Un nouveau rapport met en lumière les activités malveillantes sur Discord, notamment autour des abonnements Discord Nitro qui représente une véritable opportunité pour les cybercriminels.

Pour rappel, Discord est un service en ligne très populaire pour échanger par chat ou par audio et il existe de nombreuses communautés sur des thématiques diverses et variées. Même si à ses débuts il était utilisé surtout par les gamers, ce n'est plus du tout le cas depuis plusieurs années. D'ailleurs, il y a le serveur Discord de la communauté IT-Connect ! Discord compte plus de 300 millions d'utilisateurs actifs. Forcément, s'il y autant d'utilisateurs sur cette plateforme, cela va attirer les cybercriminels.

Justement, un chercheur en sécurité de chez CyberArk Labs a fait la découverte d'un nouveau malware nommé Vare qui présente la particularité d'être distribué par l'intermédiaire de Discord. Il est associé à un groupe de pirates nommé Kurdistan 4455 basé au sud de la Turquie.

Discord Nitro, l'élément déclencheur

D'après ce chercheur, c'est depuis qu'il y a l'offre payante Discord Nitro qu'il y a des malwares sur Discord. Pourquoi ? Et bien, parce qu'en échange d'un abonnement payé mensuellement, l'utilisateur accède à des fonctions supplémentaires comme le chargement de fichiers plus lourds ou une qualité plus élevée pour le streaming.

De ce fait, il y a des utilisateurs qui essaient d'obtenir des clés d'activation Discord Nitro de manière gratuite et qui se font piéger. Certains d'entre eux s'essaient aussi au brute force ou au social engineering pour mettre la main sur les avantages Discord Nitro gratuitement. C'est pour cette raison qu'avec un malware, les pirates peuvent piéger les utilisateurs et leur voler des informations, notamment les coordonnées de cartes bancaires dans le but d'acheter des clés Discord Nitro : "Ces clés peuvent être échangées pour obtenir Discord Nitro, et des acteurs malveillants les vendent à des fins lucratives.", précise l'étude CyberArk.

Le malware Vare

Dans le cas présent, le malware Vare utilisé par les pirates informatiques est codé en Python puis converti en exécutable avec pyInstaller. Il agit uniquement sur Discord, que ce soit pour stocker les données exfiltrées ou pour trouver de nouvelles cibles. 

Une fois la machine infectée, le malware Vare va être capable de voler des informations notamment dans Discord : jetons d'authentification, informations de paiement, statut du Nitro, ainsi que le numéro de téléphone associé au compte. Cela ne s'arrête pas là, car il va aussi se servir dans les navigateurs pour voler les mots de passe enregistrés et récupérer des informations sur la machine en elle-même (CPU, RAM, clés WiFi enregistrées, etc.). Ces fonctions correspondent à celles que l'on retrouve dans le malware Empyrean.

Cette recherche est intéressante, car elle montre que ce n'est pas simplement une guerre entre les cybercriminels d'un côté et les utilisateurs de l'autre. En effet, ici le groupe de cybercriminels Kurdistan 4455 va chercher à piéger d'autres personnes malveillantes : ce qui prouve que personne n'est à l'abri et que ce n'est pas qu'une question de positionnement !

Le rapport complet de CyberArk est disponible à cette adresse.

The post Le malware Vare circule sur Discord pour voler vos données bancaires ! first appeared on IT-Connect.

L'entreprise suisse Proton vient de lancer en version bêta son propre gestionnaire de mots de passe : Proton Pass. Il est l'heure de faire le point sur cette nouveauté !

Au fil des années, Proton continue d'étoffer son catalogue de services alors qu'initialement il s'agissait seulement d'un service de messagerie en ligne. Pas n'importe quel service, car il s'agit d'une solution de messagerie basée sur du chiffrement de bout en bout : la sécurité et la confidentialité sont au cœur des préoccupations chez Proton. Au-delà des e-mails, Proton propose un service de gestion de calendriers, de stockage en ligne ou encore de navigation sécurisée avec le service Proton VPN.

Désormais, le gestionnaire de mots de passe Proton Pass vient s'ajouter au catalogue de service de l'entreprise suisse ! Un marché sur lequel la concurrence est forte. On peut citer quelques solutions très connues comme Bitwarden, LastPass, 1Password ou encore KeePass dans un style un peu différent. D'ailleurs, Proton n'hésite pas à évoquer le dernier incident de sécurité qui a touché LastPass.

Pour cette première version, Proton a inclus des fonctions inévitables dans un gestionnaire de mots de passe :

• Remplissage automatique des formulaires de connexion (le nom d'utilisateur et le mot de passe) y compris lorsqu'il y a le MFA
  • Tout dépend du type de second facteur, et cela ne plaira pas forcément à tout le monde, car on met tous ses œufs dans le même panier comme on dit...
• Enregistrement automatique des identifiants dans votre coffre-fort de mots de passe s'il s'agit de nouvelles informations
• Génération de mots de passe à la demande (mots de passe robustes, bien sûr)

Au-delà de stocker le nom d'utilisateur et le mot de passe, Proton Pass intègre une zone de saisie supplémentaire dans chaque entrée pour permettre l'ajout de notes. Fonction utile pour conserver les codes de récupération correspondants à un site spécifique, par exemple.

À l'instar de Proton Mail et des autres services, Proton Pass bénéficie du chiffrement de bout en bout : "Proton Pass ne se contente pas de chiffrer le champ du mot de passe, mais applique un chiffrement de bout en bout à tous les champs, y compris les noms d'utilisateur, les adresses web et toutes les données contenues dans la section des notes chiffrées."

Pour le moment, Proton Pass est accessible en version bêta, que ce soit en mode web (extensions pour Chrome et Brave pour le moment) ou à partir d'applications mobiles pour iOS et Android. Une version gratuite est accessible à tout le monde. Le modèle de sécurité de Proton Pass est décrit sur cette page.

Source

The post Proton lance Proton Pass, son gestionnaire de mots de passe ! first appeared on IT-Connect.

Google a corrigé une nouvelle faille de sécurité zero-day dans son navigateur Google Chrome ! Puisqu'elle serait exploitée par les cybercriminels, il est recommandé d'effectuer la mise à jour vers la nouvelle version dès maintenant !

