Étiquette : Sécurité

Vincent Lecomte
[Sécurité] Le ransomware Try2Cry se propage à l’aide de clés USB

[Sécurité] Le ransomware Try2Cry se propage à l’aide de clés USB

Le ransomware Try2Cry est un logiciel malveillant récemment découvert par l’analyste Karsten Hahn de la société G DATA, qui se propage à l’aide de clés USB et de raccourcis Windows (fichiers .lnk), afin de potentiellement toucher d’autres victimes.

Try2Cry infecte les PC sous Windows 7, 8/8.1 et 10. L’information a été relayée par le site Bleeping Computer.

ransomware try2cry propage usb

Comment ça marche?

Lorsqu’il infecte une machine, Try2Cry chiffre les documents et images auxquels il ajoute l’extension .Try2Cry. Les données sont chiffrées à l’aide de l’algorithme Rijndael et une clé codée en dur.

Détail amusant : l’auteur a fait en sorte que le malware n’infecte pas les machines dont le nom est DESKTOP-PQ6NSM4 ou IK-PC2. On peut supposer que cela lui ait donné la possibilité de tester le logiciel sans verrouiller ses fichiers.

Les clés USB pour se propager

La particularité du ransomware Try2Cry est qu’il se propage à l’aide de clés USB. La technique employée est similaire à celle d’autres logiciels malveillants comme le botnet Andromeda ou le ransomware Spora.

Depuis une machine infectée, la première étape est de détecter si des périphériques amovibles sont branchés. Si un tel périphérique – une clé USB par exemple – est détecté, le ransomware va en cacher les fichiers présents puis créer des raccourcis (fichiers .lnk) vers ceux-ci.

Lorsque l’utilisateur clique sur l’un de ces raccourcis, cela a pour effet d’accéder au fichier caché lié mais aussi d’exécuter le fichier “Update.exe” qui est une copie du malware. Le petit plus? Try2Cry va rajouter des copies de lui-même avec des noms en arabe afin d’éveiller la curiosité des potentielles victimes.

Grâce à cela et aux icônes des raccourcis il est assez facile à reconnaitre lorsqu’il infecte une clé USB.

Faible sécurité

D’après le rapport d’analyse le déchiffrement des fichiers serait possible assez facilement. Try2Cry est en fait une autre variante du ransomware open-source “Stupid”.

Un outil a déjà été créé afin de déchiffrer les fichiers dont les extensions font partie de la liste ci-dessous.

.666, .adam, .alosia, .android, .ANNABELLE, .anon,
.bycicle, .corrupted, .crypted, .CYRON, .deria, .devil,
.Doxes, .encrypt, .eTeRnItY, .FailedAccess, .fucked, 
.fucking, .fun, .H34rtBl33d, .Harzhuangzi, .haters, 
.iGotYou, .jeepers, .jigsaw, .killedXXX, .lock, .malki, 
.Malki, .MIKOYAN, .Nazi, .powned, .purge, .slvpawned, 
.SnakeEye, .Tesla, .whycry, .WINDIE, .XmdXtazX, .xncrypt, 
_crypt0, _nullbyte

Sources

[Android] Retrait d’applications qui volaient les identifiants Facebook

[Android] Retrait d’applications qui volaient les identifiants Facebook

Le Play Store regorge d’applications pour nos smartphones. Parmi celles-ci on retrouve régulièrement des applications malveillantes. C’est suite à un rapport de la société de cybersécurité Evina que Google a procédé au retrait de 25 applications qui volaient les identifiants Facebook.

retrait applications identifiants Facebook

Afin de tromper l’utilisateur, les applications développées proposaient des services classiques comme le scan de codes QR ou la gestion de fichiers. D’autres se présentaient sous forme de jeux vidéo. Cependant chacune d’entre elles contenait un code malicieux permettant de détecter la dernière application ouverte.

