Il y a quelque temps, j’ai découvert une étude intéressante réalisée par des chercheurs de l’Université du Québec sur la sécurité du code généré par ChatGPT, le modèle de langage développé par OpenAI. Vous vous demandez peut-être ce qu’ils ont trouvé ? Eh bien, accrochez-vous, car les résultats sont surprenants !

Les chercheurs ont demandé à ChatGPT de générer 21 programmes et scripts dans différents langages, et seuls cinq d’entre eux étaient sécurisés dès la première tentative. Après avoir insisté pour que ChatGPT corrige ses propres erreurs, ils ont réussi à obtenir sept codes sécurisés de plus.

Une partie du problème semble provenir du fait que ChatGPT ne prend pas en compte un modèle d’exécution de code de type « adversarial« . En d’autres termes, il ne considère pas que le code qu’il génère pourrait être utilisé à des fins malveillantes. De plus, ChatGPT refuse de créer un code offensif, mais créera volontiers un code vulnérable, ce que les auteurs considèrent comme une incohérence éthique.

Les chercheurs ont également constaté qu’une des « réponses » de ChatGPT comme solution miracle aux préoccupations de sécurité était d’avoir uniquement des entrées valides, ce qui n’est pas vraiment réaliste dans le monde réel. De plus, le modèle ne fournit jamais de conseils utiles pour renforcer la sécurité d’un code, sauf si on lui demande précisemment de remédier aux problèmes. Et pour lui demander ça, il faut savoir quelles demandes lui formuler exactement, ce qui veut dire que vous devez vous-même être familier du langage et des vulnérabilités, par avance.

En conclusion de leur étude, les chercheurs pensent que ChatGPT, sous sa forme actuelle, représente un risque et que l’IA est victime du syndrome de Dunning Krüger. Les étudiants et les développeurs doivent être parfaitement conscients que le code généré avec ce type d’outil peut être non sécurisé. De plus, le comportement du modèle est imprévisible, car il peut générer un code sécurisé dans un langage et un code vulnérable dans un autre.

Bref, si vous utilisez ChatGPT ou un autre outil similaire (Github Copilot…etc) pour générer du code, gardez à l’esprit qu’il ne faut pas prendre pour argent comptant que le code fourni est sécurisé. Soyez vigilant et assurez-vous de vérifier et de tester le code pour détecter les éventuelles vulnérabilités. Et n’oubliez pas, comme dit Gaston Lagaffe : « La sécurité avant tout ! »

Source

Les menaces informatiques qui pèsent sur les petites et moyennes entreprises (PME) ne cessent d’augmenter.

The post Cybersécurité : les PME montrent un excès de confiance face aux menaces appeared first on iTPro.fr.

Un nouveau rapport met en lumière les activités malveillantes sur Discord, notamment autour des abonnements Discord Nitro qui représente une véritable opportunité pour les cybercriminels.

Pour rappel, Discord est un service en ligne très populaire pour échanger par chat ou par audio et il existe de nombreuses communautés sur des thématiques diverses et variées. Même si à ses débuts il était utilisé surtout par les gamers, ce n'est plus du tout le cas depuis plusieurs années. D'ailleurs, il y a le serveur Discord de la communauté IT-Connect ! Discord compte plus de 300 millions d'utilisateurs actifs. Forcément, s'il y autant d'utilisateurs sur cette plateforme, cela va attirer les cybercriminels.

Justement, un chercheur en sécurité de chez CyberArk Labs a fait la découverte d'un nouveau malware nommé Vare qui présente la particularité d'être distribué par l'intermédiaire de Discord. Il est associé à un groupe de pirates nommé Kurdistan 4455 basé au sud de la Turquie.

Discord Nitro, l'élément déclencheur

D'après ce chercheur, c'est depuis qu'il y a l'offre payante Discord Nitro qu'il y a des malwares sur Discord. Pourquoi ? Et bien, parce qu'en échange d'un abonnement payé mensuellement, l'utilisateur accède à des fonctions supplémentaires comme le chargement de fichiers plus lourds ou une qualité plus élevée pour le streaming.

De ce fait, il y a des utilisateurs qui essaient d'obtenir des clés d'activation Discord Nitro de manière gratuite et qui se font piéger. Certains d'entre eux s'essaient aussi au brute force ou au social engineering pour mettre la main sur les avantages Discord Nitro gratuitement. C'est pour cette raison qu'avec un malware, les pirates peuvent piéger les utilisateurs et leur voler des informations, notamment les coordonnées de cartes bancaires dans le but d'acheter des clés Discord Nitro : "Ces clés peuvent être échangées pour obtenir Discord Nitro, et des acteurs malveillants les vendent à des fins lucratives.", précise l'étude CyberArk.

