voler des données ont des fonctionnalités de keylogger.

• Les keylogger ou enregistreur de frappes clavier
• Les anti-Keylogger pour se protéger des keyloggers 

Worms ou vers informatiques

Les vers informatiques ou worms en anglais sont des logiciels malveillants capables de se propager tout seul d’un ordinateur à l’autre.
C’est donc leur mode de propagation qui donne ce nom à ce type de menaces informatique.
On distingue grosso modo, deux types de vers informatiques :

• Les vers qui vont exploiter des vulnérabilités distantes, en envoyant des requêtes sur le réseau, ils vont pouvoir infecter des ordinateurs vulnérables. Les vers les plus connus sont Blaster ou Conficker.
• Les vers Worm.Autoruns ou Worm.VBS qui utilisent les médias amovibles (clés USB, disque dur externe, etc) pour se propager d’un ordinateur à l’autre. Se reporter à la page : Les virus sur clé USB.

2017 a connu le premier ransomware, Wannacry, avec des fonctionnalités de vers informatique pour infecter les ordinateurs : FAQ – WannaCry (WanaDecryptor) 
Enfin, pour plus d’informations sur ce type de menaces, suivre la page suivante : vers informatiques (worms) : description et fonctionnement

Rootkit

Les rootkits sont des logiciels malveillants connus pour leurs capacités à se dissimuler dans le système.
Les rootkits ont très vite existé sur Linux ou Windows.
On distingue en général deux types de rootkits :

• les rootkits kernel-mode qui dans le cas de Windows fonctionne avec un pilote / drivers
• les rootkits userland qui fonctionne au niveau utilisateur. Pour ceux qui ont connus courant l’adware Magic.Control possedait des fonctions de rootkit userlant, plus d’infos : Supprimer Magic.Control / egdaccess / Adaware.NaviPromo

Dans les deux cas le fonctionnement est le même, il s’agit de détourner les appels systèmes (Appel API) de Windows vers le rootkit.
Ce dernier va alors répondre et falsifier les réponses.
Par exemple, si une application fait un appel API pour obtenir la liste des processus Windows, le rootkit peut détourner l’appel pour retourner une liste sans le processus du rootkit.
Ainsi, le gestionnaire de tâches par exemple ne listera pas le processus malveillant.
Des rootkits kernel-mode peuvent détourner les appels systèmes liés aux systèmes de fichiers pour cacher un fichier de l’explorateur de fichiers ou interdire la suppression de ce dernier.

Pour ce dernier, ils ont explosés en 2005/2007 avec notamment des rootkits kernel-mode avec Rustock, Cutwail puis le malware TDSS et ZeroAccess.
Ces deux derniers ont été particulièrement actifs durant plusieurs années :

• Rootkit.TDSS TDL 4 (Trojan.Alureon)
• ZeroAccess / Sirefef.B / Rootkit.Win32.ZAccess / MAX++

Par la suite, les rootkits se sont attaqués au secteur MBR du disque pour se rendre actif très tôt au démarrage de Windows.
On appelle ces malwares les bootkits : Rootkit MBR (Bootkit) : comment détecter et supprimer
Certains adwares ont utilisés des fonctions rootkit comme Pilotes « bsdriver.sys » & « cherimoya.sys » : abengine
La suppression est donc plus complexe, il faut en général utiliser un outil dédiés comme TDSSKiller ou gmer.

Rogues ou scarewares

Les rogues ou scarewares sont des menaces qui ont été très importantes de 2004 à 2011.
Ces derniers ont été remplacés par les ransomwares de type Trojan Winlock.
Le mot scarewares peut se traduire par logiciel alarmant ou logiciel qui tente de faire peur.
Un rogue est programme qui tente de se faire passer pour légitime dans le but de faire acheter une licence.
Très longtemps, les rogues se sont fait passer pour de faux antivirus.
Le procédé était simple, un trojan vise à afficher de fausses alertes indiquant que l’ordinateur est infecté, tout en installant la partie Rogue.
Cette dernière va lancer des analyses de l’ordinateur et détecter toutes sortes de menaces mais pour les supprimer, l’utilisateur devra acheter le faux antivirus.
Ces attaques reposent donc sur la peur de l’utilisateur face aux nombres alertes et messages d’alertes et d’erreurs.