Il y a quelques jours, Google a mis en ligne Google Chrome 112.0.5615.121 dans le but de corriger plusieurs failles de sécurité dont la faille zero-day CVE-2023-2033, exploitée dans le cadre d'attaques. Sauf que cette version est déjà obsolète puisque l'entreprise américaine a mis en ligne une nouvelle version de Chrome pour corriger une autre faille zero-day : Google Chrome  112.0.5615.137. C'est donc cette version que vous devez utiliser pour être protégé.

La faille de sécurité zero-day faisant l'objet de cette alerte est associée à la référence CVE-2023-2136. Il s'agit d'une vulnérabilité de type "integer overflow" dans la bibliothèque graphique 2D Skia. Il s'agit d'une bibliothèque open source maintenue par Google et écrite en C++ qui joue un rôle clé dans la gestion de l'affichage du navigateur Google Chrome.

Une fois encore, c'est Clément Lecigne de l'équipe Google Threat Analysis qui a découvert cette faille de sécurité ! En exploitant cette vulnérabilité, un attaquant pourrait corrompre la mémoire de la machine et effectuer une exécution de code arbitraire sur le système de la machine ciblée. Comme à son habitude, la firme de Mountain View n'a pas donné de précisions sur les incidents de sécurité observés ou sur l'exploitation technique de cette faille de sécurité.

Google Chrome 112.0.5615.137 est disponible pour tous les utilisateurs sous Windows et macOS, tandis que pour Linux elle devrait être disponible prochainement d'après Google. Au total, cette nouvelle version corrige 8 failles de sécurité dans Chrome !

Pour mettre à jour Google Chrome : cliquez sur les trois points en haut à droite, puis sous "Aide" cliquez sur "À propos de Google Chrome". Le navigateur va rechercher immédiatement la présence d'une mise à jour et l'installer.

À vos mises à jour !

Source

The post Google Chrome – CVE-2023-2136 : une seconde faille zero-day corrigée dans le navigateur ! first appeared on IT-Connect.

L'éditeur de la solution PaperCut a émis une alerte à destination de ses utilisateurs : de nombreuses attaques sont en cours sur les serveurs PaperCut ! Les pirates exploitent une faille de sécurité permettant une exécution de code à distance, pourtant déjà corrigée par l'éditeur.

En entreprise, lorsque l'on cherche une solution de gestion des impressions compatible avec une grande majorité de marques et modèles, il est difficile de passer à côté de PaperCut. Même s'il existe d'autres solutions sur le marché, celle-ci est très présente en France et ailleurs dans le monde. D'ailleurs le site officiel précise : "Un logiciel de gestion d’impression qui aide des centaines de millions de personnes dans le monde à limiter le gâchis tout en bénéficiant d’une expérience d’impression simple et sécurisée."

Pour être plus précis :

• CVE-2023–27350 : faille d'exécution de code à distance, sans être authentifié, impactant toutes les versions 8.0 ou ultérieures de PaperCut MF ou NG sur tous les OS, à la fois pour les serveurs d'application et de site.
•  CVE-2023–27351 : faille de divulgation d'informations, sans être authentifié, impactant toutes les versions 15.0 ou ultérieures de PaperCut MF ou NG sur tous les OS, pour les serveurs d'application.

La faille de sécurité qui est activement exploitée par les cybercriminels, c'est bien celle-ci : CVE-2023-27350. Par précaution, et pour laisser le temps aux entreprises d'appliquer le correctif, PaperCut ne dévoile pas d'informations précises à ce sujet. Toutefois, Trend Micro divulguera plus d'informations sur ces vulnérabilités le 10 mai 2023.

PaperCut : comment se protéger de la CVE-2023–27350 ?

Pour se protéger, il est recommandé aux utilisateurs des versions concernées d'effectuer une mise à niveau vers les versions 20.1.7, 21.2.11 et 22.0.9 de PaperCut MF et PaperCut NG. Ces versions (et les prochaines) permettent d'être protégé contre les attaques en cours.

Pour les entreprises qui utilisent une version plus ancienne que la version 19 de PaperCut, sachez qu'il n'y aura pas de correctif puisque ce sont des versions en fin de vie. De ce fait, il va falloir passer par l'achat d'une nouvelle licence PaperCut ou d'une mise à niveau de la licence actuelle.

Le bulletin de sécurité apporte des précisions sur les indicateurs de compromissions, ainsi qu'une mesure de protection contre la CVE-2023-27351 qui n'est pas celle exploitée par les pirates.

Source

The post Les serveurs PaperCut pris pour cible ! Les pirates exploitent une faille critique ! first appeared on IT-Connect.

Une fois de plus, les serveurs SQL Server exposés sur Internet sont pris pour cible par les cybercriminels. Cette fois-ci, l'objectif est de déployer le ransomware Trigona et de chiffrer tous les fichiers de la machine compromise. Faisons le point.

D'après les chercheurs en sécurité de l'entreprise AhnLab qui ont mis en lumière cette campagne d'attaques, les cybercriminels du gang de ransomware Trigona scannent Internet à la recherche de serveurs SQL Server accessible à distance. Sur les serveurs identifiés, ils peuvent ensuite effectuer une attaque par brute force (notamment à l'aide d'un dictionnaire de mots de passe). Si l'administrateur n'a pas défini un mot de passe suffisamment complexe et que son serveur n'est pas correctement protégé (avec une instance CrowdSec, par exemple), il peut être compromis par les pirates.

Lorsque les pirates obtiennent un accès sur le serveur SQL Server, il déploie un malware surnommé CLR Shell par l'entreprise AhnLab. Ce malware est utilisé pour effectuer une élévation de privilèges sur le serveur, notamment en exploitant une faille de sécurité dans Windows Secondary Logon Service (CVE-2016-0099). Lorsque le malware dispose des droits SYSTEM sur le serveur, il télécharge et exécute le ransomware en tant que processus svchost.exe. Le chiffrement des données est effectué (extension  ._locked) et certaines données sont exfiltrées.

Pour rendre l'opération de récupération plus difficile, le logiciel malveillant supprime les points de restauration et les éventuels clichés instantanés du serveur. Bien entendu, une note de rançon est déposée par le ransomware Trigona pour donner les instructions à la victime. Actif depuis au moins octobre 2022, ce gang accepte uniquement les paiements via la cryptomonnaie Monero.