Si celle-ci était Facebook alors le malware enclenchait l’ouverture d’une fausse page web permettant de subtiliser les identifiants de l’utilisateur. Lorsque l’utilisateur confirmait les données étaient envoyées à un serveur distant.

Voici la liste d’applications concernées :

  • Accurate Scanning of QR Code
  • Anime Live Wallpaper
  • Classic Card Game
  • Color Wallpapers
  • com.tqyapp.fiction
  • Composite Z
  • Contour Level Wallpaper
  • Daily Horoscope Wallpapers
  • File Manager
  • iHealth Step Counter
  • iPlayer & iWallpaper
  • Junk File Cleaning
  • Padenatef
  • Pedometer
  • Plus Weather
  • Powerful Flashlight
  • Screenshot Capture
  • Solitaire Game
  • Super (Bright) Flashlight, Super Wallpapers Flashlight
  • Synthetic Z
  • Video Maker
  • Wallpaper Level
  • Wuxia Reader

Cette liste a été transmise à Google fin mai. La firme a ensuite procédé au retrait des applications malveillantes début juin. Dès lors si vous retrouvez l’un des éléments de cette liste sur votre smartphone, désinstallez-le rapidement.

En outre la société de cybersécurité met en garde les utilisateurs en leur recommandant de toujours télécharger des applications de développeurs de confiance. La prudence est donc de mise.

De plus en volant vos identifiants, les hackers peuvent accéder à votre compte ou des sites utilisant l’API Facebook. De manière générale il est donc vivement recommandé de protéger vos comptes actuels en utilisant l’authentification à deux facteurs.

A lire également

[Sécurité] Le phishing

Vous avez déjà dû entendre parler de la technique de “hameçonnage”, traduction de l’expression anglaise “phishing”. Expression obtenue en mixant deux mots de la même langue, à savoir “fishing” (l’action de pêcher) et “phreaking” (obtention d’informations transitant sur des réseaux téléphoniques, satellites, ou même via les ondes radios). La technique consiste à usurper l’identité de […]

0 commentaire

Sources

[Windows 10] La mise à jour de mai 2020 est retardée

[Windows 10] La mise à jour de mai 2020 est retardée

Vous l’attendiez peut-être depuis quelques jours surtout après les bonnes nouvelles concernant la refonte du moteur d’indexation et de recherche du système d’exploitation, qui permettrait de significativement améliorer les performances sur les machines à disques durs. Et bien malheureusement la build 2004 de Windows 10 est retardée… à cause d’une faille de sécurité.

Comme chaque année depuis sa sortie, Windows 10 reçoit deux mises à jour importantes dont une aux alentours du mois d’avril. À la lecture de nombreux articles on pouvait penser à juste titre que celle-ci arriverait en début de mois de mai, sauf que suite à la découverte d’une faille zero-day, elle sera bel et bien repoussée. Dommage !

D’après Mary Jo Foley, une journaliste du site ZDNet, il n’est pas impossible que la mise à jour soit livrée le 28 mai. Quant aux développeurs ils devraient recevoir une mise à jour lors du Patch Tuesday (à savoir le 12 mai). On n’apprend malheureusement rien de plus sur cette fameuse faille de sécurité mais on peut facilement comprendre ce report surtout après les nombreuses critiques de ces dernières semaines.

Sources

Phonandroid
ZDNet

[Utilitaires] KeePass et saisie auto dans Firefox

[Utilitaires] KeePass et saisie auto dans Firefox

Ayant décidé de repasser à l’antivirus de Windows plutôt que d’utiliser Bitdefender qui déçoit malheureusement par sa cuvée 2019, il a fallu chercher un moyen de remplacer la fonctionnalité du Wallet. Pour ceux qui ne connaissent pas, la suite Bitdefender intègre un gestionnaire de mots de passe qui permet donc de sauvegarder les identifiants dans une base de données locale et/ou stockée sur le cloud et synchronisée avec les appareils protégés. La particularité supplémentaire de ce gestionnaire de mots de passe, c’est qu’il est possible de l’intégrer aux différents navigateurs pour profiter de la saisie automatique dans les formulaires utilisateur/mot de passe.

