docrapport sur les menaces - F
download 
Plainte Transcription
rapport sur les menaces - F
RAPPORT
SUR LES
MENACES
H1 2014
switch on freedom
1
www.f-secure.fr
table des
matières
table des matières résumé 3
2
4
avant-propos à noter Calendrier des incidents synthèse sur le paysage des menaces top 10 des détections logiciels malveillants mobiles MALWARE MAC sources 5
15
6
14
8
9
12
2014
janvier
avril
L'extension
Coremax pirate les
navigateurs web
Attaques actives
utilisant le nouveau
bug 0-day dans IE
Fin officielle
du support de
Windows XP
autres, 38 %
downadup/
conficker, 31 %
1 2 3
attaques en
provenance du web
ramnit
MAC
logiciels
Appartient à une opération de
cyber-espionnage du nom de
« The Mask ». Cible les institutions
gouvernementales et les entreprises
du secteur énergétique.
Page 14
Tandis que le paysage des menaces de Windows
est dominé par des logiciels malveillants anciens
et actuels, Mac voit de nouveaux malware arriver
et occuper un espace auparavant tranquille. Les
méthodes de distribution et les capacités des logiciels
malveillants sont de plus en plus sophistiquées.
25
familles
ou
variantes
Cheval de Troie avec accès à distance
se propageant via de fausses
notifications d'e-mails.
5
familles
Voleur de bitcoins qui prend
l'apparence d'une application
permettant d'accéder aux
informations sur les transactions
de MtGox.
sslcredthief
Ce fichier de
bibliothèque
espionne les
connexions
SSL sortantes
pour voler les
identifiants et mots
de passe Apple.
Grande famille de logiciels malveillants qui
envoient des SMS à des numéros surtaxés.
fakeinst
Prétend installer des applications, mais
envoie des SMS à des numéros surtaxés.
Récolte discrètement les données de
l'appareil et les envoie à un serveur distant.
$
$
$
ils exigent une rançon
koler : L'un des premiers ransomware
Adaptation mobile du ransomware Gendarmerie
Reveton. Prétend chiffrer les fichiers sur l'appareil,
mais en réalité, désactive le bouton Retour pour
mettre en avant la demande de rançon.
slockeR : Premier ransomware chiffré sur Tor
Chiffre les images, documents et vidéos sur l'appareil ;
désactive le bouton Retour pour restreindre le
contrôle de l'utilisateur. Communique avec le serveur
de contrôle via le réseau Tor ou par SMS.
Oleg Pliss attaque l'Australie
COINSTEALER
NOUVELLES
nouvelle
famille
eropl
Utilisé dans des attaques ciblées
contre les communautés tibétaines
et ouïgoures.
Laoshu
ios
smssend
familles
android
Clientsnow
Cheval de Troie espion qui vole les
crypto-monnaies. Prend l'apparence
d'une version crackée des
applications OS X, mais se propage
ensuite via des applications de
crypto-monnaies qui sont en réalité
des chevaux de Troie.
découvertes
entre janvier et
juin 2014
appartiennent à
294
+1
nouvelles
cointhief
nouvelles
variantes
13 de ces
android
zeroaccess
mask
malveillants
variantes
expiro
Page 12
Android reste une cible de choix pour la majorité des menaces
mobiles. Cependant, et même si elles sont moins nombreuses,
les menaces dirigées vers iOS existent bel et bien.
Majava
Ensemble d'exploits ciblant
des vulnérabilités de la plateforme de développement
Java. Une attaque réussie peut
notamment donner au pirate
le contrôle total du système.
autorun wormlink browser
exploit
Les pirates d'« Oleg
Pliss » sont arrêtés
à Moscou
malveillants
android
suivis par...
Ensemble de logiciels malveillants,
de techniques ou d'exploits utilisés
pour rediriger le navigateur web
vers des sites malveillants où le
système peut être la cible d'autres
attaques.