Le malware Vare

Dans le cas présent, le malware Vare utilisé par les pirates informatiques est codé en Python puis converti en exécutable avec pyInstaller. Il agit uniquement sur Discord, que ce soit pour stocker les données exfiltrées ou pour trouver de nouvelles cibles. 

Une fois la machine infectée, le malware Vare va être capable de voler des informations notamment dans Discord : jetons d'authentification, informations de paiement, statut du Nitro, ainsi que le numéro de téléphone associé au compte. Cela ne s'arrête pas là, car il va aussi se servir dans les navigateurs pour voler les mots de passe enregistrés et récupérer des informations sur la machine en elle-même (CPU, RAM, clés WiFi enregistrées, etc.). Ces fonctions correspondent à celles que l'on retrouve dans le malware Empyrean.

Cette recherche est intéressante, car elle montre que ce n'est pas simplement une guerre entre les cybercriminels d'un côté et les utilisateurs de l'autre. En effet, ici le groupe de cybercriminels Kurdistan 4455 va chercher à piéger d'autres personnes malveillantes : ce qui prouve que personne n'est à l'abri et que ce n'est pas qu'une question de positionnement !

Le rapport complet de CyberArk est disponible à cette adresse.

The post Le malware Vare circule sur Discord pour voler vos données bancaires ! first appeared on IT-Connect.

L'entreprise suisse Proton vient de lancer en version bêta son propre gestionnaire de mots de passe : Proton Pass. Il est l'heure de faire le point sur cette nouveauté !

Au fil des années, Proton continue d'étoffer son catalogue de services alors qu'initialement il s'agissait seulement d'un service de messagerie en ligne. Pas n'importe quel service, car il s'agit d'une solution de messagerie basée sur du chiffrement de bout en bout : la sécurité et la confidentialité sont au cœur des préoccupations chez Proton. Au-delà des e-mails, Proton propose un service de gestion de calendriers, de stockage en ligne ou encore de navigation sécurisée avec le service Proton VPN.

Désormais, le gestionnaire de mots de passe Proton Pass vient s'ajouter au catalogue de service de l'entreprise suisse ! Un marché sur lequel la concurrence est forte. On peut citer quelques solutions très connues comme Bitwarden, LastPass, 1Password ou encore KeePass dans un style un peu différent. D'ailleurs, Proton n'hésite pas à évoquer le dernier incident de sécurité qui a touché LastPass.

Pour cette première version, Proton a inclus des fonctions inévitables dans un gestionnaire de mots de passe :

• Remplissage automatique des formulaires de connexion (le nom d'utilisateur et le mot de passe) y compris lorsqu'il y a le MFA
  • Tout dépend du type de second facteur, et cela ne plaira pas forcément à tout le monde, car on met tous ses œufs dans le même panier comme on dit...
• Enregistrement automatique des identifiants dans votre coffre-fort de mots de passe s'il s'agit de nouvelles informations
• Génération de mots de passe à la demande (mots de passe robustes, bien sûr)

Au-delà de stocker le nom d'utilisateur et le mot de passe, Proton Pass intègre une zone de saisie supplémentaire dans chaque entrée pour permettre l'ajout de notes. Fonction utile pour conserver les codes de récupération correspondants à un site spécifique, par exemple.

À l'instar de Proton Mail et des autres services, Proton Pass bénéficie du chiffrement de bout en bout : "Proton Pass ne se contente pas de chiffrer le champ du mot de passe, mais applique un chiffrement de bout en bout à tous les champs, y compris les noms d'utilisateur, les adresses web et toutes les données contenues dans la section des notes chiffrées."

Pour le moment, Proton Pass est accessible en version bêta, que ce soit en mode web (extensions pour Chrome et Brave pour le moment) ou à partir d'applications mobiles pour iOS et Android. Une version gratuite est accessible à tout le monde. Le modèle de sécurité de Proton Pass est décrit sur cette page.

Source

The post Proton lance Proton Pass, son gestionnaire de mots de passe ! first appeared on IT-Connect.

Google a corrigé une nouvelle faille de sécurité zero-day dans son navigateur Google Chrome ! Puisqu'elle serait exploitée par les cybercriminels, il est recommandé d'effectuer la mise à jour vers la nouvelle version dès maintenant !

Il y a quelques jours, Google a mis en ligne Google Chrome 112.0.5615.121 dans le but de corriger plusieurs failles de sécurité dont la faille zero-day CVE-2023-2033, exploitée dans le cadre d'attaques. Sauf que cette version est déjà obsolète puisque l'entreprise américaine a mis en ligne une nouvelle version de Chrome pour corriger une autre faille zero-day : Google Chrome  112.0.5615.137. C'est donc cette version que vous devez utiliser pour être protégé.

La faille de sécurité zero-day faisant l'objet de cette alerte est associée à la référence CVE-2023-2136. Il s'agit d'une vulnérabilité de type "integer overflow" dans la bibliothèque graphique 2D Skia. Il s'agit d'une bibliothèque open source maintenue par Google et écrite en C++ qui joue un rôle clé dans la gestion de l'affichage du navigateur Google Chrome.

