IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une nouvelle campagne de malware dans laquelle les utilisateurs sont invités à télécharger Windows 10


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 958
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 958
    Points : 88 576
    Points
    88 576
    Billets dans le blog
    2
    Par défaut Une nouvelle campagne de malware dans laquelle les utilisateurs sont invités à télécharger Windows 10
    Cisco découvre une nouvelle campagne de ransomware
    Dans laquelle les utilisateurs sont invités à télécharger Windows 10 sur leurs PC

    Pendant que Microsoft préparait le terrain pour les mises à niveau vers son nouvel OS, les acteurs malveillants du web ont également réfléchi et trouvé la manière de saisir cette opportunité pour faire de nouvelles victimes. Talos, l’équipe de sécurité de Cisco a en effet découvert une nouvelle campagne de spam qui a profité de la sortie de Windows 10 pour propager un malware demandeur de rançon.

    Les auteurs de la campagne ont conçu leur message de sorte à faire tomber plus d’un utilisateur. Un message aux couleurs de Microsoft avec pour objet « Mise à niveau Windows 10 gratuite » et « update@microsoft.com » comme adresse mail de l’expéditeur a été envoyé aux victimes de l’attaque.


    Si à première vue, le message semblait donc provenir de la firme de Redmond, son contenu imitait également les messages que Microsoft a envoyés aux utilisateurs qualifiés pour les inciter à migrer vers son nouvel OS. La fausse invitation à migrer vers Windows 10 a également été accompagnée par un message d’avertissement semblable à celui que Microsoft envoie aux utilisateurs dans ses différents mails.

    L’arme fatale des attaquants était un programme malveillant caché dans un fichier joint au message, mais les techniques des attaquants incluent également une notification qui fait croire aux victimes que la pièce jointe a été analysée par MailScanner et est sure.

    Toutefois, certains éléments auraient pu susciter de la méfiance chez les utilisateurs un peu plus avertis. Il y a par exemple plusieurs caractères qui ne se compilent pas correctement dans le message reçu par les victimes. Les chercheurs de Talos notent également que l’entête du message montre que le mail provient d’une adresse IP allouée à la Thaïlande.


    Si les utilisateurs manquent de voir ces détails et qu’ils téléchargent la pièce jointe et exécutent le programme malveillant, le malware débute alors le processus d’infection de la machine. Le malware utilisé, CTB-Locker, est un malware de type ransomware qui chiffre les fichiers de l’utilisateur. Le chiffrement asymétrique est utilisé pour permettre aux adversaires de « chiffrer les fichiers de l'utilisateur sans avoir la clé de déchiffrement sur le système infecté », expliquent les chercheurs de Talos.

    Une fois que les fichiers sont chiffrés, les attaquants demandent aux victimes – via une fenêtre – de payer une rançon dans un délai de 96 heures. Les victimes sont ensuite instruites d’utiliser Tor et Bitcoin pour permettre aux acteurs malveillants de rester anonymes et tirer rapidement profit de leurs campagnes avec un risque minimal.

    Pour montrer le sérieux de la menace, les attaquants offrent à l’utilisateur la possibilité de voir la liste des fichiers chiffrés. Les pirates lui proposent également de déchiffrer 5 fichiers gratuitement, pour rassurer ce dernier qu’il pourra récupérer ses fichiers une fois que la rançon est payée.


    Cette nouvelle campagne découverte par les chercheurs de Talos diffère en bon nombre de points des campagnes de ransomware connues à ce jour. Talos fait remarquer que le malware envoie d’importantes quantités de données à des serveurs de commande et de contrôle, ce qui est inhabituel pour un malware de ce type. La société soupçonne donc que les données de l’utilisateur pourraient être exploitées à d’autres fins.

    Contrairement aux versions récentes de ransomware qui misent sur les sites WordPress compromis, CTB-Locker semble encore utiliser des adresses IP codées en dur sur des ports non standards pour établir la communication. Les ports les plus communs qui ont été utilisés sont les ports 9001, 443, 1443, et 666. Talos révèle que le malware a aussi utilisé le port 21 qui est associé au trafic FTP, pour la communication.

    Source : Blog Cisco

    Et vous ?

    Qu’en pensez-vous ?

  2. #2
    Membre éclairé Avatar de Beanux
    Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Octobre 2009
    Messages
    249
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : Octobre 2009
    Messages : 249
    Points : 744
    Points
    744
    Par défaut
    Je demande a voir le fournisseur de la boite mail utilisé, ce n’est pas extrêmement compliqué de mettre en place une protection contre l'email spoofing.
    dig TXT domaine.org
    C’est juste une vérification que l'ip qui envoie le mail appartient bien au domaine auquel elle prêtent.
    De nombreux antispam utilisent cette méthode.