• Vous trouverez une liste de rogues et scarewares sur la page suivante, certains étaient relativement bien fait : Rogues/Scareware
• Du côté des fausses alertes de sécurité, se rendre sur la page : Les Rogues et alertes de sécurité

De manière générale pour ce qui est de fausses alertes de virus ou autres, vous pouvez lire l’article : Arnaque : fausse alerte de virus

En 2011, plusieurs évolutions ont été constatés :

• Certains Rogues se faisaient passer pour des logiciels de réparation de disques. Le malware cachait les fichiers et affichaient de faux messages d’erreurs lors de tentatives d’accès aux fichiers
• Les derniers faux antivirus bloquaient l’accès à Windows, on s’approchait donc des Trojan WinLock (voir partie ransomware).

Enfin, l’arrivé des PUPs en 2012 a permis une nouvelle prolifération des scarewares avec des sociétés étrangères.
Accouplé à des lenteurs dus aux Adwares, des logiciels d’optimisation et de nettoyages étaient aussi installés. Ces derniers pouvaient apparaître comme des solutions aux lenteurs dus aux adwares.
Des logiciels très peu fiables avec des méthodes proches des rogues ont vu le jour : Reimage Repair et MacKeeper
Par le suite, ces procédés de fausses alertes de virus ou d’erreur ont été portés sur Android pour toucher les smartphones et tablettes : Fausses pages web et messages de virus téléphones/tablettes 
Enfin, des logiciels de mises à jour de pilotes : Faux programmes de mises à jour de pilotes et drivers
Tout en ayant de faux antivirus, comme TotalAV : TotalAV présentation et avis
De manière générale, il existe et existera toujours des logiciels de nettoyages peu fiables.
Tous ces procédés sont aussi résumés sur l’article : Les logiciels de nettoyage de Windows

Ransomwares ou rançongiciels

Les ransomwares ou rançongiciels sont des menaces informatiques qui prennent en otage l’ordinateur ou les documents et demandent à payer une somme d’argent pour récupérer l’accès à ces derniers.
On peut distinguer deux types de ransomwares :

• Les ransomwares qui chiffrent les données et demandent de payer une rançon pour récupérer l’accès à ces derniers. Fin 2015, ces derniers ont explosé avec notamment le ransomware TeslaCrypt puis Locky.
  • crypto-ransomware / rançongiciels chiffreurs de fichiers
  • Ransomwares/Rançongiciels : Cerber, Spora et Jaff
• Les Trojan WinLock qui vise à bloquer l’accès à Windows. Fin 2011, les Trojan Winlock se faisant passer pour les autorités ont été très utilisés jusqu’en 2013 : Les Trojan Winlock Fake Police. 

Le malware Reveton a été Trojan WinLock le plus actif, à noter que ce dernier voler aussi les mots de passe. Par la suite, le même groupe a produit le ransomware CryptXXX qui voler aussi les mots de passe.
Il existe aussi des ransomwares qui bloque le navigateur internet, on noteraBrowlock (pour Browser Lock) :

• Virus Gendarmerie Nationale – DLCC Division de lutte contre la cybercriminalité
• Virus Police Nationale

Les arnaques de support téléphoniques ont part la suite utilisé ces méthodes pour bloquer les navigateurs internet sur de fausses erreurs de Windows pour demander à contacter une hotline téléphonique.
Enfin début 2018, un Trojan Winlock « Windows a détecté des activités suspectes » faisant croire à une erreur Windows bloque ce dernier pour pousser ces mêmes arnaques téléphoniques.

Adwares

Les adwares sont des logiciels publicitaires qui sont souvent distribués en mode PUP (voire plus bas).
Des sociétés avec pignon sur rue ont très vite développer des logiciels publicitaires qu’ils ont proposés comme sponsors à des éditeurs de logiciels.
Le but est donc de monétiser leur programme en faisant installer des adwares sur les ordinateurs.
Une fois actif, l’adware va charger des publicités sur l’ordinateur comme des popups à intervalle régulier, des onglets qui vont s’ouvrir au moindre clic sur une page.
Cela devient donc vite agaçant pour l’utilisateur de l’ordinateur.
Dans les années 2004, la société française Eorezo a été très active à travers des widget qui modifiaient la page de démarrage et installer un adware sur les ordinateurs.
Par la suite, ces adwares ont été caché dans des tutoriels en vidéo (Tuto4PC) qui étaient notamment promus par le site telecharger.com : 01net/telecharger.com : ça ne s’arrange pas
A partir de 2011, une explosion a eu lieu avec l’âge d’or des PUPs, des logiciels de nettoyage comme AdwCleaner ont alors vu le jour pour désinfecter et supprimer les adwares.
Les adwares se sont aussi attaqués au monde du Mac et Android :