Une fois encore, c'est Clément Lecigne de l'équipe Google Threat Analysis qui a découvert cette faille de sécurité ! En exploitant cette vulnérabilité, un attaquant pourrait corrompre la mémoire de la machine et effectuer une exécution de code arbitraire sur le système de la machine ciblée. Comme à son habitude, la firme de Mountain View n'a pas donné de précisions sur les incidents de sécurité observés ou sur l'exploitation technique de cette faille de sécurité.

Google Chrome 112.0.5615.137 est disponible pour tous les utilisateurs sous Windows et macOS, tandis que pour Linux elle devrait être disponible prochainement d'après Google. Au total, cette nouvelle version corrige 8 failles de sécurité dans Chrome !

Pour mettre à jour Google Chrome : cliquez sur les trois points en haut à droite, puis sous "Aide" cliquez sur "À propos de Google Chrome". Le navigateur va rechercher immédiatement la présence d'une mise à jour et l'installer.

À vos mises à jour !

Source

The post Google Chrome – CVE-2023-2136 : une seconde faille zero-day corrigée dans le navigateur ! first appeared on IT-Connect.

L'éditeur de la solution PaperCut a émis une alerte à destination de ses utilisateurs : de nombreuses attaques sont en cours sur les serveurs PaperCut ! Les pirates exploitent une faille de sécurité permettant une exécution de code à distance, pourtant déjà corrigée par l'éditeur.

En entreprise, lorsque l'on cherche une solution de gestion des impressions compatible avec une grande majorité de marques et modèles, il est difficile de passer à côté de PaperCut. Même s'il existe d'autres solutions sur le marché, celle-ci est très présente en France et ailleurs dans le monde. D'ailleurs le site officiel précise : "Un logiciel de gestion d’impression qui aide des centaines de millions de personnes dans le monde à limiter le gâchis tout en bénéficiant d’une expérience d’impression simple et sécurisée."

Pour être plus précis :

• CVE-2023–27350 : faille d'exécution de code à distance, sans être authentifié, impactant toutes les versions 8.0 ou ultérieures de PaperCut MF ou NG sur tous les OS, à la fois pour les serveurs d'application et de site.
•  CVE-2023–27351 : faille de divulgation d'informations, sans être authentifié, impactant toutes les versions 15.0 ou ultérieures de PaperCut MF ou NG sur tous les OS, pour les serveurs d'application.

La faille de sécurité qui est activement exploitée par les cybercriminels, c'est bien celle-ci : CVE-2023-27350. Par précaution, et pour laisser le temps aux entreprises d'appliquer le correctif, PaperCut ne dévoile pas d'informations précises à ce sujet. Toutefois, Trend Micro divulguera plus d'informations sur ces vulnérabilités le 10 mai 2023.

PaperCut : comment se protéger de la CVE-2023–27350 ?

Pour se protéger, il est recommandé aux utilisateurs des versions concernées d'effectuer une mise à niveau vers les versions 20.1.7, 21.2.11 et 22.0.9 de PaperCut MF et PaperCut NG. Ces versions (et les prochaines) permettent d'être protégé contre les attaques en cours.

Pour les entreprises qui utilisent une version plus ancienne que la version 19 de PaperCut, sachez qu'il n'y aura pas de correctif puisque ce sont des versions en fin de vie. De ce fait, il va falloir passer par l'achat d'une nouvelle licence PaperCut ou d'une mise à niveau de la licence actuelle.

Le bulletin de sécurité apporte des précisions sur les indicateurs de compromissions, ainsi qu'une mesure de protection contre la CVE-2023-27351 qui n'est pas celle exploitée par les pirates.

Source

The post Les serveurs PaperCut pris pour cible ! Les pirates exploitent une faille critique ! first appeared on IT-Connect.

Une fois de plus, les serveurs SQL Server exposés sur Internet sont pris pour cible par les cybercriminels. Cette fois-ci, l'objectif est de déployer le ransomware Trigona et de chiffrer tous les fichiers de la machine compromise. Faisons le point.

D'après les chercheurs en sécurité de l'entreprise AhnLab qui ont mis en lumière cette campagne d'attaques, les cybercriminels du gang de ransomware Trigona scannent Internet à la recherche de serveurs SQL Server accessible à distance. Sur les serveurs identifiés, ils peuvent ensuite effectuer une attaque par brute force (notamment à l'aide d'un dictionnaire de mots de passe). Si l'administrateur n'a pas défini un mot de passe suffisamment complexe et que son serveur n'est pas correctement protégé (avec une instance CrowdSec, par exemple), il peut être compromis par les pirates.