  3. #3
    Membre éclairé
    Homme Profil pro
    nop
    Inscrit en
    Mars 2015
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : nop
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2015
    Messages : 436
    Points : 658
    Points
    658
    Par défaut
    Plutôt que de crier "au feu!", Cisco aurait bien été plus intelligent de délivrer à ses clients, ou gratuitement à tout le monde un moyen de décryptage des fichiers ! ça lui aurait fait une bonne pub.
    Car là, Cisco ne fait que apporter la mauvaise nouvelle que malgré leurs matériels Cisco de bonne qualité, les données de ses clients sont exploitables....

    Un jour, il faudra que Cisco et les autres grands vendeurs de matériel de connectiques réseaux penses à désactiver par défaut l'utilisation des ports souvent piratés pour forcer les admin à utiliser-router d'autres ports.
    Laisser un port standard ouvert, c'est comme avoir "toto" comme mot de passe.

    Désolé d’avoir l’impression de taper sur Cisco, mais quand un pompier crie ou trouve le temps de crier « il y a le feu » plutôt que l’éteindre, ça ne me plaît pas beaucoup.

  4. #4
    Membre expert
    Avatar de Metalman
    Homme Profil pro
    Enseignant-Chercheur
    Inscrit en
    Juin 2005
    Messages
    1 049
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Enseignant-Chercheur
    Secteur : Enseignement

    Informations forums :
    Inscription : Juin 2005
    Messages : 1 049
    Points : 3 528
    Points
    3 528
    Par défaut
    Plutôt que de crier "au feu!", Cisco aurait bien été plus intelligent de délivrer à ses clients, ou gratuitement à tout le monde un moyen de décryptage des fichiers !
    Sauf que le chiffrement asymétrique ne permet pas de récupérer cette clé (c'est écrit dans l'article d'ailleurs).
    Ils peuvent tenter d'intercepter la clé qui a chiffré, mais ils ne pourront pas déduire celle de déchiffrement... (sauf si elle est envoyée au serveur, mais je ne pense pas que le ransomware ait été conçu de façon aussi naïve)

    Tous les ports listés sont par défauts filtrés... au moins sur windows.
    Mais lancer une installation en mode admin = ouvrir la boîte de pandore !

    Bref : cisco peut "au mieux" demander aux utilisateurs de faire attention aux mails... plutôt que de ne rien dire et laisser couler.

  5. #5
    Membre éclairé Avatar de Beanux
    Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Octobre 2009
    Messages
    249
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : Octobre 2009
    Messages : 249
    Points : 744
    Points
    744
    Par défaut
    Citation Envoyé par Metalman Voir le message
    cisco peut "au mieux" demander aux utilisateurs de faire attention aux mails... plutôt que de ne rien dire et laisser couler.
    Je rectifie, au niveau auquel c’est, l'utilisateur ne peux "rien vérifier". Si il n'y avait pas d'erreur d'encodage, ou que la forme y aurait été, indiscernable.
    L'adresse source est bonne. Mais on peut mettre n’importe quoi comme adresse source d'un mail.
    A ce niveau, c’est a l'admin du serveur de mail de foutre une vrai protection. SPF, ce que je mentionnais plus haut. Je dirais limite que c’est de la négligence de la part de celui qui le gère.

  6. #6
    Invité
    Invité(e)
    Par défaut
    Le vrai problème c'est qu'en général les webmails ne permettent pas d'afficher le header des messages.
    Donc même un utilisateur suspicieux peut se faire avoir.

    Sinon ces ransomwares avec cryptage de fichiers sont une vraie engeance; puisqu'une fois installée (et l'infection peut venir d'un simple site web); il n'y a pas d'autres possibilités que de formatter la machine.

  7. #7
    Membre éclairé
    Homme Profil pro
    nop
    Inscrit en
    Mars 2015
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : nop
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2015
    Messages : 436
    Points : 658
    Points
    658
    Par défaut
    Citation Envoyé par akd Voir le message
    Le vrai problème c'est qu'en général les webmails ne permettent pas d'afficher le header des messages.
    Donc même un utilisateur suspicieux peut se faire avoir.

    Sinon ces ransomwares avec cryptage de fichiers sont une vraie engeance; puisqu'une fois installée (et l'infection peut venir d'un simple site web); il n'y a pas d'autres possibilités que de formatter la machine.
    lesquels ne le permettent pas ?

    Orange le fait, SFR (basé sur Zimbra) le fait.
    Les autres je n'ai jamais cherché.

Discussions similaires

  1. Réponses: 9
    Dernier message: 18/02/2014, 14h24
  2. Réponses: 2
    Dernier message: 27/04/2009, 23h23
  3. Ouverture d'une page dans une nouvelle fenêtre et non dans la frame courante
    Par eveilside dans le forum Balisage (X)HTML et validation W3C
    Réponses: 4
    Dernier message: 07/10/2008, 23h03
  4. Réponses: 1
    Dernier message: 13/08/2008, 11h50
  5. Réponses: 22
    Dernier message: 03/08/2007, 16h57

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo