Les dangers de l’APT Holy Water

Fin 2019, nos experts ont utilisé la méthode de l’attaque par « point d’eau » pour révéler une attaque ciblée. Les cybercriminels n’ont pas eu besoin de déployer des techniques sophistiquées, ou d’exploiter une vulnérabilité, pour infecter pendant au moins huit mois les dispositifs des utilisateurs qui se trouvaient en Asie. Tous les sites Internet utilisés pour propager le malware abordaient le même sujet et c’est pourquoi cette attaque a été baptisée Holy Water (eau bénite). Il s’agit de la seconde attaque de ce type que nous avons détectée ces derniers mois. Cliquez ici pour en savoir plus sur l’autre découverte faite par nos chercheurs.

Comment la campagne Holy Water infecte-t-elle les dispositifs de l’utilisateur ?

Il semblerait que les pirates informatiques aient, à un moment donné, mis en danger le serveur qui héberge plusieurs pages Web de personnalités religieuses et d’organismes publics et caritatifs. Les cybercriminels ont intégré des scripts malveillants dans le code de ces pages puis ils les utilisaient pour perpétrer les attaques.

Lorsque l’utilisateur visitait une page infectée, les scripts exploitaient des outils parfaitement légitimes pour obtenir des renseignements et les faire suivre à un serveur tiers pour les valider. Nous ne savons pas combien de victimes ont été sélectionnées mais, en réponse aux informations reçues, si la cible était prometteuse, le serveur envoyait un ordre pour maintenir l’attaque.

L’étape suivante avait recours à une astuce assez courante de nos jours (utilisée depuis plus d’une décennie) : on demandait à l’utilisateur de mettre à jour Adobe Flash Player en prétextant que la version actuelle du programme était soi-disant périmée et vulnérable. Si la victime acceptait, alors elle téléchargeait et installait sur son ordinateur la porte dérobée Godlike12, et non la mise à jour promise.

Dangers de Godlike12

Les têtes pensantes de cette attaque utilisaient activement certains services légitimes pour établir le profil des victimes et pour stocker le code malveillant (la porte dérobée était mentionnée sur GitHub). Les communications avec les serveurs du centre de commandes (C&C) passaient par Google Drive.

La porte dérobée a déposé un identifiant dans la solution de stockage Google Drive et a régulièrement passé des appels pour vérifier qu’elle recevait bien les ordres des cybercriminels. Les résultats de l’exécution de ces actions étaient aussi téléchargés à cet endroit. Selon nos experts, il s’agissait d’une attaque de reconnaissance qui cherchait à obtenir les données des dispositifs infectés.

Si vous souhaitez obtenir plus de détails techniques et en savoir plus sur les outils utilisés, nous vous invitons à lire l’article au sujet de Holy Water publié sur Securelist. Vous y trouvez également les indicateurs de compromission.

Comment se protéger

Pour le moment, l’attaque Holy Water n’a été détectée qu’en Asie. Pourtant, les outils utilisés par cette campagne sont assez simples et peuvent être déployés assez facilement dans n’importe quel pays. Nous recommandons donc à tous les utilisateurs de prendre ces recommandations au sérieux, quel que soit l’endroit où ils se trouvent.

Nous ne sommes pas en mesure de dire si l’attaque s’en prend à certaines personnes ou organisations en particulier. Une chose est sûre : n’importe qui peut visiter les sites infectés à partir d’un dispositif personnel ou professionnel. Nous vous conseillons fortement de protéger tous les dispositifs ayant accès à Internet. Nous proposons des solutions de sécurité pour les ordinateurs personnels et professionnels. Nos produits détectent et bloquent tous les outils et techniques utilisés par les créateurs de la campagne Holy Water.

Source: Antivirus

Chômage partiel : quels seront mes revenus ?

Afin d’éviter les licenciements résultant de la baisse d’activité dans le contexte de l’épidémie du Covid-19, le dispositif d’activité partielle a été modifié. Désormais l’allocation versée par l’État est proportionnelle à la rémunération des salariés placés en activité partielle, dans la limite de 4,5 le Smic. Elle s’établit à 84 du salaire net avec un plancher calculé sur la base de 8,03 par heure. Des salariés qui en étaient exclus peuvent désormais bénéficier du chômage partiel.