Bien que cette menace soit réelle, pour en être victime, il faut disposer d'un serveur SQL Server exposé sur Internet, avec un compte pas suffisamment protégé et un serveur qui n'est pas à jour. Quoi qu'il en soit, le ransomware Trigona est très actif puisqu'il y a eu au moins 190 soumissions à la plateforme ID Ransomware depuis le début de l'année 2023.

Source

The post Des instances SQL Server compromises pour déployer le ransomware Trigona first appeared on IT-Connect.

Très utilisée par les logiciels, la librairie VM2 contient une faille de sécurité critique qui permet à l'attaquant d'exécuter du code malveillant sur la machine hôte. Faisons le point sur cette vulnérabilité.

La première question que l'on peut se poser, c'est : "qu'est-ce que la librairie VM2 ?". Il s'agit d'un système de sandbox codé en JavaScript qui est utilisé par certains logiciels, notamment des éditeurs de code, des outils de sécurité et des frameworks de pentesting.

SeungHyun Lee , un chercheur en sécurité coréen, a publié un exploit PoC qui permet d'exécuter du code (malveillant ou non) sur un hôte utilisant le système de sandbox VM2. Autrement dit, on échappe au système de sandbox. Sur le GitHub de ce chercheur, on peut consulter le code de l'exploit PoC qui lui a permis de créer un fichier nommé "pwned" sur la machine hôte.

Avant cela, au cours des deux dernières semaines, plusieurs chercheurs en sécurité ont divulgué des failles dans VM2, avec à chaque fois la possibilité de contourner le système de bac à sable pour exécuter du code malveillant. D'ailleurs, il y a plusieurs références CVE associées à ces vulnérabilités : CVE-2023-29017, CVE-2023-29199 et CVE-2023-30547.

Cet article fait surtout référence à la faille de sécurité critique associée à la référence CVE-2023-30547 et qui hérite d'un méchant score CVSS de 9.8 sur 10. À cause d'elle, la fonction de protection handleException() de VM2 échoue, ce qui offre la possibilité à l'attaquant d'exécuter du code sur la machine hôte.

Dès à présent, il est recommandé à tous les utilisateurs de passer sur la version 3.9.17 de VM2 puisqu'elle corrige cette faille de sécurité. Pour les développeurs qui utilisent la librairie VM2, il convient aussi de mettre à jour leur application avec cette nouvelle version.

Cela est d'autant plus important qu'il existe un exploit PoC.... Ce qui va surement faciliter le travail des cybercriminels qui aimeraient exploiter cette vulnérabilité.

Si vous avez des noms d'applications qui utilisent cette librairie, je suis preneur !

Source

The post Une faille critique dans la librairie VM2 permet de s’échapper de la sandbox first appeared on IT-Connect.

Des chercheurs en sécurité ont fait la découverte d'une nouvelle campagne qui s'appuie sur des vidéos YouTube pour diffuser des liens malveillants menant au malware Aurora, dans le but de voler des informations sur la machine infectée. Faisons le point.

Ce n'est que depuis la fin de l'année 2022 que l'on entend parler du malware Aurora. Codé en Go, l'objectif de ce logiciel malveillant est de voler des informations sur votre machine, notamment les identifiants enregistrés dans les navigateurs, dans le système, mais aussi le contenu d'un portefeuille de cryptomonnaie. Dans le même esprit que la menace RedLine.

L'entreprise de cybersécurité Morphisec a mis en ligne un rapport au sujet d'un nouveau loader nommé "in2al5d p3in4er" qu'il faut lire "invalid printer", dont l'objectif est de déployer le malware Aurora. Pour tenter de piéger des utilisateurs, les cybercriminels utilisent :

• Des vidéos YouTube 
• Des sites web pour faire la promotion de logiciels crackés

Si l'on s'intéresse à la partie YouTube, on constate que si l'utilisateur clique sur un lien présent dans la description de la vidéo, il est redirigé vers un site malveillant où il est invité à télécharger un utilitaire (comme le promet la vidéo) sauf qu'il s'agit en fait du loader pour Aurora.

Les pirates s'appuient sur plusieurs chaînes YouTube pour distribuer les vidéos malveillants, notamment la chaine ci-dessous qui a été compromise. On peut voir une vidéo récente pour obtenir "Adobe Audition" ou "Adobe Animate" en version crackée. On voit aussi qu'il y a déjà eu plusieurs centaines de vues en quelques heures.

Il y a un réel effort fait sur les vidéos : vignettes de qualité et utilisation d'une IA pour générer les vidéos.

Il est à noter que l'exécutable malveillant (loader) a été compilé avec l'application Embarcadero RAD Studio, ce qui lui permettrait d'être plus difficilement détectable, avec une capacité à échapper aux bacs à sable et aux machines virtuelles.. À ce sujet, voici les précisions de l'entreprise Morphisec : "Ceux qui ont le taux de détection le plus bas sur VirusTotal sont compilés à l'aide de 'BCC64.exe', un nouveau compilateur C++ d'Embarcadero basé sur Clang".

Une nouvelle fois, la thématique des "logiciels crackés" est utilisée par les pirates informatiques. Un utilisateur qui cherchera à obtenir une version crackée d'un logiciel, pourra tomber sur une vidéo YouTube ou un site web malveillant, et finir par télécharger et exécuter le malware !

Comme le montre l'image ci-dessous, issue du rapport de Morphisec, des logiciels populaires sont utilisés comme leurre.

Source

The post Des vidéos YouTube utilisées pour distribuer le malware Aurora first appeared on IT-Connect.

Les cybercriminels associés au gang du ransomware Vice Society s'appuient sur un outil codé en PowerShell pour exfiltrer des données sur les machines compromises. Grâce à cette méthode, l'action malveillante est plus difficile à détecter.

L'Unit 42 de chez Palo Alto Networks a mis en ligne un nouveau rapport au sujet de cette nouvelle méthode d'exfiltration utilisée par le ransomware Vice Society.

Ce groupe qui a émergé en mai 2021 utilise un script PowerShell nommé w1.ps1 qui va effectuer les actions suivantes sur la machine virtuelle :

• Lister l'ensemble des lecteurs de la machine
• Parcourir le contenu des lecteurs de la machine (Get-ChildItem)
• Exfiltrer les données vers un serveur externe via des requêtes POST en HTTP

Pour exfiltrer uniquement des données intéressantes, le script PowerShell effectue des exclusions sur certains fichiers, notamment les fichiers du système, les fichiers relatifs à des sauvegardes ainsi que les fichiers de la solution de sécurité présente sur la machine (Symantec, ESET, Sophos sont mentionnés).

