Les chercheurs de ThreatFabric cataloguent un nouveau malware appelé Xenomorph qui affecte plus de 50 institutions financières européennes.
Détecté pour la première fois ce mois-ci, le malware Xenomorph est un cheval de Troie bancaire qui infecte les smartphones Android. Le virus affiche de faux écrans de connexion sur les applications bancaires mobiles pour voler les informations d’identification des clients. Ces données sont ensuite utilisées pour accéder aux comptes bancaires et voler des fonds.
Si les comptes sont protégés par une authentification en deux étapes, Xenomorph peut également intercepter les SMS contenant le code et les transmettre aux attaquants. Elle affecte actuellement 56 banques européennes et 12 portefeuilles de crypto-monnaies.
Xenomorph infecte les smartphones via une application du Google Play Store appelée Fast Cleaner qui le télécharge et l’exécute. Cette application a été téléchargée plus de 50 000 fois.
Ce malware a été baptisé Xenomorph en raison de la similitude de son code avec celui d’un autre cheval de Troie bancaire connu sous le nom d’Alien. Cependant, malgré ses liens évidents avec l’un des logiciels malveillants les plus répandus de ces deux dernières années, Xenomorph est radicalement différent d’Alien en termes de fonctionnalité.
Ce fait, en plus de la présence de fonctionnalités non implémentées et de la grande quantité de logs présents dans le malware, peut suggérer qu’il s’agit d’un nouveau projet en cours par les acteurs responsables de l’Alien original, ou au moins par quelqu’un qui connaît bien sa base de code. Toutefois, il ne s’agit que de spéculations à ce stade.
Les chercheurs de ThreatFabric, d’après leur expérience dans ce type de menace bancaire, affirment que le malware est en phase de développement car certaines commandes du virus ne sont pas encore implémentées. Il s’agit actuellement d’un cheval de Troie bancaire Android moyen avec beaucoup de potentiel inexploité, qui pourrait être mis à jour très prochainement.
Premier jour de cette nouvelle guerre et le site web de l’armée russe a parlé de lui même hier, 24 février, lorsque le code d’erreur HTTP 418 signifiant « Je suis une théière » s’est affiché à la place du site web.
Le code d’erreur, loin de représenter un nouveau code pour les l’IoT, a été créé comme une blague le jour du poisson d’avril 1998. C’est un moyen non seulement d’empêcher l’accès au web, mais aussi d’exprimer une pensée sûrement partagée par de nombreux collectifs en ces temps de guerre.
Message d’erreur, visible lors de la rédaction de cet article.
Ce n’est pas la seule attaque, d’autres sites web du gouvernement russe ont également subi des cyberattaques qui les ont rendus inopérants. C’est la manière dont la communauté exprime, au moins de manière virtuelle, la stupeur provoquée par ce pays au cours des dernières années, des derniers mois et, évidemment, de ces derniers jours désastreux.
Fil Twitter commentant le message d’erreur 418.Fil Twitter sur les sites Web du gouvernement russe désactivés.
Ces attaques surviennent après les attaques successives de la Russie contre des centaines de sites web ukrainiens. Une pratique de plus que le gouvernement russe a utilisée pour déstabiliser le pays voisin au début de la guerre actuelle. Parmi ces attaques, un nouveau logiciel malveillant, rapidement analysé par l’analyste Juan Andrés Guerrero-Saade, a retenu l’attention. La coopération entre analystes, dont beaucoup ont partagé cette expérience sur les réseaux sociaux, est toujours un motif de réjouissance.
Fil de discussion sur l’analyse de @juandres_gs
L’analyse complète du malware, appelé HermeticWiper, a été publiée sur le site Web de sentinelLabs. Il porte le nom du certificat utilisé par le malware « Hermetica Digital Ltd » et le fonctionnement de ce malware, visant à détruire les données sur les machines infectées.
Communication sur le compte de recherche ESET.
ABC News donne un aperçu des attaques de ces derniers mois, dont celles du logiciel malveillant susmentionné, qui ont principalement visé de grands entrepreneurs du gouvernement ukrainien en Lettonie et en Lituanie et une institution financière en Ukraine. On ne sait pas encore combien de personnes pourraient être concernées. C’est loin d’être la seule attaque subie, ni la plus dommageable pour le pays ces dernières années (il suffit de se souvenir de NotPetya).
Dans ces conditions, cette guerre se déroule sur plusieurs fronts, et celui du numérique en est un. Comme de nombreux médias le soulignent déjà, l’attrition des cyber-attaques contre l’Ukraine vise à déstabiliser davantage le pays. S’il y avait le moindre doute sur le fait que, dans une guerre physique, le cyberespace ne serait pas pertinent, ce doute devrait avoir été écarté à ce jour.
En outre, il ne semble pas déraisonnable de penser que, compte tenu de la situation, nous n’en sommes qu’au début, et que nous ne pouvons donc pas nous sentir exclus. Non seulement en raison de la situation elle-même, qui est dévastatrice et impensable, mais aussi parce que tout est connecté numériquement.
Un groupe de pirates proche du gouvernement iranien utilise la vulnérabilité Log4j pour infecter des serveurs VMware Horizon obsolètes.