Malheureusement il existe énormément de concurrents qui proposent de… payer à l’année ou au mois pour disposer d’un gestionnaire et de la synchronisation. Leurs versions gratuites permettent généralement de stocker une dizaine voire une cinquantaine de mots de passe. En 2019 il est difficile de s’en tenir à ce genre de nombre. Sachez qu’il existe une alternative qui ne coute pas un sou !

Il s’agit de KeePass, un logiciel open-source ultra-léger qui fonctionne lui aussi avec une base de données qui est protégée par un mot de passe et cryptée avec des algorithmes robustes. Il se contente de l’essentiel et propose diverses fonctionnalités comme la création de groupes, le copier-coller d’un mot de passe avec expiration du contenu du presse-papiers, etc. Et ce qui fait aussi sa force, c’est la multitude de plugins qui peuvent être rajoutés.Vous trouverez le logiciel sur la page suivante : Keepass.info. Téléchargez l’exécutable de la version 2 et installez l’utilitaire sur votre machine, dans le répertoire de votre choix. Lancez le logiciel et créez une nouvelle base de données avec les options par défaut.

Il existe donc une extension très intéressante qui peut être installée dans Firefox : il s’agit de Kee. Vous devez tout d’abord télécharger l’extension et l’installer. Une fois que cela est fait, il faut télécharger le plugin KeePass RPC depuis le Github officiel. Téléchargez le fichier “plgx” et placez-le dans le sous-répertoire “plugins” de l’installation de KeePass. Fermez et rouvrez KeePass.

A cet instant le navigateur va souhaiter communiquer avec KeePass via le plugin fraichement installé. Le logiciel va vous demander un code que vous devrez copier dans le champ de saisie normalement automatiquement affiché à l’écran. Un peu à l’image d’un code PIN Bluetooth qu’il faut entrer des deux côtés pour valider l’échange de données. Ce fameux code pourra expirer après un temps que vous personnaliserez.

C’est prêt ! Lorsque vous introduirez des identifiants dans les champs utilisateur/mot de passe d’un site web, il vous sera proposé de les enregistrer dans la base de données de KeePass. Lors d’une prochaine visite du site, les champs seront automatiquement complétés, à l’image de ce qui se fait avec Bitdefender Wallet ou d’autres solutions également payantes. Vous pouvez également fouiller dans les options de l’extension (donc au niveau du navigateur) pour par exemple soumettre automatiquement un formulaire une fois rempli… Bref, j’aime !

Ci-dessous les liens utiles :

[Divers] Bitdefender lit infiniment sur vos disques

[Divers] Bitdefender lit infiniment sur vos disques

Il n’y a pas que Microsoft qui semble avoir du mal en ce moment. En effet, l’antivirus Bitdefender 2019, dans sa version 23.0.10.31, contient quelques bugs gênants (impression impossible avec certaines imprimantes Canon, options de profils non sauvegardées, logiciels Battle.Net bloqués pour l’installation des mises à jour de jeux Blizzard, etc), dont l’un provoque une lecture infinie sur tous les disques connectés à l’ordinateur, aussi bien internes qu’externes.

Dans le gestionnaire de tâches, on peut voir pour chacun des disques une lecture à environ 24,5 Ko/s. De ce fait les disques externes étant également impactés, ne peuvent être éjectés.

 

Le problème, qui a déjà été remonté sur les forums de la suite antivirus, semble en partie liée à un service Windows – nommé Infrasturcture de gestion Windows (WMI). En effet, un utilisateur sur le forum a constaté qu’en redémarrant ce service (arrêter puis démarrer), le phénomène s’arrêtait. Plusieurs utilisateurs ont créé des scripts maison pour effectuer cette tâche au lancement de l’ordinateur pour corriger temporairement le souci. D’autres ont constaté que malgré cette opération, le problème persistait.