FBI traque le
créateur de
Gameover Zeus
logiciels mobiles
top 3
top 10 des détections
juin
Le ransomware
Gendarmerie
arrive sur Android
android
Page 9, 11
Le paysage des menaces de Windows regorge
de logiciels malveillants déjà connus : certaines
menaces sont présentes depuis des années, et
continuent d'exister en raison de l’absence de
correctifs sur certaines machines.
majava, 11 %
Web-based
attacks, 20 %
top 10 des détections
downadup
(alias Conficker)
Ce ver âgé de six ans exploite
la vulnérabilité MS08-067
dans Windows. Il se propage
sur Internet et via des lecteurs
amovibles ou des partages
réseau.
mai
Mises à jour d'iOS
pour corriger une
faille SSL majeure
logiciels
malveillants
sur PC
sality
mars
31+20+1138N
Page
6
février
iOS
calendrier
des incidents
Résumé du Rapport sur les menaces H1 2014...
En mai, « Oleg Pliss » aurait utilisé la fonction « Localiser
mon iPhone » pour verrouiller le compte de nombreux
utilisateurs en Australie et exiger une rançon. Apple
3
réfute la présence d'une faille dans le service iCloud.
3
avantpropos
par
Mikko Hypponen
Directeur des recherches
F-Secure Labs
Je me souviens de la mise en ligne de notre premier site Internet. C'était en 1994,
il y a 20 ans. Nous étions alors à la naissance du web ; il n'existait qu'une poignée
de sites Internet. Il était évident que le web allait se développer. Effectivement,
au cours de ces 20 dernières années, sa taille a explosé. Ce qui est encore plus
important, c'est qu'Internet a permis à tout un chacun d'avoir accès à l'univers du
web. Avant l'apparition de ce dernier, seuls certains geeks et autres obsédés de
l'informatique étaient sur Internet. Aujourd'hui, tout le monde est en ligne.
En 1994, nous recherchions à deviner ce qui alimenterait la croissance à venir du Web. Pour
qu'il se développe, il fallait qu'il y ait du contenu en ligne, c'est-à-dire des actualités ou des
divertissements. Or, quelqu'un devait payer pour que ces actualités et ces divertissements
se retrouvent en ligne. Comment les utilisateurs paieraient-ils pour le contenu en ligne ?
Nous n'en avions aucune idée. Peut-être que les journaux commenceraient à facturer des
frais annuels d'inscription en ligne, comme ils le faisaient pour leur version papier ? Ou
peut-être que le web intégrerait une sorte de système de paiement à la demande en ligne ;
l'utilisateur pourrait ainsi effectuer facilement des micropaiements sur le navigateur pour
accéder au contenu qui l'intéresse. Cela lui permettrait de payer par exemple un centime
pour visualiser le dessin du jour de son quotidien préféré.
« Nous, les utilisateurs, représentons davantage de valeur à long terme par
le biais du profilage et de la sauvegarde de données et de nos actions. »
Comme nous le savons désormais, un tel système de micropaiement n'a jamais vu le jour,
alors que cela semblait évident il y a 20 ans. Au lieu de cela, une manière complètement
différente de payer pour le contenu en ligne a fait son apparition : la publicité. Je me
rappelle avoir vu la première bannière publicitaire sur un site Internet, en 1995 ou en 1996.
J'avais ri à l'idée qu'une entreprise puisse payer pour afficher des publicités sur le site
Internet de quelqu'un d'autre. Je n'aurais pas dû rire : c'est cette même idée qui alimente
aujourd'hui la quasi-totalité du contenu en ligne. Et des moteurs de profilage publicitaire
hautement efficaces constituent la source quasiment exclusive de tous les profits dégagés
par des entreprises comme Google ou Facebook.
Google est un exemple particulièrement pertinent du profilage d'utilisateurs. Ses services
(comme Search, YouTube, Maps et Gmail) sont gratuits. Vous n'avez pas à débourser un
seul centime pour leur utilisation. Or, ces services sont extrêmement chers à exploiter :
la facture d'électricité de Google à elle seule s'élève à plus de 100 millions de dollars par
an. Logiquement, on pourrait penser qu'une entreprise qui met à disposition des services
extrêmement chers, mais ne les fait pas payer à ses clients réalise des pertes. Mais ceci est
loin d'être le cas : en 2013, le chiffre d'affaires de Google s'élevait à 60 milliards de dollars.