• Les adwares sur Android
• Adwares et publicités sur MacOSX

On peut assister à des adwares très évolués comme Magic.Control (voire partie rootkit) ou encore Adwares v-bates qui patchait le fichier système dnsapi.dll
Les liens autour des Adwares :

• Supprimer les popups de publicités / Adware
• Désinfection manuelle de Windows (Trojan, Adware etc)

Les Browser Hijacker

Les Browser Hijacker pour pirate des navigateurs internet sont des logiciels malveillants qui modifient les paramètres des navigateurs internet.
Le but est d’imposer un moteur de recherche en page de démarrage et moteur de recherche par défaut.
Cela permet de faire gagner de l’argent à l’auteur en augmentant l’audience d’un moteur de recherche ou en gagnant de l’argent sur le volume de trafic envoyer vers des moteurs de recherche.
Ce sont des outils très utilisés dans la guerre des moteurs de recherche.
Ces Browser Hijacker sont massivement utilisés avec les adwares et pousser par les plateformes PUPs.
Une page sur le site est consacrée à ces menaces : Browser Hijacker : les pirates des navigateurs Internet

PUP

PUP pour Potentially Unwanted Programs soit les programmes potentiellement indésirables.
Il s’agit de programmes proposés à l’installation de logiciels sains.​_
C’est un moyen de monétiser un logiciel, puisque l’éditeur du logiciel va gagner de l’argent à chaque installation réussie.
On peut voir cela comme du sponsoring.
La plupart du temps les programmes proposés à l’installation sont des adwares ou des Browser Hijacker.
De ce fait, ce type de procédés est très mal perçu par les internautes.
Ces méthodes ont explosé depuis 2011 où plusieurs plateformes de PUPs ont sévi.
Par exemple, la plateforme InstallCore est assez spécialisé pour proposer à des sites de téléchargement (telecharger.com ou Clubic y sont passés) pour pousser des programmes additionnels.

• Clubic test le repack et propose des PUPs 
• Les sites de téléchargements qui repackent
• Softonic : Repack de logiciels => PUPs / LPIs 

Mais InstallCore est aussi actif à travers de faux messages de mises à jour Flash ou Java (voir : Fausses mises à jour Java / Flash).
Pour un détails plus complet sur InstallCore, lire : InstallCore : PUPs et Adwares
D’autres exemples de plateformes de PUPs comme Win32/Amonetize : Adwares et PUPs est plutôt spécialisé dans les faux cracks.

La plupart des PUPs proposent l’installation de multiples programmes malveillants et parasites comme :

• Un Browser Hijacker qui va modifier le moteur de recherche du navigateur internet
• Un ou plusieurs adwares
• des scarewares avec de faux logiciels d’optimisations ou de détections de malwares. L’ordinateur étant ralenti par les adwares qui tournent, ces faux nettoyeurs pouvaient passer comme une solution aux problèmes rencontrés.

Enfin un dossier complet sur les PUPs existent sur le site : Dossier Adwares/PUPs : programmes indésirables et parasites

Exploit et Drive-by download

Les Exploits sont des codes qui visent à exploiter une vulnérabilité connues ou inconnues (dites 0-day).
Les vers informatiques utilisent par exemple des exploits pour se propager d’un ordinateur à l’autre.
Le nom est donc générique pour un type de code malveillant, toutefois des menaces ont vu très vite le jour.
A partir de 2011, les Web Exploit ont explosé comme moyen d’infecter les ordinateurs.
A l’époque, les plugins Adobe Flash, Adobe Reader et Adobe Java étaient installés sur la plupart des navigateurs internet.
En chargeant une applet Java, Flash ou un PDF exploitant une vulnérabilité sur ces plugins, on pouvait faire exécuter de manière automatique un malware sur l’ordinateur.
Ainsi, à la simple visite d’un site internet piraté ou contenu une malvertising (publicité malveillante) qui redirige vers un exploit Web, les ordinateurs des internautes ont pu être infectés.
Le terme utilisé pour ce type d’attaque est Drive-by download.
La page suivante explique le fonctionnent en détails des Web Exploit : Les Exploits sur les sites WEB piégés
Voici une vidéo d’un Web Exploit en action :
Les premiers Web Exploit Kit, c’est à dire, des logiciels automatisés pour mettre en place ces attaques ont été vendus.
Le premier connu a été BlackHole, ce dernier fonctionnait en SaS, l’auteur maintenant à jour les exploits, que ce soit pour contourner les détections antivirus que pour en ajouter de nouveaux dès qu’une vulnérabilité été publiée. Mais d’autres ont suivi comme Angler Exploit Kit, Neutrino Exploit Kit  ou encore Magnitude ExploitKit.
La plupart des Web Exploit Kit fournisse des statistiques d’infection par pays, navigateur internet, etc.
Vous trouverez une présentation de BlackHole sur la page suivante : BlackHole Exploit WebKit : Présentation
Ce dernier a permis l’explosion des Trojan FakePolice.
Par la suite, des contre-mesures ont été apportés, notamment les navigateurs internet se sont mis à bloqués les plugins non à jour.

Malvertising

Malvertising est la concaténation de Malware et advertising, il s’agit donc de publicités malveillantes.
Les malvertising ont été très vite utilisés par les cybercriminels pour rediriger les internautes vers des Web Exploit Kit.
Le procédé est simple, vous visitez un site contenu une malvertising, celle-ci va charger la publicité mais aussi le Web Exploit qui va faire son travail pour tenter d’infecter l’ordinateur.
Tout est automatique à travers des JavaScript ou iframe.
La page suivante décrit le fonctionnement de ces dernières : Les publicités malicieuses « Malvertising », source de distribution des virus
Bien entendu, on peut porter le terme pour toutes publicités malveillantes.
Ainsi, des publicités menant à des scarewares ou arnaques de support téléphoniques sont aussi utilisées.
Les sites pornographiques mais surtout de streaming illégaux sont très vecteur de malvertising : Les sites de streaming et les virus

La nomenclature des antivirus

Les familles de malwares

Les menaces peuvent être classés par famille, quand il s’agit du même malware qui revient sous diverses campagnes ou utiliser par différents acteurs.
On trouve donc des centaines et des centaines de familles de malware comme Spybot, Carberp, etc.
Il peut aussi arriver que le code source d’un malware soit publié et utiliser pour donner une nouvelle famille.
C’est notamment le cas avec les Trojan Banker.
Vous trouvez une liste de famille de malwares sur la page : Index des menaces et programmes malveillants/Malwares

Les détections génériques

Les antivirus possèdent des détections génériques, c’est à dire des codes connus ou un ensemble de facteur qui font qu’un fichier peut-être déclaré comme malveillant.
Dans ces cas là, la famille du malware n’est alors pas mentionnée puisque inconnue mais un nom de détection générique peut revenir.
Les noms donnés peuvent être liés aux langages informatiques utilisés, par exemple Trojan.MSIL ou Trojan.VB.
Mais aussi liés aux actions que le malware peut effectuer : Trojan.Downloader, Trojan.PWS, Trojan.Stealer, ou Trojan.Spambot
On peut aussi avoir des détections génériques liées aux numéros de détection génériques de l’antivirus, exemple : Trojan.Gen.645
Vous trouvez une liste des détections génériques les plus communs sur la page : Index des menaces et programmes malveillants/Malwares

Autres termes liés aux logiciels malveillants

Dropper et Payload

Dans une chaîne d’attaque, on peut distinguer la partie qui installe l’infection (Dropper) de la partie qui va travailler une fois le malware actif dans le système (Payload).
Ainsi, si vous recevez un mail avec une pièce jointe contenant un script VBS, ce dernier est le dropper.
La seule fonction du script VBS est de télécharger et exécuter le Trojan dans l’ordinateur.
Un Trojan Downloader est aussi un dropper puisqu’il se charge de télécharger et exécuter le malware.
La page suivante aborde ces deux termes : Dropper & Payload : Explications

Autres liens autour des logiciels malveillants

Quelques liens du site autour des malwares :

• Comment les virus informatiques sont distribués
• Les virus informatiques : fonctionnement et protections
• Les virus sur Android

REF.: