Cas type de hacking: Quoi surveiller !
Cas type de hacking: Quoi surveiller !
Dans le cas suivant et qui ressemble à tous les autres, ça se passe lorsque vous téléchargez un package ou add-on a votre logiciel existant !
C'est pourquoi certaine personne ou sur un Mac , le programme est installé en format mobile ou transportable ou installer en externe sur votre bureau, donc jamais dans vos programmes en internes, comme souvent sur Windows.
Maintenant si vous avez des doutes, toujours faire vos backup avant de l'installer. Surveiller les critiques sur les sites de power users comme Reddit!
Ayez un programme de désintallation efficace comme Revo uninstaller (efface et puissance et simple )ou Bulk Crap uninstaller, pour enlever toute trace d'installation dans la base registre windows.
Comment surveiller les traces d'activité de hacking: Avec un logiciel simple comme God Mode qui vous montrera "afficher les journeaux des événements " dans la section outils d,administration ou dans le centre de maintenance "afficher l"historique de fiabilité "; ou des logiciels comme Sécurity task manager ou SysHardener (aller voir sur clubic,cnet ou sourceforge pour les télécharger) pour voir les activités suspectes en arrière-plan sinon faîtes la touche contr alt sup et cliquer sur ouvrir le gestionnaire de tâche pour voir les activités suspectes dans la section Processus!!! Vous saurez quels programmes ou server est actif(comme improc server PostGre SQL server et RLHost service ou autre exécutable suspect actif)Voici un autre exemple: https://docteo2.wordpress.com/2024/05/23/comment-desinstaller-les-logiciels-de-creation-dimage-de-reallusion/
Des hackers se servent de Stack Overflow pour répandre des malwares
Par Mélina LOUPIA
Publié le 02 juin 2024 à 13h12
Un malware se cache sur Stack Overflow
Des cybercriminels se font passer pour des utilisateurs bienveillants sur Stack Overflow dans le but de promouvoir des packages Python malveillants. Une fois installés, ces derniers téléchargent des programmes malveillants capables de voler des données sensibles sur les ordinateurs des victimes.
Une nouvelle vague de cyberattaques prend d'assaut la populaire plateforme de questions-réponses Stack Overflow, exploitant la confiance des développeurs. Les hackers répondent à des questions en recommandant l'installation de packages Python apparemment inoffensifs, mais qui cachent en réalité du code malveillant.
Lorsqu'un développeur innocent suit ces conseils, le package télécharge et exécute un programme malveillant capable de voler des informations précieuses sur l'ordinateur de la victime. Cette campagne malveillante, baptisée « Cool package », sévit depuis l'année dernière et cible principalement les utilisateurs Windows.
Le succès de Stack Overflow et la confiance des utilisateurs font d'elle une cible de choix pour les hacker qui déploient le package Python vérolé « pytoileur »
Stack Overflow est une plateforme incontournable pour les développeurs à la recherche d'aide sur des problèmes de codage. Sa grande communauté et sa réputation de fiabilité en font une cible de choix pour les cybercriminels désireux de propager leurs logiciels malveillants.
Dans cette récente campagne, un compte fictif « EstAYA G » a été créé pour répondre à des questions de débogage. Il recommandait ainsi l'installation d'un package Python nommé « pytoileur ». Bien que présenté comme un outil de gestion d'API, ce package contient en réalité du code malveillant en base64 et dissimulé par des espaces superflus.
Lorsqu'un développeur non averti suit les instructions et installe « pytoileur », le code malveillant déguisé se déclenche. Il télécharge un exécutable nommé « Runtime.exe » depuis un serveur distant contrôlé par les attaquants. Cet exécutable est en vérité un programme Python converti qui installe un cheval de Troie sur l'ordinateur de la victime.
Cette tactique d'utiliser Stack Overflow pour promouvoir des logiciels malveillants est particulièrement insidieuse. Elle exploite la confiance et l'autorité dont jouit la plateforme auprès des développeurs, qui s'attendent à y trouver de l'aide légitime. En se faisant passer pour des utilisateurs bienveillants, les hackers augmentent leurs chances de tromper leurs victimes.
De plus, le typosquatting (l'utilisation de noms similaires à des packages légitimes, comme lors de la campagne qui avait touché Zoom, Meet et Skype), et l'obscurcissement du code malveillant rendent la détection plus difficile. Même un examen superficiel du code pourrait ne pas révéler les véritables intentions malveillantes.
"Pytoiler" est un redoutable infostealer © Bits And Splits / Shutterstock
"Pytoiler" est un redoutable infostealer © Bits And Splits / Shutterstock
« pytoiler », cheval de Troie multitâche et infostealer redoutable qui pille les données, les mots de passe enregistrés, les coordonnées bancaires et les portefeuilles crypto
Une fois installé sur l'ordinateur de la victime, le cheval de Troie déployé par « pytoileur » peut faire toute une variété d'actions malveillantes visant à voler des informations sensibles. Premièrement, il assure sa persistance sur le système en modifiant les paramètres du registre Windows. Il déploie également des mesures anti-détection pour tenter d'échapper à l'analyse des chercheurs en sécurité et des solutions antivirus.
Son objectif principal est cependant le vol d'informations. Le malware cible les données stockées dans les navigateurs web populaires comme Google Chrome, Brave et Firefox. Il tente d'extraire les cookies, les mots de passe enregistrés, l'historique de navigation et même les informations de carte de crédit.
Mais ce n'est pas tout. Le cheval de Troie cherche également des données liées aux services de finance et de crypto-monnaies tels que Binance, Coinbase, Exodus Wallet, PayPal, Payoneer, PaySafeCard, Crypto.com et Skrill. S'il trouve des informations d'identification ou des portefeuilles de crypto-monnaies, il les vole sans scrupule.
Les capacités de surveillance du malware vont même jusqu'à activer la webcam de la victime, enregistrer les frappes au clavier (keylogger) et prendre des captures de l'écran. Toutes ces données précieuses sont ensuite exfiltrées vers les serveurs des attaquants.
Pour se protéger, les utilisateurs doivent faire preuve d'une extrême prudence lorsqu'ils suivent des conseils en ligne, même sur des plateformes réputées comme Stack Overflow, et peut-être même surtout lorsque les sites ou plateformes sont parmi les plus populaires.
Comme toujours, prudence et bonnes pratiques sont de rigueur. Avant d'installer un package tiers, il est essentiel de vérifier sa source, ses avis et son code source pour voir s'il y a d'éventuels comportements suspects. Garder un logiciel antivirus à jour est également recommandé. En cas d'infection, il est conseillé de changer immédiatement tous les mots de passe sensibles et de surveiller les activités suspectes sur les comptes en ligne.
REF.: https://www.clubic.com/actualite-528549-des-hackers-se-servent-de-stack-overflow-pour-repandre-des-malwares.html?utm_source=newsletter&_ope=eyJndWlkIjoiNzM2OGQyYTA1M2UxYjUzYTEzZDE0MDAzYWQ0Yzg1YWMifQ%3D%3D
