Actualités

Pour vous abonner au fil RSS, cliquez sur la vignette d'abonnement de votre choix :

Tous > Général > Technique > CNIL > Alertes > Articles > Apple > RGPD

ROMBERTIK : le malware qui se défend en s’attaquant au disque dur pour rendre le système inutilisable!

Publié le 08/05/2015

Talos, le groupe de chercheurs en sécurité travaillant pour l’américain Cisco a découvert un malware particulièrement virulent, baptisé Rombertik. En plus d’espionner la machine sur laquelle il est installé, ce dernier peut savoir s’il est repéré et s’attaquer au disque dur de sorte à rendre le système inutilisable!
Simple trojan comme il en existe des millions en circulation, Rombertik possède une particularité particulièrement dangereuse : la capacité à s'auto-défendre en attaquant le MBR du disque dur!
Apres avoir vérifié qu'il ne s'exécute pas dans une sandbox, Rombertik se déploie et vérifie s'il fait l'objet d'une analyse mémoire ou d'un scan antivirus : si tel est le cas, il s'attaque alors au MBR ou, en cas d'échec, aux fichiers et système de l'utilisateur par chiffrement, puis lance le redémarre de la machine : celle-ci n'affichera alors plus Windows, une boucle de code infinie généré par le malware empêchant le lancement de celui-ci !!

Accéder à l'article sur le blog Cisco : Rombertik(en anglais).

Encore une fois, il faut faire preuve de prudence avec le courrier électronique et ses pieces jointes : éviter de cliquer sur une pièce jointe placée dans un email dont vous ne connaissez pas l’expéditeur!!

WordPress : Deux failles d'extensions exploitées par des pirates

Publié le 08/05/2015

WordPress vient de livrer une mise à jour pour corriger une faille découverte dans deux plug-ins utilisant les icônes Genericons.
WordPress vient de livrer ce 7 mai la mise à jour 4.2.2 pour corriger cette faille. Il y a une semaine, l’équipe du CMS avait déjà fourni la mise à jour 4.2.1 pour intervenir sur une faille XXS découverte par Jouko Pynnönen, moins d'une semaine après une autre correction sur un problème similaire.
Les deux plug-ins impliqués dans la nouvelle vulnérabilité découverte sont JetPack et Twenty Fifteen, le thème par défaut de Wordpress. Le fait que WordPress installe Twenty Fifteen par défaut augmente le nombre de sites vulnérables .

Poure accéder à l'article du Monde informatique, c'est par... ici.

Autopsie d'un mail dangereux

Publié le 04/05/2015

La fréquence de réception de mail de fishing ou contenant des pièces jointes dangereuses augmente significativement. Un exemple? Bien, procédons donc à l'autopsie d'un email reçu ce week-end et qui s'avère pour le moins... surprenant :

Bien évidement, la demande contenu dans le corps de message du mail incitre à ouvrir la pièce jointe "formulaire.html". Que contient donc ce formulaire?

A priori, rien de bien méchant : du code pour "informaticien"... Analysons donc un peu ce code :

1. Une variable jsESC est construite.
2. Le formulaire cherche à afficher le contenu de la chaine (document.write) contenu dans la variable "jsESC" en la décryptant via la méthode "unescape".
Tiens... tiens... mais serait-on en présence d'une tentative d'obfuscation? (Cette méthode d'obfuscation est, par exemple, détaillée par là ).

La variable jsESC contient donc du code caché :

Si l'on pousse l'analyse, on pourra découvrir que ce code renvoi donc

* Vers un lien TinyURL : http://tinyurl.com/7lje6rk' (NB : TinyURL est un service web de réduction d'URL)
ce lien renvoi en fait sur "https://html-encrypter.googlecode.com/svn/trunk/hea2.js"
* Une clef de chiffrement : hea2p (une clef de 60 caractères, soit dit en passant!)
* Un message chiffré en AES 256 : hea2t
Enfin, l'exécution du message chiffré via son déchiffrement : Aes.Ctr.decrypt(hea2t, hea2p, 256)

Cette méthode est détaillée, entre autre, par Chris Veness dans son article.
Il facile de décrypter le message hea2t en utilisant la méthode decrypt de Chris Veness, fourni sur le "https://html-encrypter.googlecode.com/svn/trunk/hea2.js" déjà mentionné. On obtient alors le code suivant :

Soit le site affiché suivant (aux images près, la VM de test n'étant évidemment pas relié au reseau :) )

On peut remarquer, entre autre, que les images sont situées à une adresse surprenante :

Encore plus surprenant, ce nom de domaine est hébergé chez ... OVH!

Mais continuons à approfondir...
Si l'on saisit des identifiants, comme demandé, on accède à une page demandant ... notre état civil!

Avant d'arriver, carrement, à la demande des identifiants de carte bleue code y compris!

Le fait de cliquer sur le "Submit" permet donc l'exfiltration de tous vos renseignements! sur le même site exotique "http://sppemldomlzkkkdppmmslsl873279320jkdsj837283.com/"

Conclusion :
Bien que ce mail soit particulier mal fait - adresse expéditeur ne correspondant pas au corps de mail, demande de cliquer sur un fichier html!, sans compter le fait qu'il ne soit pas ciblé!, etc.- il reste néanmoins dangereux : un utilisateur peu attentionné aurait dans notre cas transmis l'ensemble de ses informations - identifiant et mot de passe d'accès à sa banque, identifiants personnels et même numéro de carte bleue!
Plus que jamais, il faut Faire preuve de prudence avec le courrier électronique

Voir les conseils de l'ANSSI : ici.
Ou ceux de la suisse MELANI : là .

Plus d'information sur le site dédié à la lutte contre le fishing (en anglais).

MELANI : Rapport semestriel 2014/2

Publié le 04/05/2015

La Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI), émanation de la confédération suisse, réunit des partenaires qui travaillent dans le domaine de la sécurité des systèmes informatiques et de l'Internet ainsi que dans celui de la protection des infrastructures nationales et vitales. C'est un peu l'equivalent de notre ANSSI francaise.
MELANI fête son dixième anniversaire.
A cette occasion, le 20e rapport semestriel ne se concentre pas uniquement sur les principaux événements du deuxième semestre 2014, qui a été marqué en particulier par des chantages et des attaques contre des systèmes mal protégés. Le rapport examine également l'évolution de la cybercriminalité ces dix dernières années.

Accéder à la page d'accueil de MELANI.
Accéder directement à la page du rapport.
Et, pour reprendre le commentaire de Jean-Robert Bos, 'un rapport similaire pour la France et l'Europe serait enrichissant ...'

Pourquoi pirater un Pc? Eléments de réponse

Publié le 23/04/2015

Brian Krebs, journaliste spécialisé en sécurité informatique, a réalisé - et remis à jour - un scrap indiquant les éléments intéressant d'un pc... à pirater!

Bref, si personne n'a rien à cacher ni rien d'important dans sa machine, ce n'est surement pas l'avis des pirates!

Voir l'article source.

1<< Précédent< 20 >Suivant >>27