Lorsque les pirates obtiennent un accès sur le serveur SQL Server, il déploie un malware surnommé CLR Shell par l'entreprise AhnLab. Ce malware est utilisé pour effectuer une élévation de privilèges sur le serveur, notamment en exploitant une faille de sécurité dans Windows Secondary Logon Service (CVE-2016-0099). Lorsque le malware dispose des droits SYSTEM sur le serveur, il télécharge et exécute le ransomware en tant que processus svchost.exe. Le chiffrement des données est effectué (extension  ._locked) et certaines données sont exfiltrées.

Pour rendre l'opération de récupération plus difficile, le logiciel malveillant supprime les points de restauration et les éventuels clichés instantanés du serveur. Bien entendu, une note de rançon est déposée par le ransomware Trigona pour donner les instructions à la victime. Actif depuis au moins octobre 2022, ce gang accepte uniquement les paiements via la cryptomonnaie Monero.

Bien que cette menace soit réelle, pour en être victime, il faut disposer d'un serveur SQL Server exposé sur Internet, avec un compte pas suffisamment protégé et un serveur qui n'est pas à jour. Quoi qu'il en soit, le ransomware Trigona est très actif puisqu'il y a eu au moins 190 soumissions à la plateforme ID Ransomware depuis le début de l'année 2023.

Source

The post Des instances SQL Server compromises pour déployer le ransomware Trigona first appeared on IT-Connect.

— Article en partenariat avec Ambient IT —

Aujourd’hui les amis, on va parler cybersécurité avec notamment la fameuse certification OSCP dont vous avez peut-être déjà entendu parler.

OSCP, qui signifie Offensive Security Certified Professional, est une certification, créée par Offsec, très réputée dans le milieu cyber puisqu’elle permet à tous ceux qui l’obtiennent d’attester qu’ils ont les compétences professionnelles nécessaires pour exercer en cybersécurité notamment en pentesting. OSCP couvre un large panel de thématiques, allant des bases du réseau TCP/IP, à l’administration Windows, aux langages comme Bash / Python ou encore la bonne compréhension du fonctionnement d’Active Directory etc.

Pour rappel, Offsec (Offensive Security) est également la société à l’origine de la distribution Kali Linux dont je parle régulièrement ici.

Si vous obtenez cette certification de haut niveau, vos compétences en pentesting ne seront plus à prouver et votre profil sera immédiatement valorisé dans le monde entier. Même chose si vous êtes chef d’entreprise, DSI, responsable sécurité et que vous souhaitez développer ces compétences parmi vos équipes.

Mais attention, la certification OSCP n’est pas qu’un simple QCM à passer. Il s’agit d’une certification d’assez haut niveau avec une approche par la pratique en conditions réelles ce qui permet aux participants d’explorer les outils, les techniques et les environnements qui leur permettront de renforcer leurs compétences et leur apprentissage.

Bref, faut bosser et investir du temps, et tout ça en parfaite autonomie, car tout se fait à distance depuis chez vous ou au boulot. Voici en détail comment ça se passe. D’ailleurs, si ça vous branche, il y a Cyril de Clever Age qui l’a passé et a fait son retour d’expérience ici.

Enfin, quand vous serez prêts pour le jour de l’examen, vous devrez hacker un maximum de machines à dispo pour la certification, collecter des informations, créer des scripts, exploiter des vulnérabilités, résoudre des problèmes de manière la plus créative possible… Tout ça sur une durée limitée de 23h45, en étant armé simplement de vos connaissances et d’une machine Kali Linux. Et vous devrez par la suite produire un rapport d’audit et l’envoyer à Offsec pour valider votre travail.

Pour vous aider à réussir, il y a des guides de préparation qui existent comme celui-ci, mais il y a surtout la formation d’Ambient IT qui va vous aider à réussir cette certification OSCP en vous accompagnant pendant plusieurs jours afin de préparer l’examen.

Ambient IT est reconnu pour son expertise et son expérience dans le domaine de la cybersécurité et de la formation. Les formateurs qui dispensent les cours sont également certifiés OSCP et ont une solide expérience pratique en pentesting. Leur programme de formation est très complet et très bien structuré afin que vous puissiez mettre toutes les chances de votre côté pour le jour de l’examen.

En prérequis, évidemment, vous devrez avoir un petit niveau en bash / python, bien vous y connaitre en réseau TCP/IP, savoir administrer une machine Linux et Windows.

Ensuite, chaque lundi matin de 9h à 12h30, et ce pendant 8 semaines, Ambient IT vous formera et vous coachera pour l’examen OSCP. Au total, vous aurez plus de 28 heures de cours en Français étalés sur 8 semaines, avec des exercices et des choses à réviser pendant la semaine.

Prochaine session : Le 11 septembre 2023 !

Puis une fois les concepts et les techniques bien assimilés, vous pourrez effectuer un passage à l’examen OSCP.