Et l'entreprise a enregistré 12 milliards de dollars de profits. Ainsi, si nous nous lançons
dans une estimation conservatrice, et que nous partons du principe que Google possède
1 milliard d'utilisateurs, chaque utilisateur a permis à Google de faire 12 $ de profit l'année
dernière, sans payer un centime.
Honnêtement, je serais ravi de payer à Google 12 dollars par an pour leurs services sans que
mon profil utilisateur ne soit suivi ni analysé. Je serais même prêt à payer 100 dollars par an !
Mais Google ne me donne pas le choix. Nous, les utilisateurs, représentons davantage de
valeur à long terme par le biais du profilage et de la sauvegarde de données et de nos actions.
Bien entendu, Google est une entreprise. En analysant notre profil, elle ne fait rien d'illégal.
Nous leur soumettons volontairement nos données. Par ailleurs, ses services sont excellents.
Cependant, j'aimerais parfois que les choses aient évolué autrement, et que nous disposions
d'un simple système de micropaiement pour payer le contenu et les services présents sur le web.
Aujourd'hui, avec l'avènement des crypto-monnaies, cette idée pourrait bien se concrétiser.
4
à noter
Game Over ?
Le blocage du botnet GameOver ZeuS (GOZ) par différents organes
répressifs gouvernementaux[1] a été, par bien des aspects, une grande
victoire. Mais que faire ensuite ? Le botnet a été bloqué mais n'est pas
entièrement détruit. Son créateur n'a pas été arrêté. Il court toujours,
et s'emploie actuellement à créer un nouveau botnet pour remplacer
l'ancien.
par
Sean Sullivan
Conseiller en sécurité
F-Secure Labs
Pourquoi bloquer GOZ ?
CryptoLocker[2], un puissant cheval de Troie ransomware généré par GOZ,
était sans aucun doute la raison principale du démantèlement de ce botnet.
CryptoLocker, avec sa capacité de crypter parfaitement l'ensemble des
documents et fichiers de données du disque dur de la victime, était trop
dangereux. Il n'existait pas d'autre remède que de payer la rançon pour obtenir
la clé de décryptage. Ainsi, la seule manière de faire cesser cette arnaque était de
l'arrêter. Et comme GOZ était à l'origine de CryptoLocker, GOZ a été la cible d'un
démantèlement.
Escalade
CryptoLocker illustre parfaitement les raisons pour lesquelles il est tellement
dangereux de bloquer (et non de démanteler entièrement ) un botnet comme
GameOver ZeuS. Posez-vous la question :
« Mais que se passe-t-il
si la prochaine tactique
de défense consiste à
devenir vénéneux ? »
« Si CryptoLocker affichait une telle réussite, pourquoi Slavik (le botmaster de
GOZ) n'a-t-il pas déployé ce ransomware sur l'ensemble de son botnet ? »
La réponse est évidente : car il n'aurait plus de botnet.
Ses deux millions de bots ne pourraient pas éliminer CryptoLocker sans détruire
en même temps l'infrastructure de GOZ.
Et si l'infrastructure était déjà perdue en raison d'un démantèlement ?
Qu'est-ce qui empêche une future version de GOZ d'initier une commande
d'« autodestruction » (comme larguer une bombe de chiffrement) si le bot ne
communique pas avec son serveur C&C dans une période de temps donnée ? Rien,
justement.
Évolution
L'histoire des logiciels malveillants est d'abord celle d'une évolution. Or, cette
évolution s'articule autour d'une dynamique prédateur-proie. À chaque fois que le
chasseur découvre le gibier, une nouvelle tactique de défense est nécessaire pour
éviter d'être repéré. Mais que se passe-t-il si la prochaine tactique de défense
consiste à devenir vénéneux ?