Ce système de filtrage va même plus loin comme le précise le rapport : "Cependant, le fait que le script se concentre sur les fichiers de plus de 10 Ko avec des extensions de fichiers et dans des répertoires qui correspondent à sa liste d'inclusion signifie que le script n'exfiltrera pas de données qui ne correspondent pas à cette description."

Pour éviter de consommer trop de ressources sur la machine sur lesquelles les données sont exfiltrées, le script utilise un système de file d'attente pour envoyer les données progressivement vers le serveur distant.

Ce script PowerShell est un très bon exemple du principe de la double extorsion. En plus de chiffrer les données, les ransomwares ont tendance à exfiltrer les données des entreprises afin de les divulguer sur le Dark Web si la victime ne paie pas la rançon.

Une fois de plus, on voit que la menace ransomware est bien présente et active, tout en étant en perpétuelle évolution.

Source

The post Le ransomware Vice Society exfiltre les données avec un script PowerShell first appeared on IT-Connect.

Une nouvelle campagne de phishing est en cours, dans le but d'infecter les machines avec le malware Qbot. Cette fois-ci, les pirates utilisent des fichiers PDF et WSF pour infecter les machines Windows. Faisons le point.

Le malware Qbot, alias QakBot, revient régulièrement sur le devant de la scène lorsque de nouvelles campagnes d'attaques sont lancées. Par exemple, en 2022, il s'appuyait sur une archive ZIP contenant un fichier MSI malveillant pour infecter les machines.

À la base, Qbot est un trojan bancaire mais il a évolué pour permettre le déploiement d'autres logiciels malveillants (notamment des ransomwares) et offrir aux cybercriminels un accès à la machine infectée.

Qbot a été utilisé par des groupes de cybercriminels pour obtenir un accès initial au réseau d'une entreprise. On peut citer plusieurs gangs de ransomwares : BlackBasta, REvil, PwndLocker ou encore ProLock.

Nouvelle méthode d'infection basée sur un fichier PDF

D'après le groupe Cryptolaemus et le chercheur en sécurité ProxyLife qui a l'habitude de suivre Qbot, le logiciel malveillant est distribué par l'intermédiaire d'une nouvelle campagne de phishing. Ce qui change cette fois-ci, c'est le type de fichiers utilisés.

En effet, les pirates utilisent un fichier PDF malveillant, ajouté en pièce jointe de l'e-mail, et qui va exécuter un script malveillant au format WSF (Windows Script File) pour infecter l'ordinateur avec Qbot. Ce type de script peut contenir du code JScript et VBScript.

L'e-mail en question contient une pièce jointe nommée "CancelationLetter-[nombre].pdf". Voici un aperçu du document :

Lorsque l'utilisateur ouvre cette pièce jointe, il se retrouve avec une page qui lui indique de cliquer sur le bouton "Open" pour ouvrir le document, ce dernier étant protégé. Ce qui, bien sûr, et un moyen de faire télécharger le script malveillant pour infecter la machine.

Si le script WSF malveillant est exécuté, il va lui-même exécuter un script PowerShell qui aura pour objectif de télécharger une DLL à partir d'Internet. Si besoin, plusieurs tentatives via différents domaines sont effectuées, jusqu'à ce que le téléchargement fonctionne.

Une fois la machine compromise, le malware sera injecté dans un processus légitime de Windows nommé wermgr.exe. Ceci lui permet de rester actif en arrière-plan, en étant discret. C'est là qu'il pourra commencer à effectuer des actions malveillantes (évoquées ci-dessus).

Une fois de plus, vos utilisateurs devront se montrer méfiants face à cette menace !

Source

The post Phishing : Qbot est de retour et il infecte les PC avec des fichiers PDF et WSF ! first appeared on IT-Connect.

Des chercheurs ont fait la découverte d'un nouveau malware Android, surnommé Goldoson et distribué au travers d'environ 60 applications. Au total, le nombre de téléchargements est important : 100 millions !

100 millions d'installations, ce n'est pas rien, et c'est pourtant un chiffre réel si l'on se réfère au nombre de téléchargements cumulés de l'ensemble des applications concernées par cette affaire.

C'est d'autant plus inquiétant que, d'après les chercheurs de McAfee, à l'origine de la découverte de Goldoson, ces applications sont infectées par ce malware à cause d'une bibliothèque tierce infectée initialement. Cela n'est pas sans rappeler l'attaque supply chain qui a touché l'application 3CX pour Windows.

Que fait le malware Goldoson ?

Sur un appareil infecté, le malware Goldoson va collecter des données dans les applications installées, les appareils Bluetooth et WiFi (notamment les adresses MAC), ainsi que votre position GPS. Par ailleurs, il peut aussi cliquer sur des publicités à votre insu, en tâche de fond.

D'après l'analyse effectuée de ce logiciel malveillant, il se synchronise au serveur C2 des attaquants tous les deux jours. La première connexion au serveur C2 lui permet de récupérer sa configuration.

En fonction de l'application installée sur votre appareil et infectée par Goldoson, le malware a plus ou moins accès aux données de votre appareil : tout dépend des permissions demandées par l'application en question et de la version d'Android utilisée.

Depuis Android 11, il est plus difficile pour les applications de collecter des données de façon "illégale". Toutefois, d'après les chercheurs de McAfee, sur les versions plus récentes d'Android il reste efficace pour récupérer des données sensibles dans 10% des applications installées sur l'appareil.

Quelles sont les applications infectées ?

