Chevaux de Troie bancaires

Chevaux de Troie bancaires

Le botnet Emotet revient à la vie

Libellés

banque, Hackers, Botnet, cyberattaques, malware,

 

 

 

 

Sécurité : Le botnet Emotet, souvent considéré comme l’un des plus dangereux, reprend ses opérations après avoir été silencieux pendant près de quatre mois.

Par Catalin Cimpanu | Mardi 17 Septembre 2019

Suivre @zdnetfr

Emotet, l’un des botnets de logiciels malveillants les plus importants du moment, a repris vie après une période d’inactivité de près de quatre mois à compter de la fin du mois de mai de cette année.
Durant cette période, les serveurs de commande et de contrôle (C&C) du réseau d’ordinateurs infectés avaient été arrêtés et Emotet a cessé d’envoyer des commandes aux machines infectées, ainsi que de diffuser nouvelles campagnes de spam par courrier électronique pour infecter de nouvelles victimes.
Certains chercheurs en sécurité espéraient que les forces de l'ordre avaient secrètement trouvé un moyen de bloquer ce botnet. Ce n'était pas le cas.

Nouvelles campagnes de spam

Emotet a commencé à diffuser de nouveaux spams hier selon Raashid Bhat, chercheur en sécurité chez SpamHaus.

Emotet is fully back in action and spamming. Within the past 15 minutes our researchers have observed activity. #botnet #emotet #ThreatIntel pic.twitter.com/jRTNqph6K0

— Spamhaus (@spamhaus) September 16, 2019

#emotet has resumed spamming operations this morning. We will provide some updates soon.

— Cofense Labs (@CofenseLabs) September 16, 2019

Selon Bhat, les e-mails contenaient des pièces jointes malveillantes ou des liens vers des pages contenant des téléchargements malveillants. La campagne de spam lancée hier via Emotet vise principalement des utilisateurs polonais et germanophones.
Les utilisateurs qui reçoivent ces courriels, téléchargent et exécutent l’un des fichiers malveillants s’exposent au risque d’être infectés par le programme malveillant Emotet.
Une fois infectés, les ordinateurs sont ajoutés au botnet Emotet. Le malware Emotet sur les ordinateurs infectés est notamment utilisé pour télécharger et installer d’autres programmes malveillants.
Emotet est connu pour fournir des modules capables d'extraire les mots de passe d'applications locales, de se déplacer et d’infecter d'autres ordinateurs du même réseau, et même de voler des thread d'emails complets pour les réutiliser ultérieurement dans des campagnes de spam.
En outre, les opérateurs d’Emotet sont également connus pour proposer leur botnet en tant que Malware-as-a-Service (MaaS) : d'autres gangs criminels peuvent louer l'accès à des ordinateurs infectés par Emotet et diffuser leurs propres programmes malveillants aux côtés d'Emotet.
Certains des clients les plus connus d’Emotet sont les opérateurs des souches de ransomware Bitpaymer et Ryuk, qui ont souvent loué l’accès à des hôtes infectés par Emotet pour infecter des réseaux d’entreprise ou des administrations locales avec leurs ransomwares.

A closer look at three #Emotet infections that ultimately resulted in #ransomware being dropped: https://t.co/1TtnJrDmDB pic.twitter.com/z267ggdA9o

— Barkly (@barklyprotects) October 30, 2018

Le réveil d'Emotet était attendu

Le renouveau d’Emotet n’est pas une surprise totale pour les chercheurs en sécurité. Les serveurs C&C d’Emotet sont devenus inactifs à la fin du mois de mai, mais ils ont repris vie à la fin du mois d’août.
Ils n'ont néanmoins pas commencé à envoyer du spam tout de suite. Au cours des dernières semaines, les serveurs C&C étaient restés inactifs, diffusant des fichiers binaires pour les modules "déplacement latéral" et "vol de justificatifs d'identité", a déclaré Bhat à ZDNet au cours d'une interview.
Bhat pense que les opérateurs d’Emotet ont passé ces dernières semaines à rétablir les communications avec des appareils précédemment infectés qu'ils avaient abandonnés fin mai et à se répandre sur les réseaux locaux afin de maximiser la taille de leur botnet avant de passer à leur activité principale : l’envoi de spam.
Plusieurs chercheurs en sécurité ont prédit cette période de montée en puissance le mois dernier, lorsque l'équipe Emotet a réactivé les serveurs C&C.

not to mention the distribution wing is a whole botnet of its own that needs to be fired up, fed hacked wordpress inventory, shells deployed, etc.
even tiered infrastructure for the distro wing.

has to be running first.

— JTHL (@JayTHL) August 23, 2019

Le fait que les opérations d'Emotet aient été interrompues pendant quelques mois n'est pas vraiment une nouveauté. Les réseaux botnets malveillants restent souvent inactifs pendant des mois pour différentes raisons.
Certains botnets deviennent silencieux afin de procéder à la mise à niveau de leur infrastructure, tandis que d'autres le font simplement parce que leurs opérateurs prennent des vacances. Par exemple, le botnet Dridex diminue régulièrement son activité chaque année entre la mi-décembre et la mi-janvier, pour les vacances d'hiver.
À l’heure d’écrire cet article, on ne sait pas pourquoi Emotet s'est arrêté pendant l'été. Néanmoins, le botnet est revenu à son état précédent, continuant de fonctionner en utilisant un modèle d'infrastructure double basé sur deux botnets distincts.

TrickBot veut la couronne

Mais même si Emotet a mis fin à ses activités pendant près de quatre mois, les autres botnets n'ont pas fait de pause. Pendant qu’Emotet était en panne, les opérateurs du botnet TrickBot ont pris la place du botnet le plus actif du marché.

This chart shows the number of Emotet Vs. TrickBot malware samples since Jan 2019. You can clearly see the disappearance of Emotet 📉 malspam campaigns end of May and the rise of TrickBot 📈 in July that is nowadays used to deploy Ransomware 🔒💰on corporate networks 🏛️ pic.twitter.com/IdPoGxYMbO

— abuse.ch (@abuse_ch) August 13, 2019

Emotet et TrickBot partagent de nombreuses similitudes. Tous deux étaient à l’origine des chevaux de Troie bancaires qui ont été recodés pour être utilisés en tant que « dropper » de logiciels malveillants - des logiciels malveillants téléchargeant d’autres logiciels malveillants.
Les deux infectent les victimes, puis téléchargent d'autres modules pour voler des informations d'identification ou se déplacer latéralement sur un réseau. En outre, ils vendent tous deux l'accès aux machines infectées à d'autres groupes malveillants, pour des opérations de minage de cryptomonnaie ou des attaques de ransomware.
Avec l’essor de Trickbot, le réveil d’Emotet est une mauvaise nouvelle pour les administrateurs système chargés de la protection des réseaux d’entreprise et gouvernementaux, cibles favorites des deux botnets.
Les chercheurs en sécurité et les administrateurs système cherchant des hashs de fichiers, des adresses IP de serveur, des lignes d'objet d'e-mails de spam et d'autres indicateurs de compromission (IOC) peuvent trouver ces données sur Twitter. Cryptolaemus, un groupe de chercheurs en sécurité surveillant le botnet Emotet, a également publié des indicateurs de compromission destinés à ceux qui souhaitent se protéger.
Source : Emotet, today's most dangerous botnet, comes back to life 

REF.:

Banques: Le Trésor américain s'en prend à trois groupes de pirates nord-coréens 

Libellés

banque, vol de donné, argent, cyberattaques, hackers nord-coréens,

 

 

 

Technologie : Les groupes de pirates nord-coréens Lazarus, Bluenoroff et Andarial sont désormais entrés dans le groupe très fermés des cibles prioritaires des autorités américaines. Et les sanctions ne se sont pas faites attendre.

Par Catalin Cimpanu | Modifié le mardi 17 sept. 2019 à 14:10

Suivre @zdnetfr

Le département du Trésor américain a imposé la semaine passée des sanctions à trois groupes de pirates informatiques contrôlés par le régime nord-coréen au motif que ces derniers auraient aidé Pyongyang à lever des des fonds pour ses programmes d'armes et de missiles. Les trois groupes cités par Washington ne sont pas inconnus du milieu. Il s'agit en effet des groupes Lazarus, Bluenoroff et Andarial. Pour le Trésor américain, ces derniers opéreraient sous le contrôle et sur ordre du Bureau général de reconnaissance (RGB), le principal bureau de renseignement de la Corée du Nord.
Ils auraient notamment eu recours à des logiciels de rançon et des attaques contre des banques, des réseaux de guichets automatiques, des sites de jeu, des casinos en ligne et des échanges de devises cryptographiques pour voler des fonds à des entreprises au bénéfice des programmes d'armements nord-coréens. Les États-Unis affirment que les fonds volés ont été détournés en Corée du nord, où ils ont été utilisés pour aider le régime de Pyongyang à continuer de financer son programme controversé de missiles nucléaires.

Outre les sanctions prononcées la semaine passée par l'Office of Foreign Assets Control (OFAC) du Trésor américain, les États-Unis ont donné instruction aux membres du secteur bancaire mondial de geler tout actif financier associé à ces trois groupes.

Le groupe Lazarus

Des trois groupes nommés aujourd'hui, le nom Groupe Lazarus (aussi connu sous le nom de Cobra Caché) est parfois utilisé pour décrire tout l'appareil de cyberespionnage nord-coréen. Il ne s'agit toutefois que d'un groupe parmi d'autres, bien qu'il se soit aujourd'hui imposé comme le plus célèbre dans le milieu de la cybercriminalité. Il opère sous l'autorité du RGB et a accès à des ressources élargies mises à sa disposition par le service nord-coréens.
Selon Washington, le groupe Lazarus est un subordonné du 110e Centre de recherche sous le 3e Bureau du RGB. Ce bureau, également connu sous le nom de 3e Bureau de surveillance technique, est chargé de superviser l'ensemble des opérations cybernétiques de la Corée du Nord. Les opérations les plus tristement célèbres du groupe Lazarus ont été le piratage de Sony Pictures Entertainment en 2014, et l'épidémie de rançon WannaCry de mai 2016.

Il ne s'agit toutefois que de deux des nombreux "faits d'arme" du groupe formé en 2007. Les représentants du Trésor ont également déclaré que le groupe a également ciblé des sociétés gouvernementales, militaires, financières, manufacturières, de publication, de médias, de divertissement et de transport maritime international, ainsi que des infrastructures essentielles, en utilisant des tactiques telles que la cyber-espionnage, le vol de données, le détournement de fonds et les opérations de destruction de logiciels. Les pertes financières causées par ce groupe sont inconnues, mais leurs vastes opérations en font le plus dangereux et le plus connu des trois.

Le groupe Bluenoroff

Mais alors que les activités du groupe Lazare se sont largement répandues, le deuxième groupe de fonctionnaires du Trésor nommé semble pour sa part avoir été créé spécifiquement pour pirater les banques et les institutions financières.
"Bluenoroff a été créé par le gouvernement nord-coréen pour gagner des revenus de manière illicite en réponse à l'augmentation des sanctions mondiales", a ainsi fait savoir l'état-major de l'administration du Trésor américain.
"Le groupe Bluenoroff mène des activités cybernétiques malveillantes sous la forme de cambriolages cybernétiques contre des institutions financières étrangères au nom du régime nord-coréen afin de générer des revenus, en partie pour ses programmes croissants d'armes nucléaires et de missiles balistiques", a-t-il expliqué pour mettre en lumière la dangerosité de ce groupe.
Depuis sa formation en 2014, le groupe (également connu sous le nom de APT38 ou Stardust Chollima), est connu pour avoir mené des cyber-attaques contre des banques au Bangladesh, en Inde, au Mexique, au Pakistan, aux Philippines, en Corée du Sud, à Taiwan, en Turquie, au Chili et au Vietnam. Son fait de piratage le plus célèbre demeure à ce jour sa tentative de voler 1 milliard de dollars sur le compte de la Réserve fédérale de New York de la Banque centrale du Bangladesh. Si le hold-up a échoué, les pirates ont toutefois réussi à subtiliser 80 millions de dollars lors de cette attaque.

Le groupe Andariel

Le troisième groupe nommé par Washington est actif depuis 2015 et se spécialise, selon le Trésor américain, dans des faits de cyberespionnage. Il s'agit du groupe Andariel, qui a souvent été vu en train de cibler le gouvernement et la population de la Corée du Sud "pour collecter des informations et créer du désordre" ainsi que pour "tenter de voler des informations sur les cartes bancaires en piratant des distributeurs automatiques de billets pour retirer des espèces ou voler des informations sur des clients pour les vendre ensuite sur le marché noir".
En outre, Andariel est le groupe nord-coréen "responsable du développement et de la création de logiciels malveillants uniques pour pirater les sites de poker et de jeux en ligne afin de voler de l'argent", comme l'a fait savoir l'administration américaine.
Celle-ci s'est notamment appuyée sur un rapport publié plus tôt cette année par le groupe d'experts des Nations Unies sur le renseignement sur la menace, concluant que les pirates nord-coréens avaient volé environ 571 millions de dollars sur au moins cinq échanges de devises cryptographiques en Asie entre janvier 2017 et septembre 2018. Le rapport de l'ONU fait écho à deux autres rapports publiés en octobre 2018, qui pointaient également du doigt les pirates nord-coréens pour deux escroqueries de cryptocriminalité et cinq piratages de plateformes commerciales. Un rapport de FireEye d'octobre 2018 blâmait également les pirates nord-coréens pour avoir effectué des vols de banque de plus de 100 millions de dollars.
"US Treasury sanctions three North Korean hacking groups", traduit et adapté par ZDNet.fr

REF.:

iOS 13 : de nouvelles révélations sur le traqueurs d’objets

L’interface du traqueur d’objets d’Apple dans iOS 13 se dévoile.

Un tel produit et sa connexion Bluetooth offriraient la possibilité de retrouver un objet perdu dans la nature du type porte-feuilles, sac, vélo, porte-clef ou autre qui n’a pas de connexion internet, dès qu’un iPhone ou autre produit Apple passe à proximité de ce dernier. On s’attendait à ce qu’Apple dévoile ce nouveau produit au cours du keynote iPhone 11/11 Pro, mais cela n’a pas été le cas, suggérant qu’il n’était pas encore tout à fait prêt.
Après avoir révélé de nombreux détails sur cet Apple Tag trouvés dans l’une des dernières versions bêta d’iOS 13 il y a quelques semaines, nos confrères de chez MacRumors ont obtenu de nouvelles informations sur le sujet. Ils ont publié une nouvelle image montrant l’interface de ce traqueur d’objets dans l’app Localiser d’une nouvelle version bêta d’iOS 13.

© MacRumors

Sur ces images, on peut voir un nouvel onglet appelé « Items » ou « Objets » (en français). L’interface montre que ce futur traqueur d’Apple au nom de code « B389 » peut s’attacher à différents objets comme des clés, une valise, ou encore un vélo. Cet onglet devrait afficher la localisation des objets perdus auxquels l’utilisateur a attaché un traqueur d’Apple.
Fin août, nous vous partagions une image qui représente une « étoile » ARKit se trouvant dans l’app Localiser sous iOS 13. Celle-ci suggère qu’il serait possible d’utiliser la réalité augmentée pour trouver des objets perdus et équipés de ce fameux traqueur. Il semble qu’iOS 13 permettrait également d’ajouter une « laisse » virtuelle entre un traqueur Apple et un appareil iOS ou watchOS, afin de prévenir l’utilisateur quand le tag s’éloigne hors de portée d’un iPhone ou d’une Apple Watch.
Il est probable qu’Apple dévoile ce produit à un prochain keynote. Moins probable, mais à envisager, la firme californienne pourrait également dévoiler son Apple Tag via un simple communiqué de presse.

REF.:

Un logiciel malveillant frappe 24 applications Android

Un logiciel malveillant frappe 24 applications Android

Un chercheur en sécurité informatique du CSIS a découvert la présence d’un logiciel malveillant sur appareils mobiles Android. Ce sont plus d’une vingtaine d’applications téléchargées depuis le Google Play Store.

Libellés

malware, Android,

 

 

 

C’est loin d’être la première fois que les utilisateurs d’Android sont touchés par un problème du genre. La présence de logiciels malveillants rattachés à des applications dans le Play Store est un problème qui se répète fréquemment.

Même s’il n’est plus possible de télécharger les applications touchées à l’heure actuelle, elles l’ont été plus de 400 000 fois depuis juin dernier. 

Un logiciel malveillant du nom de Joker s'invite chez les utilisateurs Android.

Un problème qui pourrait nous coûter cher

Le logiciel malveillant a été surnommé "le Joker". Son but est de nous inscrire à des services payants sans notre approbation.

Le Joker rend automatique l’interaction entre une offre premium qui nécessite un code de confirmation par SMS.

Quand nous recevons ce message de confirmation, le logiciel s’en empare et transmet les informations au service de paiement.

Avant même qu’on ait eu le temps de s’en rendre compte, les messages textes sont supprimés de notre téléphone.

Voici la liste des applications touchées par le Joker 

• Advocate Wallpaper
• Age Face
• Altar Message
• Antivirus Security
• Beach Camera
• Board Picture editing
• Certain Wallpaper
• Climate SMS
• Collate Face Scanner
• Cute Camera
• Dazzle Wallpaper
• Declare Message
• Display Camera
• Great VPN
• Humour Camera
• Ignite Clean
• Leaf Face Scanner
• Mini Camera
• Print Plant scan
• Rapid Face Scanner
• Reward Clean
• Ruddy SMS
• Soby Camera
• Security Scan
• Spark Wallpaper

Si vous êtes parmi ceux qui ont ces applications, je vous encourage grandement à les désinstaller et à être bien attentif à vos relevés de carte de crédit.

REF.:

iOS 13 : comment connecter une manette PS4 ou Xbox à un iPhone ou iPad

On vous montre comment connecter une manette PS4 ou Xbox One à un iPhone ou iPad sous iOS 13.

 

Libellés

iOS 13, manette, jeux, console

 

 

 Parmi les nombreuses nouveautés d’iOS 13, Apple a dévoilé le support des manettes PS4 et Xbox One, avec les jeux compatibles MFi, dont vous pouvez retrouver une sélection de 40 titres dans cet article, il y a également de nombreux jeux sur Apple Arcade qui marchent avec les manettes !
Aujourd’hui nous allons vous montrer, comment connecter une manette PS4 ou Xbox One à un iPhone ou iPad sous iOS 13. Cela permet de jouer à de nombreux jeux iOS compatibles avec les manettes.
Jusqu’à maintenant il fallait utiliser des manettes certifiées pour fonctionner avec les jeux, malheureusement il n’y a pas beaucoup de manettes compatibles avec les jeux iOS, et beaucoup sont assez ne sont pas terribles au niveau qualité de fabrication et confort d’utilisation.
Mais ce n’est pas le cas des manettes PS4, disponible ici sur Amazon, mais aussi Xbox One, ici sur Amazon, qui sont d’excellentes manettes pour jouer sur iPhone ou iPad. Jouer avec un contrôleur physique reste bien plus agréable et précis que les contrôles tactiles.
Voici une démo vidéo pour connecter les manettes et en dessous les étapes écrites :

Connecter une manette PS4

• Aller dans les réglages du bluetooth sur votre iPhone ou iPad sous iOS 13, et s’assurer que le Bluetooth est activé.
• Appuyer en même temps sur le bouton Share et le bouton Playstation jusqu’à ce qu’une lumière clignote sur la manette, signe qu’elle est en mode d’appairage.
• La manette est normalement apparue dans la liste des appareils Bluetooth sur l’iPhone ou iPad, il suffit d’appuyer sur le nom « Dualshock 4 Wireless Controller » pour connecter la manette.

Connecter une manette Xbox One

• Aller dans les réglages du bluetooth sur votre iPhone ou iPad sous iOS 13, et s’assurer que le Bluetooth est activé.
• Allumer la manette en appuyant sur le bouton Xbox, ensuite pour entrer en mode appairage, il faut appuyer 3 trois secondes sur le bouton Connect.
• La manette est normalement apparue dans la liste des appareils Bluetooth sur l’iPhone ou iPad, il suffit d’appuyer sur le nom de celle-ci pour connecter la manette.

REF.: Maxime Perignon