Les chasseurs doivent rester sur leurs gardes.
SOURCES
1. United States Department of Justice (Département de la justice des États-Unis) ; U.S. Leads Multi-National Action Against “Gameover
Zeus” Botnet and “Cryptolocker” Ransomware, Charges Botnet Administrator ; 2 juin 2014 ; http://www.justice.gov/opa/pr/2014/
June/14-crm-584.html
2. F-Secure; Trojan:W32/Cryptolocker; http://www.f-secure.com/v-descs/trojan_w32_cryptolocker.shtml
5
h1 2014
POURSUITES
SÉCURITÉ
attaques
la liberté
numérique
Calendrier des incidents
Le GCHQ est accusé d’espionner
les chats vidéo sur Yahoo
La Turquie bloque
Twitter et YouTube
La Thaïlande bloque
temporairement Facebook
La NSA enregistrerait tous
les appels aux Bahamas
Fév : les images de
1,8 millions d’utilisateurs
ciblés au hasard interceptées
et stockées
Mars : l’accès des utilisateurs
turcs aux médias sociaux est
réduit suite à la controverse
du gouvernement
Mai : le ministère des technologies de l’information
affirme que l’accès a été
bloqué à la demande de la
junte ; les militaires avancent
un « problème technique »
Mai : Un accord sur
la lutte anti-drogue
aurait été utilisé
pour justifier cette
surveillance
L’attaque de Yahoo! provoque la
réinitialisation des mots de passe
Routeurs sans fil
domicile/bureau piratés
La banque de bitcoins Flexcoin
est victime de vols, et ferme
Le botnet Windigo infecte
les serveurs sous Linux
Janv : des mots de passe
volés dans des bases de
données « tierces » sont
utilisés pour accéder à des
comptes de messagerie
Mars : les chercheurs
dans le domaine de la
sécurité signalent plus de
300 000 appareils dont
les paramètres DNS sont
modifiés
Mars : un pirate exploite
une faille dans le code
de transfert pour voler
896 bitcoins (environ
600 000 $)
Mars : des chercheurs
indiquent que plus de 25 000
serveurs ont été utilisés pour
envoyer des spams, rediriger
les utilisateurs vers des sites
malveillants
Les géants du Web dévoilent
les requêtes de la FISA
Conférence TrustyCon organisée
en signe de protestation
Fin officielle du support
de Windows XP
eBay force les utilisateurs à changer de
mot de passe à la suite d’une attaque
Fév : Google, Facebook
et d’autres entités
publient des synthèses de
requêtes effectuées par le
gouvernement américain
Fév : ceux qui boycottent la
conférence RSA assistent à
un contre-évènement sur
les « technologies dignes de
confiance »
Avr : Microsoft recommande
à ses utilisateurs de mettre à
niveau leur ancien système
d’exploitation après la fin du
support
Mai : le piratage d’une base
de données provoque la
réinitialisation préventive
des mots de passe
Le créateur du logiciel malveillant
Spyeye plaide coupable aux États-Unis
2 personnes plaident coupables de
piratage d’applications Android
Les États-Unis accusent 9 personnes
pour le logiciel malveillant Zeus
L’Australie arrête 2 personnes
pour les piratages « Anon »
Janv : un ressortissant
russe a créé et distribué des
logiciels malveillants pour
les virements et la fraude
bancaires
Mars : premières
condamnations aux ÉtatsUnis pour la distribution
d’applications mobiles
contrefaites
Avr : 9 personnes accusées
d’utiliser Zeus pour infecter
des milliers d’entreprises aux
États-Unis
Mai : l’AFP accuse des
suspects d’avoir saboté un
site gouvernemental et des
attaques par déni de service
LE BOTNET Gameover Zeus
logiciels
vulnérabilités malveillants
Mars : commence à voler des
portefeuilles de bitcoins et leurs
mots de passe de cryptage
6
Mars : injecte des éléments de phishing
dans les sites de recherche d'emploi visités
Préparation de nouveaux
ransomware améliorés
GameOver Zeus commence
à voler des bitcoins
Le ver TheMoon se propage
dans certains routeurs
L’extension Coremax
pirate les navigateurs
Janv : des chercheurs dans
le domaine de la sécurité
signalent le développement