Certaines applications comptent très peu d'installations (moins de 10 000). Voici la liste des applications les plus téléchargées et infectées par Goldoson :

• L.POINT with L.PAY - 10 millions de téléchargements
• Swipe Brick Breaker - 10 millions de téléchargements
• Money Manager Expense & Budget - 10 millions de téléchargements
• GOM Player - 5 millions de téléchargements
• LIVE Score, Real-Time Score - 5 millions de téléchargements
• Pikicast - 5 millions de téléchargements
• Compass 9: Smart Compass - 1 million de téléchargements
• GOM Audio - Music, Sync lyrics - 1 million de téléchargements
• LOTTE WORLD Magicpass - 1 million de téléchargements
• Bounce Brick Breaker - 1 million de téléchargements
• Infinite Slice - 1 million de téléchargements
• SomNote - Beautiful note app - 1 million de téléchargements
• Korea Subway Info: Metroid - 1 million de téléchargements

McAfee a pu signaler ce logiciel malveillant et ces applications à Google. Les développeurs, qui ont fait le choix de supprimer la librairie pour que leur application soit de nouveau saine, peuvent continuer à diffuser leur application sur le Play Store. Pour les autres, les applications sont supprimées du Play Store car elles ne sont pas conformes au règlement du magasin d'applications.

Si vous utilisez l'une de ces applications, vous devez effectuer la mise à jour immédiatement.

Source

The post 100 millions de téléchargements pour ces apps infectées par le malware Goldoson first appeared on IT-Connect.

Le ransomware LockBit dispose d'un module de chiffrement spécifique pour cibler les machines sous macOS. Même si c'est en phase de tests, les utilisateurs de Mac doivent se méfier : LockBit est redoutable et cette campagne pourrait faire de nombreuses victimes.

Les chercheurs en sécurité de l'équipe Malware Hunter ont fait la découverte de cet échantillon destiné à macOS sur le site VirusTotal. Jusqu'à présent, le ransomware LockBit, dans ses différentes versions, ciblait plusieurs plateformes, dont les machines sous Windows, Linux et les hyperviseurs VMware ESXi. Désormais, les utilisateurs de macOS ne sont plus épargnés par cette menace.

Le ransomware LockBit serait capable de chiffrer les machines Apple avec une puce Apple Silicon (et probablement les modèles sous Intel). En effet, les chercheurs ont repéré un module de chiffrement nommé "locker_Apple_M1_64" (voir ici) qui cible les puces Apple.

Même si cette information est évoquée aujourd'hui, ce module de chiffrement ne semble pas nouveau. D'après le chercheur en cybersécurité Florian Roth, un module de chiffrement LockBit compatible Apple M1 a été téléchargé sur VirusTotal en décembre 2022 !

Toutefois, d'après le site BleepingComputer, dont les auteurs ont pris le temps d'analyser ce module de chiffrement pour Apple M1, il s'agit d'une phase de tests. Par exemple, il y a des exclusions sur les extensions ".exe" ou ".dll" qui sont propres au fonctionnement de Windows, et non à macOS.

Information confirmée par LockBitSupp, un porte-parole de LockBit, qui a clairement indiqué que le module de chiffrement pour Mac était "en cours de développement". Bien sûr, ces informations sont à prendre avec des pincettes, mais il est clair que la menace LockBit se rapproche de macOS.

Dans les semaines et mois à venir, il y a de fortes chances pour que LockBit fasse des ravages sur macOS si les développeurs du gang LockBit parviennent à développer un module pleinement opérationnel. Ce qui n’est surement qu'une question de temps...!

Il va être indispensable de protéger votre macOS, au même titre qu'il faut protéger une machine sous Windows.

Source

The post Ransomware LockBit : découverte d’un module de chiffrement pour macOS first appeared on IT-Connect.

Google a mis en ligne une nouvelle version de son navigateur Google Chrome dans le but de corriger une faille de sécurité zero-day : CVE-2023-2033. La première de l'année 2023 !

Dans le bulletin de sécurité mis en ligne par l'entreprise américaine, on peut lire que cette nouvelle version corrige deux failles de sécurité, dont la vulnérabilité CVE-2023-2033 découverte par Clément Lecigne de l'équipe Google Threat Analysis. Le travail de cette équipe de chez Google est très important, car il permet régulièrement de découvrir de nouvelles failles de sécurité dans Chrome.

Associée à une sévérité élevée, cette vulnérabilité zero-day se situe dans le moteur JavaScript V8 de Chrome. Elle est exploitée dans le cadre d'attaques et d'ailleurs il existe un exploit : "Google sait qu'il existe un programme d'exploitation pour la CVE-2023-2033 dans la nature."

Toutefois, Google n'a pas donné de précisions sur les incidents de sécurité observés et associés à cette vulnérabilité, ni même sur le fonctionnement de cet exploit en lui-même.

Ce qui est logique compte tenu de la politique appliquée par l'entreprise de Mountain View : "L'accès aux détails des bugs et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs aient reçu un correctif." - D'autres informations devraient fuiter par la suite.

Il s'agit de la première faille zero-day corrigée dans Chrome en 2023. L'année dernière, Google avait corrigé près de 10 failles de ce type dans ce navigateur.

Google Chrome 112.0.5615.121

Utilisateurs de Google Chrome, que ce soit sur Windows, macOS ou Linux, vous devez mettre à jour le navigateur sur votre machine dès que possible. La version 112.0.5615.121 de Google Chrome intègre le correctif.

Pour mettre à jour Google Chrome : cliquez sur les trois points en haut à droite, puis sous "Aide" cliquez sur "À propos de Google Chrome". Le navigateur va rechercher immédiatement la présence d'une mise à jour et l'installer.

Bon début de semaine !

Source

The post CVE-2023-2033 : la première faille zero-day de 2023 corrigée dans Google Chrome first appeared on IT-Connect.

Le FBI est formel : vous devez arrêter d'utiliser les prises USB en libre-service dans les lieux publics ! Parfois, elles sont modifiées dans le but de voler les données sur votre smartphone lorsqu'il est mis en charge ! Cette technique a un nom : juice jacking.

Au cas où vous l'ignoriez, les stations de recharge publiques que l'on retrouve dans les gares, les aéroports, les centres commerciaux et j'en passe.... Représente un véritable danger pour les données de votre smartphone ou de votre tablette. Certains cybercriminels ont pris l'habitude d'apporter des modifications aux stations de charge afin d'intégrer un logiciel malveillant capable capable de voler les données de votre appareil. La simple connexion de votre appareil est suffisante : il se rechargera, même si vos données sont aspirées.

Sur son compte Twitter, le FBI a émis une alerte à ce sujet : "Évitez d'utiliser les stations de recharge gratuites dans les aéroports, les hôtels ou les centres commerciaux. Des acteurs malveillants ont trouvé des moyens d'utiliser les ports USB publics pour introduire des logiciels malveillants et des logiciels de surveillance sur les appareils. Emportez votre propre chargeur et cordon USB et utilisez plutôt une prise électrique." - Cette technique s'appelle le juice jacking.

En résumé, utilisez votre propre batterie externe ou votre propre chargeur (câble + bloc secteur) afin d'utiliser une prise électrique. Et oui, on n'est jamais mieux servi que par soi-même.

L'autre alternative consiste à s'équiper d'un bloqueur de données. Cet accessoire prend la forme d'un adaptateur USB qui va se positionner entre la prise murale et votre câble USB de manière à empêcher la transition des données. Ainsi, il n'y a que la fonction de recharge qui est assurée. Par exemple, sur la boutique Hak5, on peut trouver cet accessoire pour 39.99$ (utile pour détecter un câble O.MG disponible sur la même boutique). Sinon, sur Amazon, on en trouve aussi... Notamment un modèle de chez StarTech.com à 12,11€.

Source

The post Juice jacking : le vol de données grâce aux prises USB des stations de recharge publiques ! first appeared on IT-Connect.

Des chercheurs en sécurité ont émis une alerte légitime au sujet de la faille de sécurité CVE-2023-21554 située dans le service Windows Message Queuing et qui vient d'être corrigée par Microsoft. D'après eux, des centaines de milliers de machines sont vulnérables et pourraient être compromises. Faisons le point.

Naturellement, la faille de sécurité zero-day CVE-2023-28252 attire l'attention puisqu'elle est déjà utilisée dans le cadre d'attaques, notamment par le gang de ransomware Nokoyawa. Toutefois, au sein de son Patch Tuesday d'avril 2023, Microsoft a corrigé plusieurs failles de sécurité critiques, dont la CVE-2023-21554 qui inquiète particulièrement.

Si l'on se réfère au site Microsoft, on constate que cette faille de sécurité critique située dans le service Windows Message Queuing hérite d'un score CVSS de 9.8 sur 10. On peut lire aussi qu'elle affecte toutes les versions de Windows et Windows Server, y compris les installations en mode "Core", ainsi que Windows Server 2022 et Windows 11 22H2.

En exploitant cette vulnérabilité, un attaquant non authentifié sur la machine ciblée peut exécuter du code à distance grâce à des paquets MSMQ spécifiques. Puisqu'il n'y a pas besoin d'interaction de la part de l'utilisateur et que l'attaque est réalisable via le réseau, c'est particulièrement dangereux.

Qu'est-ce que Windows Message Queuing alias MSMQ ?

MSMQ est une fonctionnalité optionnelle de Windows et Windows Server qui a pour objectif de permettre l'échange asynchrone de messages entre plusieurs serveurs. Les applications envoient des messages aux files d'attente, et ces messages seront lus par d'autres serveurs destinataires. Sauf erreur de ma part, c'est un système dans le même esprit que RabbitMQ, pour ceux qui connaissent.

Il est clair que si MSMQ n'est pas activé sur votre machine, elle n'est pas exposé. C'est clairement précisé sur le site de Microsoft : "Le service Windows Message Queuing, un composant de Windows, doit être activé pour qu’un système puisse être exploité par cette vulnérabilité."

Cette fonctionnalité optionnelle s'active avec PowerShell ou à partir de l'interface graphique.

360 000 serveurs MSMQ exposés et vulnérables ?

D'après des chiffres publiés par Check Point Research, il y aurait au moins 360 000 serveurs avec MSMQ actifs qui sont exposés sur Internet. C'est déjà un chiffre élevé, et il ne tient pas compte des serveurs qui ne sont pas exposés directement sur Internet.

Parfois, le service MSMQ peut être installé par une application tierce qui en a besoin en tant que dépendance, donc ce n'est pas parce que vous ne l'avez pas installé qu'une application ne l'a pas fait à votre place. Même après désinstallation d'une application, ce service peut rester actif.

D'ailleurs, les chercheurs de Check Point mentionnent un exemple très simple : Microsoft Exchange. Si la case "Automatically install Windows Server roles and features that are required to install Exchange" a été cochée lors de l'installation d'Exchange Server, alors MSMQ a été activé.

Comment se protéger ?

Pour se protéger, la meilleure solution c'est de mettre à jour son serveur puisque les mises à jour d'avril 2023 corrigent cette faille de sécurité dans MSMQ. Toutefois, si vous ne pouvez pas installer le correctif dans l'immédiat, vous pouvez toujours filtrer les accès sur le port 1801/TCP de votre serveur. En effet, MSMQ écoute sur ce port comme le précise Microsoft dans sa documentation.

D'ailleurs, si votre serveur écoute sur le port 1801/TCP, c'est que le service MSMQ est actif (voir les ports d'écoute en PowerShell). Il y a aussi un service associé et un processus nommé "mqsvc.exe".

Source

The post Faille critique dans MSMQ (CVE-2023-21554) : au moins 360 000 machines Windows vulnérables ! first appeared on IT-Connect.

L'entreprise OpenAI, à l'origine de l'incontournable ChatGPT, vient de lancer un nouveau programme de Bug Bounty ! Lorsqu'une faille de sécurité est découverte, la récompense peut atteindre 20 000 dollars !

Par l'intermédiaire de la plateforme Bugcrowd, les chercheurs en sécurité et les hackers peuvent participer au nouveau programme de Bug Bounty lancé par l'entreprise OpenAI (sur cette page). Pour rappel, un bug bounty est un programme de récompense qui permet à un éditeur d'offrir une somme d'argent à une personne qui découvrirait un bug (de sécurité notamment) dans son application, son site web, etc.

Lorsqu'une vulnérabilité est découverte, la récompense attribuée dépendra de l'impact de celle-ci sur le service affecté, ainsi que le niveau de criticité. De ce fait, la récompense peut varier fortement comme le précise OpenAI dans son communiqué officiel : "Nos récompenses vont de 200 dollars pour les découvertes de faible gravité à 20 000 dollars pour les découvertes exceptionnelles."

En lançant ce programme, OpenAI espère améliorer la sécurité de ces services, ce qui est rassurant d'un côté. Ces dernières semaines, l'éditeur de ChatGPT est dans la tourmente : entre le blocage demandé par les autorités italiennes et la fuite de données liée à l'historique des conversations...

D'après OpenAI, c'est gagnant-gagnant : "Nous vous invitons à signaler les vulnérabilités, les bugs ou les failles de sécurité que vous découvrez dans nos systèmes. En partageant vos découvertes, vous jouerez un rôle crucial pour rendre notre technologie plus sûre pour tous." Toutefois, c'est important de préciser que le détournement du chatbot ChatGPT (contourner les mesures de protection sur certains sujets) ne sera pas considéré comme une faille de sécurité ou un bug.

Il vaut mieux qu'un hacker éthique découvre une vulnérabilité, que son travail soit récompensé par OpenAI, et que la faille soit corrigée dans le service affecté, plutôt qu'il y ait un nouvel incident de sécurité ou que ce soit un cybercriminel qui effectue cette découverte avant tout le monde... Ce programme de bug bounty lancé par OpenAI est plutôt une bonne nouvelle.

La chasse aux bugs est ouverte !

Source

The post OpenAI, l’éditeur de ChatGPT, lance son programme de bug bounty ! first appeared on IT-Connect.

En 2021, l'affaire d'espionnage autour du logiciel Pegasus a fait beaucoup de bruit... Et visiblement, ce n'est pas terminé puisque désormais il y a Reign, lui aussi créé par une société israélienne dans le but d'espionner des journalistes, des politiques et des activistes. Faisons le point.

L'équipe d'analystes de Microsoft Threat Intelligence a mis en ligne un long rapport au sujet d'une nouvelle menace surnommée Reign, mise au point par l'entreprise israélienne QuaDream. Microsoft n'a pas investigué seul sur cette affaire puisqu'elle s'est appuyée sur plusieurs partenaires, dont le Citizen Lab de l'Université de Toronto.

Tout comme la société NSO Group à l'origine de Pegasus, la société QuaDream est un PSOA (Private Sector Offensive Actor), c'est-à-dire un acteur offensif du secteur privé. Ses travaux profitent à des clients gouvernementaux qui paient ensuite pour utiliser le logiciel espion mis au point. D'ailleurs, ce n'est pas un hasard si la société QuaDream vient tout droit d'Israël puisque ce sont des anciens de NSO Group qui l'ont créé.

Comme le précise Microsoft, le nouveau logiciel espion "REIGN est une suite d'exploits, de logiciels malveillants et d'infrastructures conçus pour exfiltrer des données à partir d'appareils mobiles." - À ce jour, ce logiciel espion aurait été utilisé contre au moins 5 personnes (située sur différents continents, dont l'Europe) qui ont pu être identifiées, même si les noms ne sont pas rendus publics.

Le logiciel espion Reign s'attaque aux iPhone puisqu'il cible le système d'exploitation iOS et ne nécessite pas d'interaction de l'utilisateur pour que la compromission de l'appareil soit effectuée. On parle d'une approche zero-click. Pour cela, la personne ciblée doit recevoir une invitation de calendrier iCloud : ce qui est suffisant pour infecter l'iPhone (au moment où le système va traiter l'invitation reçue), grâce à l'exploitation de cette faille de sécurité zero-day. D'après les informations publiées, Reign fonctionne contre les versions 14.4 et 14.4.2 d'iOS, mais il pourrait être mis à jour pour fonctionner sur d'autres versions.

Quelles sont les fonctionnalités de ce logiciel espion ?

En lisant le rapport de Citizen Lab, on apprend que ce logiciel espion est capable de réaliser de nombreuses actions sur l'appareil infecté. En effet, il est capable :

• Enregistrer et surveiller les appels téléphoniques
• Enregistrer l'audio en activant le micro de l'appareil à votre insu
• Prendre des photos avec la caméra avant ou la caméra arrière de l'appareil
• Accéder aux mots de passe enregistrés sur l'appareil
• Générer des codes 2FA pour accéder à iCloud
• Effectuer une recherche sur l'appareil (fichiers et bases de données)
• Localiser l'appareil
• Effacer ses traces pour ne pas être détecté
• D'exfiltrer des informations sur l'appareil (version du système iOS, état de la batterie, numéro de téléphone, détails de la carte SIM, etc.)

Dans ce même rapport, on peut lire : "Des rapports récents des médias indiquent que QuaDream a vendu ses produits à une série de clients gouvernementaux, dont Singapour, l'Arabie Saoudite, le Mexique et le Ghana, et a proposé ses services à l'Indonésie et au Maroc."

Comme on dit, affaire à suivre...

Source

The post Espionnage des iPhone : le logiciel espion Reign, c’est l’après Pegasus ! first appeared on IT-Connect.

Au sein de son Patch Tuesday d'Avril 2023, Microsoft a corrigé une faille de sécurité zero-day exploitée dans le cadre d'attaques. D'ailleurs, un groupe de cybercriminels associé au ransomware Nokoyawa l'exploite déjà !

Comme je l'indiquais dans mon article dédié au Patch Tuesday d'Avril 2023, la faille de sécurité CVE-2023-28252 se situe dans le pilote Windows CLFS (Common Log File System) et elle permet à l'attaquant d'effectuer une élévation de privilèges. In fine, l'attaquant peut prendre le contrôle de la machine Windows et exécuter une souche malveillante. Microsoft précise : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM."

A la question "Quelles sont les versions de Windows affectées par cette vulnérabilité ?", la réponse est simple : toutes les versions de Windows Server et de Windows.

Initialement, cette faille de sécurité a été découverte par Genwei Jiang de chez Mandiant et Quan Jin de chez DBAPPSecurity WeBin Lab.

De son côté, l'éditeur Kaspersky a émis une alerte au sujet de cette vulnérabilité, car elle a été exploitée par le groupe de cybercriminels du ransomware Nokoyawa dans le cadre d'attaques. Cela ne serait pas tout récent, puisque les cybercriminels s'amuseraient avec le pilote CLFS de Windows depuis juin 2022 en utilisant au moins 5 exploits différents ! D'ailleurs, Kaspersky rappelle que Microsoft a patché au moins 32 failles de sécurité dans le pilote CLFS de Windows depuis 2018.

La nouvelle vulnérabilité a été découverte en février 2023 : "Les chercheurs de Kaspersky ont découvert cette vulnérabilité en février à la suite de vérifications supplémentaires d'un certain nombre de tentatives d'exécution d'exploits similaires d'élévation de privilèges sur des serveurs Microsoft Windows appartenant à différentes petites et moyennes entreprises dans les régions du Moyen-Orient et de l'Amérique du Nord."