Comme le rapportent les chercheurs Amitai Ben Shushan Ehrlich et Yair Rigevsky de la société de sécurité SentinelOne, le groupe cybercriminel appelé « TunnelVison » exploite activement la vulnérabilité Java Log4j (CVE-2021-44228) pour l’exécution de code à distance. Ils peuvent ainsi prendre le contrôle des serveurs affectés et lancer des commandes PowerShell pour activer des portes dérobées, créer des utilisateurs, obtenir des informations et effectuer des mouvements latéraux. VMware utilise généralement Apache Tomcat pour le déploiement d’applications Web Java.
Au cours de l’activité détectée, l’utilisation d’un dépôt Github connu sous le nom de « VmwareHorizon » et de l’utilisateur « protections20 » a été observée.
Il est recommandé de mettre à jour les dernières versions pour éviter ce type d’incident.
Google a publié lundi dernier une nouvelle version de son navigateur Google Chrome qui applique plusieurs correctifs de sécurité corrigeant huit vulnérabilités, dont une vulnérabilité élevée qui est actuellement activement exploitée, étant la première vulnérabilité de type 0-day corrigée par le géant de l’Internet en 2022.
Google reconnaît avoir eu connaissance de rapports faisant état de l’existence d’un exploit pour CVE-2022-0609, qui est utilisé dans des attaques actuellement en cours. Adam Weidemann et Clément Lecigne du groupe d’analyse des menaces (TAG) de Google sont responsables de la découverte et du signalement de la vulnérabilité.
Est-ce que quelqu’un pense encore que les ransomwares ne s’arrêtent que lorsque les données sont chiffrées et qu’un paiement est exigé ? Il existe plusieurs générations de groupes d’extorsion qui se concentrent exclusivement sur les ransomwares d’entreprise, et tant le succès que les opportunités de marché les poussent à innover dans leurs méthodes. En réalité, nous avons affaire à de multiples tentatives d’extorsion qui couvrent tous les flancs pour assurer le succès des attaquants et ne laisser aucune option à la victime.
La première vague d’extorsion consiste évidemment à s’introduire dans l’entreprise et à chiffrer les informations importantes. Si la rançon n’est pas payée, les données restent chiffrées et l’entreprise ne peut pas poursuivre son activité. Il y a quelques années, une nouveauté a été introduite : non seulement les attaquants chiffrent les informations, mais ils les volent également, et plus le paiement est long, plus ils rendent publiques les informations de l’entreprise.
La troisième vague, qui s’ajoute aux précédentes, consiste à faire pression en exécutant des attaques par déni de service sur les pages publiques de l’entreprise attaquée. Ils les font disparaître d’internet. La quatrième qui a été observée est le harcèlement. Les attaquants, parfaitement organisés, contactent les fournisseurs, les partenaires, les clients et même les médias pour les avertir de l’attaque et ruiner la réputation de la victime.
Mais il y en a aussi une cinquième. Depuis quelque temps, LockBit invite les victimes à fournir des données tierces pour les aider à pénétrer dans leur réseau (identifiants VPN, RDP, etc.). Cela pourrait être utilisé pour « diminuer » le paiement de la rançon. Condamner un tiers pour alléger sa propre peine. Pervers mais apparemment efficace.
Ils offrent donc, par le biais de la note de rançon du Ransomware, la possibilité de gagner de l’argent si vous leur fournissez des données d’accès à des sociétés tierces. Il s’agit de la note de rançon typique dans laquelle on peut lire un message comme ci-dessous :
Mettant en évidence du texte suivant :
“Would you like to earn millions of dollars?
Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company.
You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. »
Si l’on y regarde de plus près, il s’agit d’une véritable perversion, étant donné qu’en plus du problème posé à l’entreprise touchée, qui doit faire face à la double extorsion du chiffrement et de l’exfiltration des données, l’attaquant tente de persuader l’entreprise attaquée ou même ses employés de fournir des données provenant d’entreprises tierces, de clients ou de fournisseurs de l’entreprise touchée. En d’autres termes, ils essaient de simplifier la manière dont ils entrent dans nombre de ces entreprises. Il existe déjà un marché sur lequel les attaquants peuvent acheter des informations d’identification à d’autres groupes criminels spécialisés dans la fourniture d’un accès initial aux entreprises, appelés Access Brokers. Mais ce modèle permettra à toute personne travaillant dans une entreprise et disposant d’identifiants d’accès à ses systèmes, ou à des systèmes tiers, de devenir Access Broker et de voir ainsi un moyen facile et discret d’obtenir un revenu supplémentaire.
En fait, le message pourrait aussi être lu comme une invitation à échanger l’extorsion contre des informations précieuses permettant à l’attaquant d’effectuer une transaction sur un compte plus important. Par exemple, si je suis le fournisseur d’une grande entreprise et que je suis compromis, j’échange la rançon en fournissant des informations d’identification qui permettent d’accéder à l’entreprise, ou en fournissant une porte dérobée qui permet à l’attaquant d’accéder à l’entreprise.
Ainsi, désormais, dans l’analyse des risques du modèle de ransomware, une nouvelle variable, auparavant mineure, prend une ampleur considérable : le risque qu’un potentiel insider fournisse aux attaquants le jeu de clés du château et leur facilite grandement la tâche pour mener à bien l’opération de compromission de l’infrastructure, ou le risque qu’un collaborateur extorqué donne accès aux systèmes.
Il est plus que probable que le modèle économique des ransomwares continuera d’évoluer et que nous verrons apparaître de nouvelles techniques et stratégies. Il faut donc continuer la sensibilisation au problème majeur que posent ces attaques, en renforçant la sécurité des entreprises et en collaborant avec les différents acteurs du secteur pour tenter de combattre ce fléau.