d’un nouveau kit PowerLocker
à réaliser soi-même
Janv : Le logiciel malveillant
commence à voler des
portefeuilles de bitcoins
et leurs mots de passe de
cryptage
Fév : certains routeurs
Linksys sont infectés par
l’exploit du firmware pour
propager des copies du ver
Avr : une extension de
navigateur pirate les
publicités et redirige les
utilisateurs vers un site
indésirable
Mises à jour d’iOS pour
réparer une faille SSL majeure
Attaques actives utilisant le
nouveau bug 0-day dans IE
Un faille 0-day sur Flash Player touchée
par une attaque de type « drive-by »
Vulnérabilité 0-day utilisée
dans des attaques ciblées
Fév : une vulnérabilité
SLL permet aux pirates
d’intercepter le trafic entre
les utilisateurs
Fév : la faille CVE-2014-1776
dans les navigateurs web IE
10 et 9 permet l’installation
de logiciels malveillants
Fév : correctif d’urgence
Adobe pour l’exploitation
d’un bug permettant
d’installer discrètement un
logiciel malveillant
Mars : des documents
d’appât RTF utilisent un bug
pour exécuter un code à
distance
Le calendrier des incidents dresse la liste des actualités intéressantes dans le domaine de la sécurité numérique
lors du premier semestre 2014.
Les éléments contenus dans ce calendrier ont été signalés par différents portails technologiques, des
publications sur la recherche en matière de sécurité, des sites d'organes répressifs, de grands titres de
presse ainsi que le Weblog de F-Secure. La liste des sources se trouve à la page 15.
Mai : des produits exportés
interceptés, modifiés pour
devenir des dispositifs
d’espionnage
Juin : décision visant
à « perturber les
communications des
insurgés »
Juin : des centaines de sites
seraient bloqués, interdisant
les publications de médias
importants
Juin : YouTube débloqué,
un mois après la levée de
l’interdiction concernant
Twitter
La faille Heartbleed est exploitée
pour pirater une session VPN
AU-CERT signale une
augmentation des cyber-attaques
TrueCrypt prévient que son logiciel
est désormais « dangereux »
Une attaque massive par déni
de service touche Hong Kong
Avr : NY Times rapporte
que des pirates ont utilisé
des failles pour pénétrer des
réseaux d’entreprise ciblés
Mai : selon un rapport, 56 %
des entreprises interrogées
ont signalé des cyberattaques
Mai : un projet de
chiffrement de lecteur
affirme que cet outil n’est «
pas sûr », et déconseille son
utilisation
Juin : attaque de plus
de 300Gbits/s sur un
système électoral après un
référendum civique
Lancement de MyBulletins pour
faciliter le flux des mises à jour
Google lance son formulaire
de « droit à l’oubli »
Google Apps ajoute le
chiffrement
Lancement de la
campagne Reset the Net
Mai : service conçu pour
simplifier l’identification
des mises à jour de sécurité
identifiables
Mai : un tribunal de l’UE
condamne le moteur de
recherche à supprimer les
liens « non pertinents » dans
les requêtes en UE
Mai : le chiffrement des
e-mails de bout en bout est
proposé aux utilisateurs
Juin : coalition de groupes
visant à encourager
l’utilisation d’outils de
résistance à la surveillance
Les États-Unis recherchent 5 pirates
chinois pour des faits d’espionnage
Près d’une centaine de pirates arrêtés
pour le cheval de Troie Blackshades
Les pirates d’« Oleg Pliss »
sont arrêtés à Moscou
FBI traque le cerveau à
l’origine de Gameover Zeus
Mai : le Département de
la justice affirme que des
membres de PLA ont piraté
des entreprises américaines
pendant huit ans
Mai : arrestations aux ÉtatsUnis, en Europe et dans
d’autres pays pour la vente de
chevaux de Troie utilisés pour
espionner les utilisateurs
Juin : le ministre de l’intérieur
russe annonce l’arrestation de
deux personnes concernant
des demandes de rançon sur
iOS en Australie
Juin : acte d’accusation
contre un ressortissant russe
à la suite du démantèlement
du botnet
POURSUITES
L’accès à YouTube et Twitter
est rétabli en Turquie
SÉCURITÉ
La junte thaïlandaise bloque certains
sites, censure les signalements
attaques
L’Irak bloque les médias sociaux en
raison d’une menace de l’État islamique
la liberté
numérique
La NSA placerait des backdoors
dans certains routeurs
LE BOTNET Gameover Zeus
Juin : Le FBI et ses partenaires lancent
le démantèlement de l'« Opération
Tovar », et recommandent fortement
aux utilisateurs de nettoyer leur PC
Juin : période de deux semaines pour
permettre aux utilisateurs de nettoyer
leur PC ; le botnet est toujours en
phase de rétablissement
Le ransomware Gendarmerie
passe à Android
Rootkit BlackEnergy
pour Windows 8
Havex traque les
systèmes ICS/ SCADA
Avr : application non
fonctionnelle supprimée, les
utilisateurs qui l’ont achetée
sont remboursés
Mai : le logiciel malveillant
Koler tente de verrouiller
l’appareil affecté et affiche
une demande de rançon
Juin : échantillon mis
en ligne vers le service
VirusTotal, avec moins de
fonctionnalités
Juin : un logiciel malveillant
utilisé dans des attaques
ciblées vérifie les systèmes
de contrôle industriel
Le bug Heartbleed est évoqué
dans les médias du monde entier
La mise à jour Java SE corrige
37 problèmes, certains étant critiques
Windows XP concerné par
un correctif hors cycle
Les géants d’Internet
financeront des projets cruciaux
Avr : des millions de
sites et téléphones sont
soupçonnés d’être affectés
par la faille OpenSSL
Avr : le correctif résout
de nombreux problèmes,
dont quatre classés « très
critiques »
Mai : Microsoft fait une
exception pour le système
d’exploitation en fin de vie,
qui reçoit un correctif IE8
0-day
Mai : Core Infrastructure
Initiative visant notamment
à financer OpenSSL et
OpenSSH
logiciels
malveillants vulnérabilités
Arnaque de l’application Virus
Shield signalée dans Play Store
7
h1
2014 menaces
synthèse sur le paysage deS
Tendances générales
La tendance qui se dégage le plus nettement au premier
semestre 2014 est la croissance continue des ransomware et
des activités de rançon, sur les plates-formes fixes comme
mobiles. Bien que le démantèlement du botnet Zeus[1] en
juin dernier ait su ralentir la propagation de la menace de
Cryptolocker (au moins pendant un certain temps), les
ransomware continuent de se développer, et ce semestre
a vu des menaces existantes comme Cryptolocker mettre
à jour leurs méthodes de distribution, de chiffrement et de
paiement afin de conserver une longueur d'avance sur les
autorités répressives.
Les ransomware sont passés aux mobiles ; la menace Koler
constitue la première tentative de s'imposer sur la plateforme Android. Si ce logiciel malveillant a menacé mais n'a
pas véritablement chiffré les fichiers, le ransomware Slocker
qui est survenu peu après, l'a fait [3]. Comme d'habitude avec
les menaces Android, ces deux ransomware prétendent
être des applications légales afin d'amener l'utilisateur à les
installer volontairement.
[2]
Parallèlement, l'activité de rançon sur les appareils iOS a pris
une forme différente. L'iOS 7 comprend la fonctionnalité
« Verrouillage d'activation », qui permet de verrouiller à
distance un appareil iOS utilisant un mot de passe et un
identifiant Apple. Dans le cadre d'une utilisation malveillante
de cette fonctionnalité, les pirates proposent un identifiant et
un mot de passe Apple, soi-disant pour accéder à un contenu
« gratuit ». Une fois que l'utilisateur utilise ces informations
de connexion pour donner accès à son appareil iOS, les
pirates changent le mot de passe, verrouillent l'appareil, et
demandent ensuite une rançon. Le cas le plus connu d'activité
de rançon sur la plate-forme iOS a été l'incident « Oleg Pliss »
qui a affecté des utilisateurs australiens en mai, et pour lequel
deux individus ont été arrêtés à Moscou[4].
Dans la même veine, des chercheurs dans le domaine de
la sécurité ont fait état [5] de discussions menées dans des
forums clandestins, dont l'objet est de développer un kit de
construction de ransomware à réaliser soi-même. Celui-ci n'a
pas encore vu le jour. Cependant, compte tenu du fait que la
plupart des autres formes de logiciels malveillants évoluent de
créations programmées à des produits issus de programmes
conçus en un clic, la naissance éventuelle d'un kit de création
de ransomware semble tout à fait plausible à l'avenir.
Ces développements coïncident avec le signalement
croissant d'attaques ciblées contre des entreprises et des
entités gouvernementales, qui rassemblent et retiennent
des données en attendant le versement d'une rançon, ce
qui couvre également des incidents ayant un fort impact
médiatique, comme l'affaire de la rançon de Nokia [6]. La
réussite et l'utilisation croissante de ces programmes et de
ces attaques soulignent encore davantage l'importance
de la sécurité des données des utilisateurs domestiques,
professionnels et gouvernementaux.
8
Parallèlement, Windows XP a finalement atteint sa fin de
vie le 8 avril 2014 (malgré un correctif d'urgence publié peu
après sa fin de vie). Malgré les pressions visant à les faire
passer à Windows 8 (ou n'importe quel système d'exploitation
faisant l'objet d'un support actif), on estime entre 10 et 30 %
la proportion d'utilisateurs d'ordinateurs dans le monde [7]
utilisant encore ce système d'exploitation qui reste la cible
privilégiée des pirates, et qui ne bénéficie plus désormais
d'aucun correctif. Bien que certains utilisateurs (en particulier
les clients des gouvernements et des entreprises) aient
étendu le support de XP, la sécurité deviendra désormais de
plus en plus une affaire de « libre-service ».
Le premier semestre de 2014 a également été le théâtre
de toute une série de rapports mettant en avant une
surveillance contestable, une censure en ligne ou des
activités de manipulation des données de la part d'entités
gouvernementales de différents pays. Des sociétés
technologiques majeures ont entrepris différents efforts afin
d'améliorer la sécurité de leurs offres, et se sont employées
à faire pression sur leurs gouvernements respectifs en faveur
d'une meilleure transparence. Nous vous invitons à consulter
notre calendrier des incidents du premier semestre 2014 pour
obtenir davantage d'informations.
Logiciels malveillants sur PC
Comme on peut le constater dans nos statistiques du Top 10
des détections, les menaces les plus fréquentes signalées au
premier semestre 2014 à nos systèmes de télémétrie par les
utilisateurs de nos produits, appartiennent principalement
aux mêmes familles de logiciels malveillants que celles
observées lors du second semestre de l'année dernière ; seul
leur ordre change.
Downadup (également connue sous le nom de Conficker
dans les médias) est la menace la plus souvent signalée au
cours de ce semestre, en particulier au Moyen-Orient, en
Amérique du Sud et en Asie. Ce ver créé il y a six ans continue
de se propager à l'état sauvage, et la fin du support de
Windows XP ne va en rien améliorer la situation.
Outre Downadup, Majava et différentes attaques en
provenance du web ("web-based" attacks) continuent
d'être les plus visibles en Europe et en Amérique du Nord ce
semestre. Les familles d'infecteurs de fichiers Sality et Ramnit
sont également des menaces qui existent depuis plusieurs
années, mais qui continuent d'attaquer les utilisateurs dans
toutes les régions, sauf en Amérique du Nord et en Europe.