En exploitant cette vulnérabilité, le gang du ransomware Nokoyawa peut effectuer une élévation de privilèges et exécuter la charge utile sur la machine compromise. Il est à noter que ce groupe de cybercriminels a émergé en février 2022 et qu'il applique le principe de la double extorsion dans ses attaques.

De son côté, l'agence américaine CISA a ajouté la faille de sécurité CVE-2023-28252 à sa liste des vulnérabilités exploitées dans le cadre d'attaques. Il y a des chances pour qu'un avis du CERT-FR soit mis en ligne dans les prochaines heures.

Les dernières mises à jour Windows corrigent la faille de sécurité CVE-2023-28252 : à vos mises à jour !

Source

The post La nouvelle faille de sécurité zero-day dans Windows est exploitée par le ransomware Nokoyawa first appeared on IT-Connect.

Microsoft a mis en ligne son Patch Tuesday d'Avril 2023 ! Au programme, 97 failles de sécurité corrigées ainsi qu'une faille zero-day ! Il est temps de faire le point sur les produits et services impactés.

Ce mois-ci, il y a 7 vulnérabilités considérées comme critiques notamment parce qu'elles permettent de l'exécution de code à distance. Voici la liste des vulnérabilités critiques :

• Microsoft Message Queuing (Windows & Windows Server) : CVE-2023-21554
• Serveur DHCP de Windows Server : CVE-2023-28231
• Windows - Protocole L2TP : CVE-2023-28219 et CVE-2023-28220
• Windows - Protocole PPTP : CVE-2023-28232
• Windows PGM : CVE-2023-28250
• Windows - Extension pour les images RAW : CVE-2023-28291

Au-delà de ces mises à jour, il y a bien sûr une salve de mises à jour de sécurité pour Microsoft Edge, ainsi que des correctifs pour d'autres produits et services dont : Microsoft Defender for Endpoint, Microsoft Dynamics, Microsoft Office (Publisher, SharePoint, Word), les pilotes d'impressions PostScript et PCL6 de Microsoft, le serveur DNS de Windows Server, SQL Server, Visual Studio (et VSCode), l'Active Directory, Windows Kerberos, Windows NTLM, le client RDP de Windows ou encore le noyau Windows.

Il est à noter que les vulnérabilités corrigées dans Microsoft Office ne sont pas encore exploitées dans le cadre d'attaques, mais elles sont dangereuses. En effet, un simple document malveillant permettrait de les exploiter : attention aux pièces jointes dans les e-mails, une fois de plus.

Zero-Day : CVE-2023-28252

Parlons de la faille de sécurité zero-day exploitée dans le cadre d'attaques et associée à la référence CVE-2023-28252.

La firme de Redmond a patchée une vulnérabilité permettant une élévation de privilèges dans le pilote Windows CLFS (Common Log File System). À ce sujet, Microsoft précise : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.", ce qui permet de prendre le contrôle de la machine locale.

D'ailleurs, l'éditeur Kaspersky a déjà émis une alerte auprès de Microsoft au sujet de cette vulnérabilité, car elle a été exploitée par le groupe de cybercriminels derrière le ransomware Nokoyawa dans le cadre d'attaques.

Toutes les versions de Windows Server et de Windows sont affectées par cette vulnérabilité.

Suite à l'installation de ces nouvelles mises à jour, certains systèmes Windows vont bénéficier nativement de Windows LAPS (plus d'infos ici).

Source

The post Patch Tuesday – Avril 2023 : 97 failles de sécurité et 1 zero-day corrigées ! first appeared on IT-Connect.

Les chercheurs en sécurité de chez Home Security Heroes ont mis au point une intelligence artificielle baptisée PassGAN (Generative Adversarial Network) dans un but bien précis : cracker un mot de passe le plus rapidement possible. Ce qu'il faut savoir.

Pour tenter de deviner un mot de passe, cette intelligence artificielle s'appuie sur deux réseaux neuronaux : un premier pour générer les mots de passe et un deuxième pour tester les mots de passe.

Cette intelligence artificielle a été nourrie par une base de 15,6 millions de mots de passe récupérée sur le Dark Web (issue du piratage de RockYou en 2009). D'après les tests réalisés sur cette base de mots de passe, en conservant uniquement les mots de passe de 4 à 18 caractères, il lui faut moins d'une minute pour cracker 51% des mots de passe les plus communs. Pour le reste, il a fallu moins d'une heure pour découvrir les deux tiers (65 %) des mots de passe, moins d'un jour pour atteindre 71% et moins d'un mois pour atteindre 81%.

Prenons l'exemple d'un mot de passe de 7 caractères, l'IA PassGAN peut le cracker en moins de 6 minutes même s'il contient des chiffres, des minuscules, des majuscules et des caractères spéciaux ! Si le mot de passe est plus long, l'IA se montre beaucoup moins efficace (au même titre qu'une attaque brute force traditionnelle) puisque cela peut durer des mois.

D'ailleurs, Home Security Heroes explique qu'il faudrait 14 milliards d'années à PassGAN pour deviner un mot de passe composé d'au moins 15 caractères et qui aurait des minuscules, majuscules, chiffres et caractères spéciaux.

Ce n'est pas la peine de paniquer...

Depuis plusieurs mois, les intelligences artificielles, c'est LE sujet à la mode depuis que ChatGPT est devenu un véritable phénomène... Alors, forcément, évoquer une IA capable de cracker des mots de passe très rapidement peut effrayer les utilisateurs, et en même temps c'est intrigant.

Toutefois, si vous utilisez des mots de passe robustes, vous n'avez rien à craindre de l'IA PassGAN. Même si au final, c'est une menace de plus pour nos bons vieux mots de passe et une belle piqûre de rappel pour nous encourager à utiliser des mots de passe digne de ce nom.

C'est aussi l'occasion de rappeler que la notion d'entropie qui permet de calculer la force d'un mot de passe est la clé pour avoir des mots de passe robustes, comme je l'expliquais dans un précédent article. Plutôt que d'utiliser des mots de passe, il peut être intéressant d'utiliser des phrases de passe (passphrases) car elles sont naturellement plus longues.

Source

The post PassGAN, une IA capable de cracker les mots de passe en moins d’une minute, vraiment ? first appeared on IT-Connect.