Sécurité : Le logiciel de
bureau à distance est détourné de son usage initial par des
cybercriminels qui s’en servent à des fins malveillantes.
Une nouvelle attaque exploitant une version détournée de Teamviewer a
été identifiée par des chercheurs en sécurité. L’opération se concentre
sur le vol d'informations financières appartenant à des cibles
gouvernementales et financières en Europe et au-delà.
Des chercheurs de Check Point ont déclaré lundi
que la campagne ciblait spécifiquement les responsables des finances
publiques et les ambassades en Europe, mais aussi au Népal, au Kenya, au
Libéria, au Liban, en Guyane et aux Bermudes.
Le vecteur d'infection commence par un courrier électronique de phishing
contenant une pièce jointe malveillante prétendant être un document
"Top Secret" en provenance des États-Unis.
Le courrier électronique envoyé aux victimes potentielles
contient la ligne d'objet "Programme de financement militaire" et le
document .XLSM joint au message a été conçu avec un logo du département
d'État américain dans le but de paraître crédible.
Si une cible télécharge et ouvre la pièce jointe, il lui est
demandé d'activer les macros, une méthode très utilisée par les
attaquants pour accéder au système de la victime. Dans ce cas, deux
fichiers sont extraits: un programme AutoHotkeyU32.exe légitime et une
DLL TeamViewer illicite.
Le programme AutoHotkeyU32 est utilisé pour envoyer une demande
POST au serveur de contrôle de l'attaquant, ainsi que pour télécharger
des scripts AHK capables de prendre une capture d'écran du PC cible et
de voler les informations de l'ordinateur qui sont ensuite envoyées au
serveur de contrôle.
TeamViewer est un logiciel bien connu, souvent utilisé dans l'entreprise
pour conserver un accès à distance aux PC et profiter de
fonctionnalités de partage d’écran à distance. Cependant, compte tenu de
ses capacités, le logiciel est aussi malheureusement utilisé par les
attaquants et les fraudeurs pour obtenir un accès frauduleux aux
systèmes.
Dans ce cas, le logiciel a été transformé en arme. La variante
malveillante est exécutée via le chargement de la DLL et contient des
fonctionnalités modifiées, notamment le masquage de l'interface
TeamViewer (afin que les victimes ne se rendent pas que le logiciel, est
en cours d'exécution), mais également la possibilité d'enregistrer les
informations d'identification de la session TeamViewer dans un fichier
texte, ainsi que le transfert et l’exécution de fichiers .exe et dll
supplémentaires.
Cela expose les systèmes des victimes au vol de données, à la
surveillance et potentiellement à la compromission des comptes en ligne.
Les entités gouvernementales ciblées étant souvent basées dans le
secteur de la finance, ce qui suggère que les acteurs de la menace ont
une motivation financière plutôt que potentiellement politique.
Une méthode déjà identifiée auparavant
Les principales cibles de la campagne sont des acteurs du secteur
financier public et le programme a été lié à des attaques passées
supposées être l'œuvre du même groupe de cybercriminels.
Les précédents cas utilisaient également une version modifiée de
TeamViewer, mais le vecteur d'attaque initial a changé. En 2018, par
exemple, des archives auto-extractibles ont été utilisées plutôt que des
documents malveillants activés par AutoHotKey. De fausses images,
utilisant par exemple des contenus volés au ministère des Affaires
étrangères du Kazakhstan et réadaptés, étaient utilisées.
Les
témoignages des campagnes précédentes suggèrent également que les
russophones étaient ciblés.
En outre, la DLL malveillante TeamViewer a été adaptée au fil du temps,
passant du simple vol d’information à une infrastructure plus moderne.
Les chercheurs disent qu'il est prouvé que le groupe qui se cache
derrière cette campagne est russe, grâce à un avatar connecté à un
utilisateur du forum russe appelé EvaPiks.
On pense que l’internaute identifié est, à tout le moins, le
développeur des outils utilisés dans la campagne et que l’historique du
pirate informatique en question renvoie aux forums de « carding » -
l'exploitation et l'échange d'informations financières volées, telles
que les données de cartes de crédit.
Selon le Département de la justice des États-Unis (DoJ), le carding a évolué au cours des dernières années (.PDF) pour faciliter non seulement la fraude financière, mais aussi pour financer le terrorisme et le trafic de drogue. Source. :Trojanized TeamViewer used in government, embassy attacks across Europe
Il existe de nombreuses façons de détruire un ordinateur, vous pouvez lui taper dessus, l'asséner d'attaques DDoS ou encore lui refiler un bon vieux virus. Dans le cas de Vishwanath Akuthota, ancien étudiant de 27 ans du Collège de Sainte-Rose à Albany dans l'État de New-York, il aura choisi d'utiliser un dispositif USB killer.
Selon le ministère américain de la Justice, Akuthota a décidé de détruire l’équipement informatique de son école avec un USB killer : « USB Killer est un dispositif, ressemblant à une clé USB, qui
détruit les composants physiques de n’importe quel appareil auquel il
est connecté. Il est alimenté directement par le port USB. Il emmagasine
de l’énergie dans ses condensateurs jusqu’à ce qu’ils atteignent une
haute tension, puis il rejette du courant à haute tension dans
l’appareil auquel il est connecté. L’appareil a été conçu pour tester la
capacité des composants à se protéger des surtensions. » – Wikipédia Pour une raison qui ne regarde que lui, l’homme a choisi de filmer
son « exploit », prouvant ainsi qu’il avait réussi à détruire pas moins
de 66 ordinateurs (58 000 $ de dommages). Il sera évidemment jugé – le
12 août 2019 – et s’il est reconnu coupable, encoure jusqu’à 10 ans de
prison et pas moins de 250 000 dollars d’amende…
Les chercheurs en sécurité de BitDefender ont découvert un
nouveau logiciel malveillant particulièrement sophistiqué qui sévit sous
Windows.
Les chercheurs de BitDefender, célèbre éditeur de solutions de
sécurité, viennent de lancer une alerte inquiétante. Ces experts
auraient en effet découvert un nouveau logiciel malveillant terriblement
dangereux qui fait actuellement des ravages sur les PC fonctionnant
sous Windows. Baptisé Scramos, il serait d'abord apparu en Chine avant de se répandre massivement partout dans le monde, y compris en France,
en infectant des ordinateurs avec des techniques particulièrement
élaborées lui permettant notamment de se mettre régulièrement à jour.
Comme les chercheurs l'expliquent dans leur publication, Scranos se diffuse selon la méthode du cheval de Troie, en se cachant dans divers logiciels d'apparence inoffensive
comme des lecteurs vidéo ou des lecteurs de livres électroniques
(e-books) et même des utilitaires de sécurité et des pilotes (drivers).
Une fois en place, Scramos installe des bibliothèques partagées
(DLL) capables d'analyser des cookies de navigateurs et de récupérer de
nombreuses informations sensibles, notamment des identifiants et des
codes de comptes de divers services en ligne comme Facebook, Amazon,
Youtube, Steam ou encore Airbnb. Plutôt effrayant...
Pire encore, il désactive la protection en temps réel Windows Defender,
le logiciel de sécurité de Microsoft installé par défaut avec Windows,
de manière à passer inaperçu. Scramos passe alors à l'étape suivante
suivante, en installant un rootkit déguisé en pilote graphique authentifié
par une signature au nom d'une société chinoise (Yun Yu Health
Management Consulting Shanghai), un module extrêmement vicieux qui
modifie le registre de Windows de façon à s'activer automatiquement à
chaque démarrage du PC sans se faire repérer.
Les dégâts occasions par Scramos ne sont pas tous connus. Mais il semblerait que ses créateurs l'utilisent déjà massivement pour créer un réseau de PC "esclaves" (un botnet) générant des faux clics sur les publicités affichées dans des chaînes YouTube
: un procédé permettant de rentabiliser leurs méfaits. Mais Scramos
évolue visiblement en permanence, grâce à un module le mettant
constamment à jour et lui permettant de télécharger d'autres composants
malveillants. L'un d'eux servirait ainsi à envoyer des applications vérolées via Facebook aux amis de ses victimes. Un autre installerait des extensions aux navigateurs pour injecter des publicités ou forcer l'ouverture de certaines pages.
Bref, le potentiel de Scramos semble aussi vaste qu'effrayant.
Et il est fort probable que ce malware fasse parler encore de lui dans
les prochaines semaines. Inutile de préciser qu'il convient de mettre à
jour son antivirus et de lancer une analyse au plus vite.
Il ne faudrait jamais s'arrêter de jouer, c'est du moins ce que pense Sony, c'est pourquoi il faut pouvoir jouer sur console puis sur appareil mobile grâce au cloud. Google et Microsoft travaillent également sur des services similaires, Sony ne compte pas rester à la traîne.
Le président de la compagnie Kenichiro Yoshida a expliqué que
ce serait important pour la prochaine génération de matériel, celle qui
suivra la Playstation 4 Pro, donc la Playstation 5. Mark Cerny a confirmé que
la nouvelle console allait avoir un processeur AMD Ryzen de troisième
génération sous le capot, composé de huit cœurs reposant sur la
microarchitecture 7nm Zen 2. Elle disposera également d’un GPU basé sur
la série AMD Radeon Navi et sera accompagnée d’un support audio 3D
immersif.
Il a été confirmé que la nouvelle console prendra en charge les
résolutions 8K et sera livrée avec un disque SSD, ce qui améliorera les
vitesses de rendu et réduira les temps de chargement. Son architecture
étant similaire à celle de la PS4, elle sera rétro-compatible avec les
jeux PS4 et supportera le casque PlayStation VR . Sony n’a toutefois pas
confirmé s’elle s’appellerait réellement PlayStation 5 !
Sony n’assistant pas à l’E3 2019, il est donc difficile de savoir à quel moment elle sera officiellement annoncée.
Easy2Boot est un utilitaire très pratique pour créer une clé USB bootable avec plusieurs ISO ISO. Cette clé USB Multi-boot et multi ISO supportent aussi les firmwares MBR et UEFI.
Par exemple, vous pouvez créer une clé USB qui boot à la fois sur l’installation de Windows ou Linux et embarquant à la fois le Live CD Malekal.
Voici un tutoriel Easy2Boot qui vous donne toutes les étapes pour créer une clé USB multiboot.
Avec Easy2Boot vous pouvez facilement créer une clé USB bootable avec plusieurs ISO. En plus de cela, cette clé USB peut fonctionner à la fois sur les firmwares MBR et UEFI.
Enfin il est possible de personnaliser le menu de démarrage.
Easy2Boot : clé USB multi-boot et multi-ISO
A noter ici on parle de clé USB mais il est tout à fait possible de créer un disque dur externe multi-boot.
Préparer l’installation Easy2Boot
Pour pouvoir utiliser Easy2Boot, deux utilitaires sont à télécharger :
Easy2Boot : c’est le programme principe qui permet de créer la clé USB
MPI Tool Pack pour convertir ses ISO en .imgPTN afin de rendre celle-ci compatible UEFI.
Créer une clé USB multi-boot
Vous pouvez télécharger Easy2Boot depuis ce lien : http://www.easy2boot.com/download/
Dans sur la page descendez dans la partie Download puis téléchargez EasyBoot.
Téléchargez Easy2Boot
Lors de l’installation, vous devez spécifier le chemin d’installation.
N’installez
pas ce dernier dans le dossier C:\Program Files mais plutôt dans un
emplacement à partir duquel vous pourrez travailler. Par exemple le bureau de Windows ou à la racine de l’un de vos disques
Installation de Easy2Boot
Ensuite, lancez le fichier Make_E2B.exe par un clic droit puis exécuter en tant qu’administrateur afin de pouvoir lire la clé USB. Ce dernier se trouve à la racine du dossier Easy2boot afin d’obtenir le programme ci-dessous.
En haut, se trouve la lettre de votre clé USB puis à gauche réglez la langue à utiliser.
Fenêtre d’Easy2Boot pour créer la clé USB
Ensuite cliquez simplement sur le bouton Make E2B Drive afin de lancer la création de la clé USB. Cela
va alors ouvrir une fenêtre d’invite de commandes comme ci-dessous et
un message indique que le contenu de la clé USB va être vidé.
Création de la clé USB Multi-boot avec Easy2Boot
Cliquez sur OK puis laissez l’opération se dérouler.
Création de la clé USB Multi-boot avec Easy2Boot
Enfin une fois terminé, on obtient une fenêtre verte comme ci-dessous où il faut appuyer sur une touche. Création de la clé USB Multi-boot avec Easy2Boot
Ajouter les fichiers ISO
Votre
clé USB contient différents dossiers ou fichiers mais nous n’avons pas
encore mis en place les différentes ISO sur lesquelles vous souhaitez
booter.
Les fichiers ISO sont à placer dans le dossier _ISO avec une arborescence prévu à cet effet. Les noms sont relativement claires afin de s’y retrouver assez facilement.
Les
noms sont simplement là pour s’y retrouver et classer plus facilement
vos ISO. En aucun cas cela ne joue sur le choix final durant le boot sur
la clé USB.
L’arborescence de la clé USB Multi-bootDans un premier temps, vous pouvez supprimer les dossiers que vous ne comptez pas utiliser. Nettoyer la clé USB multi-bootDans le dossier Windows on trouve des sous-dossier avec les différentes versions de Windows 10.
LES ISO Windows
Notez le dossier installs qui permet d’ajouter des pilotes ou applications avec l’arborescence suivante :
APPS – Si vous avez des applications personnalisées (par exemple, Chrome), copiez les fichiers d’installation dans un dossier ici.
CONFIGS – contient le fichier .cmd qui s’exécute pendant le passe « Spécialisation » + tous les pilotes spéciaux, etc.
DRIVERS
– contient tous les pilotes spécifiques à la machine, par exemple. \
_ISO \ WINDOWS \ installs \ DRIVERS \ 904_W10 \ x86 (ou amd64)
INSTALLCHOCO – utilisé pour installer Chocolatey si aucun accès Internet n’est disponible (installations hors connexion)
SNAPPY – contient le logiciel SDI (Snappy Driver Installer) et les grands DriverPacks
wsusoffline – utilisé pour les fichiers du programme de mise à jour hors ligne WSUS.
Enfin par exemple dans le sous-dossier Win10, on place l’ISO d’installation de Windows 10. Ajouter une ISO d’installation de WindowsAfin de personnaliser le nom, il faut créer un fichier .txt avec le même nom que l’ISO. Par exemple ci-dessous, dans WINPE, on place l’ISO du Live CD Malekal puis on créé le fichier texte qui va bien.
Dans ce dernier on saisit alors :
title le nom que l'on veut avoir sur le menu de démarrage
Pour ajouter l’ISO du Live CD Malekal
Passer la clé USB en UEFI
Une
fois les ISO placées dans votre clé USB, celle-ci est prête à être
utilisée, toutefois elle n’est pas encore compatible UEFI si vous
désirez utiliser votre clé USB pour effectuer des installations de
Windows.
Pour qu’elle le soit, il faut convertir les fichiers ISO de Windows au format imgPTN.
Dans un premier temps, il faut télécharger MPI Tool Pack Plus Cloverlite. Pour cela, rendez-vous sur ce lien : http://www.easy2boot.com/download/mpi-pack/puis cliquez sur le lien dans la partie Download. Télécharger MPI Tool Pack Plus Cloverlite Décompressez le zip à l’emplacement souhaité puis ouvrez le dossier ImDISK. Depuis ce dernier double-cliquez sur imdiskinst.exe afin de lancer l’installation. Installation de imdiskinstEnfin revenez au dossier parent puis double-cliquez sur CreateDesktopShortcuts.cmd afin de créer les raccourcis sur le bureau. Création des raccourcis de MPTI Tool Pack PlusOuvrez
le dossier contenant les ISO d’installation de Windows puis faites
glisser cette dernière sur le raccourci MPI_FAT32 qui se trouve sur
votre bureau. Lancer la conversion ISO vers imgPTNCela va démarrer la conversion de l’ISO en imgPTN avec dans un premier temps la récupération de la taille du fichier ISO. Cela peut prendre quelques minutes Lancer la conversion ISO vers imgPTNUne
fois la taille calculée, on vous demande de la renseigner, vous pouvez
alors faire directement entrée afin de laisser la taille par défaut. Lancer la conversion ISO vers imgPTNpuis la conversion du fichier ISO sur votre clé USB s’effectue et là aussi, cela peut prendre plusieurs minutes. Lancer la conversion ISO vers imgPTN Lancer la conversion ISO vers imgPTNPuis on vous demande le type de licenceV pour les licences en Volumes et R pour les licences OEM/Boîte. Vous pouvez là aussi appuyer directement sur Entrée car l’option est réglée par défaut sur No. Licence Windows pour la clé USBEnfin si tout va bien, vous obtenez votre fichier imgPTN puis répétez l’opération pour les autres ISO d’installation de Windows. ISO de Windows converties en impgPTNUne fois tous vos ISO Windows converties en imgPTN, retournez à al racine de la clé USB puis lancez MAKE_THIS_DRIVE_CONTIGUOUS.cmd afin que Easy2Boot prenne en compte ces nouveaux ISO.
Tester votre clé USB Multi Boot
Enfin tout est prêt pour tester votre clé USB bootable.
Easy2Boot fournit un environnement virtuelle à base de QEMU, vous pouvez tester cela depuis Make_E2B puis en cliquant sur « Test with QEMU« .
Cela est assez pratique pour vérifier vos modifications, toutefois, le meilleur reste un test en réel sur un vrai ordinateur. Par exemple ci-dessous, on obtient l’ISO de Windows 10 en deux formats (ISO et imgPNT pour l’UEFI).
Démarrage UEFI et partitions FAT et NTFS
Sur un vrai PC à base d’UEFI, les réglages suivants doivent être activés :
Si ce n’est pas le cas, votre clé USB ne sera pas visible dans le menu de démarrage. Booter sur la clé USB multi-boot en UEFIEnsuite,
pour pouvoir booter sur une ISO en UEFI, le partitionnement de la clé
USB doit être modifié pour monter l’ISO sur une partition FAT32. Les données E2B ne seront alors plus visible dans ce mode de partitionnement de disque.
Deux méthodes sont possibles alors pour créer ce partition.
Booter sur la clé USB
La première méthode consiste à booter simplement sur votre clé USB et sélectionnez votre image imgPNT. Easy2boot va modifier la table de partition de votre clé USB pour la passer en FAT32. Cela permet de rendre la clé USB compatible CSM et obtenir un menu spécifique.
Ainsi,
durant le chargement de la clé USB au démarrage de l’ordinateur, cela
se traduit par le message suivant qui demande de remplacer les
partitions E2B. Il faut alors répondre oui avec la touche Y.
Modification des partitions de disque lors du passage en UEFI
Vous arrivez alors sur le menu suivant, la première option permet de remettre la clé USB comme au départ. L’option 1 boot en mode MBR
Menu Démarrage en mode UEFI
Redémarrez votre ordinateur à nouveau et démarrer sur la bonne partition de disque pour lancer l’installation de Windows.
Préparer le boot UEFI à l’avance
Pour passer la clé USB en mode UEFI, ouvrez le dossier e2b puis lancez l’utilitaire SWITCH_E2B.exe. Double-cliquez sur l’imgPTN sur lequel vous désirez démarrer. Revenir au partition E2B d’origine
Revenir en partition E2B
Les données ne seront plus visibles par la suite à cause du manipulation des partitions de disques. En
effet votre clé USB ne contiendra plus que les données du fichier
imgPTN et le reste des données sera présent dans une partition cachée. Partitionnement de disque lors du passage en CSMPour rétablir le partitionnement d’origine, rendez-vous dans le dossier e2b puis lancez l’utilitaire SWITCH_E2B.exe.
Depuis ce dernier à droite, cliquez sur le bouton Restore E2B partitions. Revenir au partition E2B d’origineSur la fenêtre de confirmer, cliquez simplement sur le bouton OK. Revenir au partition E2B d’origine
Personnaliser le menu de démarrage
Dans le dossier ISO, vous trouvez un utilitaire qui permet de modifier le menu de démarrage d’Easy2Boot : E2B_Editor.exe
Au lancement, sélectionnez le fichier MyEB.cfg Personnaliser le menu de démarrage d’Easy2BootVous pouvez notamment choisir la langue, les touches raccourcis, changer les couleurs et masquer certaines options. Enfin vous pouvez ajouter un fond d’écran à partir du bouton en bas à gauche BackGround.
L’image doit avoir une résolution de 800×600 et non compressée, par exemple en bitmap (bmp). Personnaliser le menu de démarrage d’Easy2BootVoici le lien de la document officielle de l’éditeur d’Easy2Boot : http://www.easy2boot.com/configuring-e2b/e2b-editor/
D’autre part le fichier SUB_MENU_Maker.cmd permet de créer des sous-menus mais ne ce sera pas détaillé dans ce tutoriel.
Autres liens
Dans le même style il est possible de créer une ISO personnalisée de l’installationn de Windows, suivre alors notre lien : Personnaliser l’ISO de Windows 8 ou 10