En plus de ce que propose Ambient IT, vous aurez également accès aux contenus et services proposés par Offsec, à savoir plusieurs heures de formations en vidéo, un livret PDF, un accès au forum pour que les apprenants puissent poser leurs questions et bien sûr un accès illimité durant toute la formation, au lab, c’est-à-dire à des machines sur lesquelles vous allez pouvoir vous entrainer.

Et comme Ambient IT travaille officiellement avec Offsec, vous aurez également accès à tout le contenu officiel proposé par Offsec pour passer la certif.

Cette formation est disponible aussi bien pour les entreprises (4500 € HT) que pour les personnes qui souhaitent utiliser leur CPF au tarif de 5400 € TTC. Ce tarif inclut évidemment le prix du passage de la certification OSCP.

Notez que si vous vous inscrivez à une session en 2023, Ambient IT vous proposera 400 € de réduction pour toute inscription en CPF si vous mentionnez « Korben » au moment où ils vous appelleront (Offre soumise à condition d’achat et non cumulable avec d’autres promotions ou réductions en cours).

Très utilisée par les logiciels, la librairie VM2 contient une faille de sécurité critique qui permet à l'attaquant d'exécuter du code malveillant sur la machine hôte. Faisons le point sur cette vulnérabilité.

La première question que l'on peut se poser, c'est : "qu'est-ce que la librairie VM2 ?". Il s'agit d'un système de sandbox codé en JavaScript qui est utilisé par certains logiciels, notamment des éditeurs de code, des outils de sécurité et des frameworks de pentesting.

SeungHyun Lee , un chercheur en sécurité coréen, a publié un exploit PoC qui permet d'exécuter du code (malveillant ou non) sur un hôte utilisant le système de sandbox VM2. Autrement dit, on échappe au système de sandbox. Sur le GitHub de ce chercheur, on peut consulter le code de l'exploit PoC qui lui a permis de créer un fichier nommé "pwned" sur la machine hôte.

Avant cela, au cours des deux dernières semaines, plusieurs chercheurs en sécurité ont divulgué des failles dans VM2, avec à chaque fois la possibilité de contourner le système de bac à sable pour exécuter du code malveillant. D'ailleurs, il y a plusieurs références CVE associées à ces vulnérabilités : CVE-2023-29017, CVE-2023-29199 et CVE-2023-30547.

Cet article fait surtout référence à la faille de sécurité critique associée à la référence CVE-2023-30547 et qui hérite d'un méchant score CVSS de 9.8 sur 10. À cause d'elle, la fonction de protection handleException() de VM2 échoue, ce qui offre la possibilité à l'attaquant d'exécuter du code sur la machine hôte.

Dès à présent, il est recommandé à tous les utilisateurs de passer sur la version 3.9.17 de VM2 puisqu'elle corrige cette faille de sécurité. Pour les développeurs qui utilisent la librairie VM2, il convient aussi de mettre à jour leur application avec cette nouvelle version.

Cela est d'autant plus important qu'il existe un exploit PoC.... Ce qui va surement faciliter le travail des cybercriminels qui aimeraient exploiter cette vulnérabilité.

Si vous avez des noms d'applications qui utilisent cette librairie, je suis preneur !

Source

The post Une faille critique dans la librairie VM2 permet de s’échapper de la sandbox first appeared on IT-Connect.

Des chercheurs en sécurité ont fait la découverte d'une nouvelle campagne qui s'appuie sur des vidéos YouTube pour diffuser des liens malveillants menant au malware Aurora, dans le but de voler des informations sur la machine infectée. Faisons le point.

Ce n'est que depuis la fin de l'année 2022 que l'on entend parler du malware Aurora. Codé en Go, l'objectif de ce logiciel malveillant est de voler des informations sur votre machine, notamment les identifiants enregistrés dans les navigateurs, dans le système, mais aussi le contenu d'un portefeuille de cryptomonnaie. Dans le même esprit que la menace RedLine.

L'entreprise de cybersécurité Morphisec a mis en ligne un rapport au sujet d'un nouveau loader nommé "in2al5d p3in4er" qu'il faut lire "invalid printer", dont l'objectif est de déployer le malware Aurora. Pour tenter de piéger des utilisateurs, les cybercriminels utilisent :

• Des vidéos YouTube 
• Des sites web pour faire la promotion de logiciels crackés

Si l'on s'intéresse à la partie YouTube, on constate que si l'utilisateur clique sur un lien présent dans la description de la vidéo, il est redirigé vers un site malveillant où il est invité à télécharger un utilitaire (comme le promet la vidéo) sauf qu'il s'agit en fait du loader pour Aurora.

Les pirates s'appuient sur plusieurs chaînes YouTube pour distribuer les vidéos malveillants, notamment la chaine ci-dessous qui a été compromise. On peut voir une vidéo récente pour obtenir "Adobe Audition" ou "Adobe Animate" en version crackée. On voit aussi qu'il y a déjà eu plusieurs centaines de vues en quelques heures.

Il y a un réel effort fait sur les vidéos : vignettes de qualité et utilisation d'une IA pour générer les vidéos.

Il est à noter que l'exécutable malveillant (loader) a été compilé avec l'application Embarcadero RAD Studio, ce qui lui permettrait d'être plus difficilement détectable, avec une capacité à échapper aux bacs à sable et aux machines virtuelles.. À ce sujet, voici les précisions de l'entreprise Morphisec : "Ceux qui ont le taux de détection le plus bas sur VirusTotal sont compilés à l'aide de 'BCC64.exe', un nouveau compilateur C++ d'Embarcadero basé sur Clang".

Une nouvelle fois, la thématique des "logiciels crackés" est utilisée par les pirates informatiques. Un utilisateur qui cherchera à obtenir une version crackée d'un logiciel, pourra tomber sur une vidéo YouTube ou un site web malveillant, et finir par télécharger et exécuter le malware !

Comme le montre l'image ci-dessous, issue du rapport de Morphisec, des logiciels populaires sont utilisés comme leurre.

Source

The post Des vidéos YouTube utilisées pour distribuer le malware Aurora first appeared on IT-Connect.

Les cybercriminels associés au gang du ransomware Vice Society s'appuient sur un outil codé en PowerShell pour exfiltrer des données sur les machines compromises. Grâce à cette méthode, l'action malveillante est plus difficile à détecter.

L'Unit 42 de chez Palo Alto Networks a mis en ligne un nouveau rapport au sujet de cette nouvelle méthode d'exfiltration utilisée par le ransomware Vice Society.

Ce groupe qui a émergé en mai 2021 utilise un script PowerShell nommé w1.ps1 qui va effectuer les actions suivantes sur la machine virtuelle :

• Lister l'ensemble des lecteurs de la machine
• Parcourir le contenu des lecteurs de la machine (Get-ChildItem)
• Exfiltrer les données vers un serveur externe via des requêtes POST en HTTP

Pour exfiltrer uniquement des données intéressantes, le script PowerShell effectue des exclusions sur certains fichiers, notamment les fichiers du système, les fichiers relatifs à des sauvegardes ainsi que les fichiers de la solution de sécurité présente sur la machine (Symantec, ESET, Sophos sont mentionnés).

Ce système de filtrage va même plus loin comme le précise le rapport : "Cependant, le fait que le script se concentre sur les fichiers de plus de 10 Ko avec des extensions de fichiers et dans des répertoires qui correspondent à sa liste d'inclusion signifie que le script n'exfiltrera pas de données qui ne correspondent pas à cette description."

Pour éviter de consommer trop de ressources sur la machine sur lesquelles les données sont exfiltrées, le script utilise un système de file d'attente pour envoyer les données progressivement vers le serveur distant.

Ce script PowerShell est un très bon exemple du principe de la double extorsion. En plus de chiffrer les données, les ransomwares ont tendance à exfiltrer les données des entreprises afin de les divulguer sur le Dark Web si la victime ne paie pas la rançon.

Une fois de plus, on voit que la menace ransomware est bien présente et active, tout en étant en perpétuelle évolution.

Source

The post Le ransomware Vice Society exfiltre les données avec un script PowerShell first appeared on IT-Connect.

Une nouvelle campagne de phishing est en cours, dans le but d'infecter les machines avec le malware Qbot. Cette fois-ci, les pirates utilisent des fichiers PDF et WSF pour infecter les machines Windows. Faisons le point.

Le malware Qbot, alias QakBot, revient régulièrement sur le devant de la scène lorsque de nouvelles campagnes d'attaques sont lancées. Par exemple, en 2022, il s'appuyait sur une archive ZIP contenant un fichier MSI malveillant pour infecter les machines.

À la base, Qbot est un trojan bancaire mais il a évolué pour permettre le déploiement d'autres logiciels malveillants (notamment des ransomwares) et offrir aux cybercriminels un accès à la machine infectée.

Qbot a été utilisé par des groupes de cybercriminels pour obtenir un accès initial au réseau d'une entreprise. On peut citer plusieurs gangs de ransomwares : BlackBasta, REvil, PwndLocker ou encore ProLock.

Nouvelle méthode d'infection basée sur un fichier PDF

D'après le groupe Cryptolaemus et le chercheur en sécurité ProxyLife qui a l'habitude de suivre Qbot, le logiciel malveillant est distribué par l'intermédiaire d'une nouvelle campagne de phishing. Ce qui change cette fois-ci, c'est le type de fichiers utilisés.