Dans une ligne de commandes avec les droits administrateur, il suffit de saisir les lignes suivantes :

net stop winmgmt
net start winmgmt

Attention que d’autres services peuvent dépendre de WMI et donc ceux-ci devront également être arrêtés et redémarrés.

Pour en revenir à ce problème le processus principal de Bitdefender semble en fait verrouiller les fichiers qu’il lit, et l’opération de relance du fameux service WMI semble relâcher ces “verrous“. Bien sûr le bug est sans doute plus complexe qu’on peut le croire car cela fait près d’un mois que cela a été signalé aux développeurs. Il n’y a plus qu’à croiser les doigts pour qu’un patch soit vite déployé.

[Système] Microcode Intel pour Windows 10 1803

[Système] Microcode Intel pour Windows 10 1803

Jusqu’à présent Microsoft ne proposait pas les mises à jour nécessaires pour le microcode des processeurs Intel pour Windows 10 April Update (version 1803), laissant ainsi la faille Spectre à nouveau ouverte. C’est désormais réglé puisque le catalogue Microsoft Update reprend une nouvelle mise à jour, la KB4100347. Comme cela a déjà été expliqué dans un article sur ce blog, vous pouvez utiliser l’outil GRC InSpectre pour connaitre le CPUID de votre processeur.

Repérez ensuite la bonne version du patch à télécharger et l’architecture correspondant à celle de votre OS. Il vous sera demandé de redémarrer après l’installation. Vérifiez ensuite avec le petit outil si la protection est bien active.

Si la mise à jour ne s’applique pas à votre processeur, vérifiez si le constructeur de votre carte mère ne propose pas un nouveau BIOS. Dernièrement Asus – comme d’autres marques – a sorti des versions bêta pour certains modèles tels que les Maximus VII, et les retours sont plutôt positifs.

[Windows 10] Firmware Intel contre Spectre

[Windows 10] Firmware Intel contre Spectre

Depuis le début du mois de mars Intel collabore avec Microsoft pour délivrer aux utilisateurs de Windows 10 (version 1709) les mises à jour du firmware de ses processeurs qui sont touchés par la fameuse faille Spectre. Déployée au démarrage du système, cela permet aux possesseurs de plus anciennes machines de se protéger au maximum alors qu’ils ne bénéficient pas forcément d’un BIOS mis à jour.

Il y a deux jours le patch a donc été mis à jour pour couvrir les processeurs des gammes Kaby Lake et Coffee Lake, en plus de Skylake. Il s’agit de la mise à jour KB4090007. Le tableau présent sur cette page liste les versions existantes de cette mise à jour, et précise quels sont les CPU concernés à chaque fois. La colonne CPUID vous permettra d’identifier si le votre peut recevoir le correctif.

Téléchargez l’outil InSpectre créé par Gibson Research Corporation, sur la page ici. Ce petit logiciel, ne nécessitant aucune installation, vous indique si votre ordinateur est protégé contre Spectre et Meltdown. Il vous permet également de désactiver les protections pour chacune, si vous rencontrez des problèmes de performances. Et nouveauté de la dernière version : elle indique le CPUID, soit le code qui identifie votre processeur, et qui doit correspondre à un élément dans le tableau sur la page Microsoft du correctif.

Localisez la bonne version du correctif lié au CPUID du processeur, puis rendez-vous sur le catalogue Microsoft Update pour récupérer le patch. Une fois téléchargé, exécutez-le. L’installation ne prend que quelques secondes et vous invite à redémarrer une fois terminée.

Au redémarrage, il faudra exécuter l’outil InSpectre en mode administrateur, et activer la protection pour Spectre.A noter que pour les anciennes versions de Windows, des patches logiciels sont déployés mais ne protègent pas complètement des attaques. Certains bidouilleurs passent alors par des solutions alternatives en moddant le BIOS pour injecter le firmware quand le constructeur de la carte mère ne fournit plus de support logiciel.

Pendant ce temps, Intel améliore le design de ses puces afin d’y intégrer une protection matérielle, et continuerait de mettre en production les firmwares pour les plus anciennes gammes, d’après le bout de document ci-dessus. Espérons que Microsoft continue à les déployer via Microsoft Update…

[Sécurité] Quel site fabrique de la cryptomonnaie?

[Sécurité] Quel site fabrique de la cryptomonnaie?

Il y a peu j’avais pu constater que certains sites (notamment des sites proposant du téléchargement illégal) utilisaient le moteur JavaScript du navigateur pour miner de la crypto-monnaie. C’est une pratique qui semble devenir… monnaie courante – pardon pour le jeu de mots – afin de générer des revenus. Cela vise à remplacer les bannières publicitaires. Le minage n’est pas toujours avantageux puisqu’il peut utiliser pas mal de ressources CPU de votre machine. Korben met en avant un site web intéressant pour vérifier où ce principe est appliqué. Il s’agit de Whoismining?

Saisissez l’adresse du site internet à vérifier et cliquez sur “Check“. Le résultat indique la méthode de fabrication, en analysant le script utilisé (ex : jsecoin, coinhive.com, etc). Vous pourrez donc savoir quels sont les coquins qui font craquer votre machine. Si vous êtes totalement contre cette pratique il n’est pas inutile d’employer des extensions comme Noscript. Cela bloquera l’exécution de ces scripts et donc, votre ordinateur restera tranquille !

Edition du 4 décembre 2017 : il semblerait que certains scripts ouvrent une fenêtre de votre navigateur en arrière-plan en positionnant celle-ci derrière la barre de tâches. Si la transparence est activée, vous pouvez facilement la repérer.

Sources

Korben

[Social] Une faille dans les sondages Facebook

[Social] Une faille dans les sondages Facebook

Une faille qui a été corrigée mais qui aurait pu causer des dégâts plutôt… gênants ! En effet, c’est un développeur iranien du nom de Pouya Darabi, qui a découvert qu’il était possible de supprimer n’importe quelle photo d’un autre utilisateur depuis un sondage, fonctionnalité introduite sur la plateforme dans le courant du mois. Lors de la création d’un sondage, il modifiait la requête pour sélectionner l’image de celui-ci, en remplaçant l’identifiant de la photo par celui d’un autre cliché. En validant, l’image ciblée apparaissait bien. Il ne restait plus qu’à supprimer le sondage pour que la photo soit elle aussi retirée.

Pour mieux comprendre le processus, regardez donc cette vidéo.

En tout cas ça lui fera un peu d’argent de poche puisqu’il a empoché 10 000 $ pour sa découverte.

Sources

Korben
TheHackerNews

[Sécurité] Bad Rabbit arrive en Europe

[Sécurité] Bad Rabbit arrive en Europe

Bad Rabbit est un nouveau malware développé sur base du code de Petya. Il s’attaque aux partages réseau, notamment dans les entreprises. Le malware propose tout d’abord à l’utilisateur d’installer une soi-disant mise à jour d’Adobe Flash. Une fois qu’il accepte, le logiciel malveillant commence à scanner les partages réseaux SMB (“Server Message Block“, le protocole de partage utilisé par les PC sous Windows) ouverts et tente d’accéder à ceux qui sont protégés à l’aide d’une liste d’utilisateurs / mots de passe prédéfinie.

Il va évidemment chiffrer tout ce à quoi il a eu accès lors de son analyse, en demandant évidemment à la victime de débourser la somme de 0,05 bitcoin pour débloquer la situation (avec un prix qui semble augmenter au fil des heures). Comme d’habitude : ne payez pas ! Kaspersky recommande même de désactiver le service WMI pour bloquer la propagation du malware.

Sources

Korben