Source: Service Public

Optique : des centres ouverts pour répondre aux demandes urgentes

Vous avez cassé vos lunettes ? Un besoin en urgence de nouvelles lentilles ? Un changement de lunettes qui ne peut pas attendre ? Depuis le 23 mars 2020, un dispositif de service minimum est mis en place avec le ministère des Solidarités et de la Santé pour assurer le suivi des demandes urgentes en optique département par département.

Source: Service Public

Le spyware LightSpy s’en prend aux utilisateurs d’iPhone de Hong Kong

En janvier de cette année, les experts ont détecté une attaque par point d’eau à grande échelle qui s’en prenait aux résidents de Hong Kong : le malware multifonctionnel LightSpy pour iOS s’installait sur les smartphones des victimes. Cela nous rappelle encore que les dispositifs Apple, notamment les iPhones, ne sont pas immunisés contre les malwares. Ils sont protégés, évidemment, mais cette protection n’est pas totale.

Comment LightSpy infecte-t-il les dispositifs iOS ?

Le malware s’installe sur le smartphone de la victime lorsqu’elle visite un des différents sites Internet qui se font passer pour des médias d’informations locales. Les cybercriminels ont tout simplement copié le code d’authentiques pages d’actualités et ont créé des clones.

Les sites ont chargé toute sorte d’exploits sur les smartphones des victimes afin d’installer LightSpy. Les liens redirigeant vers de faux sites ont été distribués sur des forums que les habitants de Hong Kong utilisent. Si l’utilisateur visitait une seule page malveillante, l’iPhone pouvait être infecté. Inutile de toucher quoi que ce soit d’autre.

Qu’est-ce que LightSpy ?

Le malware LightSpy est une porte dérobée modulaire qui permet au pirate informatique d’exécuter des commandes à distance sur le dispositif infecté et, généralement, de devenir incontrôlable sur le téléphone de la victime.

Par exemple, le cybercriminel peut connaître l’emplacement du smartphone, consulter le répertoire, voir l’historique des appels, découvrir à quels réseaux Wi-Fi la victime a l’habitude de se connecter, analyser le réseau local et télécharger les données de toutes les adresses IP détectées sur le serveur de son centre de commandes (C&C). De plus, la porte dérobée a des modules permettant de voler les informations de Trousseaux d’accès (stockage du mot de passe et de la clé de chiffrement d’iOS) ainsi que les données des applications de messagerie WeChat, QQ et Telegram.

Il est particulièrement intéressant de constater que les pirates informatiques n’ont pas exploité de vulnérabilités zero-day mais plutôt des vulnérabilités first-day. Il s’agit de points récemment découverts ayant un patch, mais celui-ci n’est inclus que dans les dernières mises à jour système. Par conséquent, les utilisateurs iOS ayant mis à jour leur dispositif dès que possible ne pouvaient pas être infectés. mais il s’avère que peu de personnes installent les mises à jour. Cette attaque menaçait les propriétaires d’iPhone sous iOS 12.1 et 12.2. Ce problème touche donc tous les modèles sortis entre l’iPhone 6s et l’iPhone X.

Comment se protéger de LightSpy

Nous ne savons pas encore si LightSpy sortira de la Chine. Ces toolkits ont tendance à toucher un public plus large, alors ne pensez pas que vous allez pouvoir éviter ce problème. Prenez les précautions suivantes pour plus de sécurité :

  • Installez la dernière version du système d’exploitation. Si vous ne voulez pas le faire à cause des problèmes que rencontre iOS13, n’ayez crainte puisque les bugs Wi-Fi et autres défauts agaçants ont été corrigés dans la version actuelle (13.4).
  • Faites attention lorsque vous cliquez sur des liens, surtout si vous ne connaissez pas l’expéditeur. Même si, à première vue, ils semblent vous rediriger vers un site Internet connu, vérifiez minutieusement l’adresse. Cela ne coûte rien.

Source: Antivirus