En effet, les pirates utilisent un fichier PDF malveillant, ajouté en pièce jointe de l'e-mail, et qui va exécuter un script malveillant au format WSF (Windows Script File) pour infecter l'ordinateur avec Qbot. Ce type de script peut contenir du code JScript et VBScript.

L'e-mail en question contient une pièce jointe nommée "CancelationLetter-[nombre].pdf". Voici un aperçu du document :

Lorsque l'utilisateur ouvre cette pièce jointe, il se retrouve avec une page qui lui indique de cliquer sur le bouton "Open" pour ouvrir le document, ce dernier étant protégé. Ce qui, bien sûr, et un moyen de faire télécharger le script malveillant pour infecter la machine.

Si le script WSF malveillant est exécuté, il va lui-même exécuter un script PowerShell qui aura pour objectif de télécharger une DLL à partir d'Internet. Si besoin, plusieurs tentatives via différents domaines sont effectuées, jusqu'à ce que le téléchargement fonctionne.

Une fois la machine compromise, le malware sera injecté dans un processus légitime de Windows nommé wermgr.exe. Ceci lui permet de rester actif en arrière-plan, en étant discret. C'est là qu'il pourra commencer à effectuer des actions malveillantes (évoquées ci-dessus).

Une fois de plus, vos utilisateurs devront se montrer méfiants face à cette menace !

Source

The post Phishing : Qbot est de retour et il infecte les PC avec des fichiers PDF et WSF ! first appeared on IT-Connect.

A l’heure d’un contexte économique incertain, les organisations doivent accélérer leur transformation numérique pour rester compétitives.

The post Microsoft Azure, Microsoft 365 : Comment faire plus avec moins ? appeared first on iTPro.fr.

La flexibilité et la sécurité des réseaux sont au cœur des priorités des décideurs pour un réseau plus agile, sécurisé et hybride.

The post Sécurité & Flexibilité des réseaux : Top des priorités technologiques appeared first on iTPro.fr.

Des chercheurs ont fait la découverte d'un nouveau malware Android, surnommé Goldoson et distribué au travers d'environ 60 applications. Au total, le nombre de téléchargements est important : 100 millions !

100 millions d'installations, ce n'est pas rien, et c'est pourtant un chiffre réel si l'on se réfère au nombre de téléchargements cumulés de l'ensemble des applications concernées par cette affaire.

C'est d'autant plus inquiétant que, d'après les chercheurs de McAfee, à l'origine de la découverte de Goldoson, ces applications sont infectées par ce malware à cause d'une bibliothèque tierce infectée initialement. Cela n'est pas sans rappeler l'attaque supply chain qui a touché l'application 3CX pour Windows.

Que fait le malware Goldoson ?

Sur un appareil infecté, le malware Goldoson va collecter des données dans les applications installées, les appareils Bluetooth et WiFi (notamment les adresses MAC), ainsi que votre position GPS. Par ailleurs, il peut aussi cliquer sur des publicités à votre insu, en tâche de fond.

D'après l'analyse effectuée de ce logiciel malveillant, il se synchronise au serveur C2 des attaquants tous les deux jours. La première connexion au serveur C2 lui permet de récupérer sa configuration.

En fonction de l'application installée sur votre appareil et infectée par Goldoson, le malware a plus ou moins accès aux données de votre appareil : tout dépend des permissions demandées par l'application en question et de la version d'Android utilisée.

Depuis Android 11, il est plus difficile pour les applications de collecter des données de façon "illégale". Toutefois, d'après les chercheurs de McAfee, sur les versions plus récentes d'Android il reste efficace pour récupérer des données sensibles dans 10% des applications installées sur l'appareil.

Quelles sont les applications infectées ?

Certaines applications comptent très peu d'installations (moins de 10 000). Voici la liste des applications les plus téléchargées et infectées par Goldoson :

• L.POINT with L.PAY - 10 millions de téléchargements
• Swipe Brick Breaker - 10 millions de téléchargements
• Money Manager Expense & Budget - 10 millions de téléchargements
• GOM Player - 5 millions de téléchargements
• LIVE Score, Real-Time Score - 5 millions de téléchargements
• Pikicast - 5 millions de téléchargements
• Compass 9: Smart Compass - 1 million de téléchargements
• GOM Audio - Music, Sync lyrics - 1 million de téléchargements
• LOTTE WORLD Magicpass - 1 million de téléchargements
• Bounce Brick Breaker - 1 million de téléchargements
• Infinite Slice - 1 million de téléchargements
• SomNote - Beautiful note app - 1 million de téléchargements
• Korea Subway Info: Metroid - 1 million de téléchargements

McAfee a pu signaler ce logiciel malveillant et ces applications à Google. Les développeurs, qui ont fait le choix de supprimer la librairie pour que leur application soit de nouveau saine, peuvent continuer à diffuser leur application sur le Play Store. Pour les autres, les applications sont supprimées du Play Store car elles ne sont pas conformes au règlement du magasin d'applications.

Si vous utilisez l'une de ces applications, vous devez effectuer la mise à jour immédiatement.

Source

The post 100 millions de téléchargements pour ces apps infectées par le malware Goldoson first appeared on IT-Connect.

Le ransomware LockBit dispose d'un module de chiffrement spécifique pour cibler les machines sous macOS. Même si c'est en phase de tests, les utilisateurs de Mac doivent se méfier : LockBit est redoutable et cette campagne pourrait faire de nombreuses victimes.

Les chercheurs en sécurité de l'équipe Malware Hunter ont fait la découverte de cet échantillon destiné à macOS sur le site VirusTotal. Jusqu'à présent, le ransomware LockBit, dans ses différentes versions, ciblait plusieurs plateformes, dont les machines sous Windows, Linux et les hyperviseurs VMware ESXi. Désormais, les utilisateurs de macOS ne sont plus épargnés par cette menace.

Le ransomware LockBit serait capable de chiffrer les machines Apple avec une puce Apple Silicon (et probablement les modèles sous Intel). En effet, les chercheurs ont repéré un module de chiffrement nommé "locker_Apple_M1_64" (voir ici) qui cible les puces Apple.

Même si cette information est évoquée aujourd'hui, ce module de chiffrement ne semble pas nouveau. D'après le chercheur en cybersécurité Florian Roth, un module de chiffrement LockBit compatible Apple M1 a été téléchargé sur VirusTotal en décembre 2022 !

Toutefois, d'après le site BleepingComputer, dont les auteurs ont pris le temps d'analyser ce module de chiffrement pour Apple M1, il s'agit d'une phase de tests. Par exemple, il y a des exclusions sur les extensions ".exe" ou ".dll" qui sont propres au fonctionnement de Windows, et non à macOS.

Information confirmée par LockBitSupp, un porte-parole de LockBit, qui a clairement indiqué que le module de chiffrement pour Mac était "en cours de développement". Bien sûr, ces informations sont à prendre avec des pincettes, mais il est clair que la menace LockBit se rapproche de macOS.

Dans les semaines et mois à venir, il y a de fortes chances pour que LockBit fasse des ravages sur macOS si les développeurs du gang LockBit parviennent à développer un module pleinement opérationnel. Ce qui n’est surement qu'une question de temps...!

Il va être indispensable de protéger votre macOS, au même titre qu'il faut protéger une machine sous Windows.

Source

The post Ransomware LockBit : découverte d’un module de chiffrement pour macOS first appeared on IT-Connect.

Google a mis en ligne une nouvelle version de son navigateur Google Chrome dans le but de corriger une faille de sécurité zero-day : CVE-2023-2033. La première de l'année 2023 !

Dans le bulletin de sécurité mis en ligne par l'entreprise américaine, on peut lire que cette nouvelle version corrige deux failles de sécurité, dont la vulnérabilité CVE-2023-2033 découverte par Clément Lecigne de l'équipe Google Threat Analysis. Le travail de cette équipe de chez Google est très important, car il permet régulièrement de découvrir de nouvelles failles de sécurité dans Chrome.

Associée à une sévérité élevée, cette vulnérabilité zero-day se situe dans le moteur JavaScript V8 de Chrome. Elle est exploitée dans le cadre d'attaques et d'ailleurs il existe un exploit : "Google sait qu'il existe un programme d'exploitation pour la CVE-2023-2033 dans la nature."

Toutefois, Google n'a pas donné de précisions sur les incidents de sécurité observés et associés à cette vulnérabilité, ni même sur le fonctionnement de cet exploit en lui-même.

Ce qui est logique compte tenu de la politique appliquée par l'entreprise de Mountain View : "L'accès aux détails des bugs et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs aient reçu un correctif." - D'autres informations devraient fuiter par la suite.

Il s'agit de la première faille zero-day corrigée dans Chrome en 2023. L'année dernière, Google avait corrigé près de 10 failles de ce type dans ce navigateur.

Google Chrome 112.0.5615.121

Utilisateurs de Google Chrome, que ce soit sur Windows, macOS ou Linux, vous devez mettre à jour le navigateur sur votre machine dès que possible. La version 112.0.5615.121 de Google Chrome intègre le correctif.

Pour mettre à jour Google Chrome : cliquez sur les trois points en haut à droite, puis sous "Aide" cliquez sur "À propos de Google Chrome". Le navigateur va rechercher immédiatement la présence d'une mise à jour et l'installer.

Bon début de semaine !

Source

The post CVE-2023-2033 : la première faille zero-day de 2023 corrigée dans Google Chrome first appeared on IT-Connect.

Comprendre les types d'attaques de phishing est fondamental pour les repérer et s’en protéger. Explications.

The post 10 types d’attaques par hameçonnage que vous devez connaitre appeared first on iTPro.fr.