Les familles Wormlink, BrowserExploit et Expiro ont fait leur
entrée dans notre Top 10 des détections. Il est intéressant
de noter un changement au cours du premier semestre de
cette année : les détections liées à des exploits spécifiques et
connus (p. ex. CVE-2013-2471) ne sont désormais plus visibles
dans notre Top 10 des détections.
top 10
des détections
31
20
%
downadup / conficker
Ver
En exploitant la vulnérabilité MS08-067 dans Windows pour se propager sur Internet
(ainsi que par l'intermédiaire de lecteurs amovibles ou de partages réseau), ce ver a
infecté des millions d'ordinateurs dans plus de 200 pays.
Six ans après sa première apparition, des machines non équipées de correctifs
maintiennent toujours Downadup en vie. Comme lors du semestre précédent, on
continue de le rencontrer au Brésil, aux Émirats arabes unis et en Italie, ainsi qu'en
Malaisie et en France cette année.
attaques en
provenance du web
redirection
Un ensemble de logiciels malveillants, de
techniques ou d'exploits utilisés pour rediriger
le navigateur web vers des sites malveillants où le système peut être
la cible d'autres attaques.
La tendance de la fin 2013 se poursuit, avec des signalements
provenant la plupart du temps de France, des États-Unis et de
Suède, bien que cette année la Malaisie dépasse ces trois pays et
signale le nombre le plus élevé de ce type de détections.
10
sality
VIRUS
Une large famille de
virus qui infectent les fichiers
EXE et qui utilisent L'Entry-Point
Obscuration pour dissimuler leur
présence. Des variantes peuvent
également interrompre des
processus, voler des données, etc.
Vu pour la première fois en 2010,
Sality est particulièrement fréquent
en Malaisie, au Brésil, en Turquie
et en Inde.
3 browserexploit
EXPLOIT
Détecte l'utilisation d'un
processus de navigateur
pour déposer et exécuter un
programme potentiellement
dangereux. La plupart des
signalements concernant ces
détections proviennent des ÉtatsUnis, de la Finlande, de la France
et du Royaume-Uni.
9
ramnit
Virus
Infecte les fichiers
EXE, DLL & HTML.
Est également capable de
déposer un fichier qui tente
de télécharger d'autres
logiciels malveillants à partir
d'un serveur distant.
Observé pour la première
fois en 2011, Ramnit traîne ses
guêtres en Asie, en particulier
en Malaisie, en Inde, au
Vietnam et en Indonésie.
3 expiro
virus
Infecte des fichiers
exécutables et utilise un keylogger
pour voler les informations des
cartes de crédit. Signalé le plus
souvent en Italie, en Finlande,
aux États-Unis, en France et en
Allemagne.
11
majava
EXPLOIT
Une collection d'exploits
visant des vulnérabilités dans
la plate-forme de développement Java.
Une attaque réussie peut notamment
donner au pirate le contrôle total du
système.
Plus fréquemment signalée par des
clients aux États-Unis, en France et au
Royaume-Uni.
7
autorun
4
wormlink
Ver
Se propage principalement par
l'intermédiaire de disques amovibles et
de disques durs infectés. Les variantes
de cette famille comprennent des
contenus dangereux, comme les voleurs
de données. Les rapports de détection
d'exécution automatique proviennent
le plus souvent de France, de Malaisie,
d'Inde, de Pologne et de Turquie.
EXPLOIT
Détecte les icônes de raccourcis
malveillants utilisés pour exploiter la
vulnérabilité critique CVE-2010-2568
Windows afin d'obtenir le contrôle total
du système. Les signalements de cette
menace provenaient principalement
de Malaisie, de Turquie, du Vietnam
et d'Inde.
2
zeroaccess
botnet
Les restes de ce botnet
continuent de perturber les
utilisateurs en France, aux ÉtatsUnis, Royaume-Uni, en Suède et
en Finlande.
9
Logiciels malveillants sur Mac
2014 a débuté avec près de 20 nouvelles variantes uniques,
découvertes rien qu'au cours des deux premiers mois. Ce
rythme s'est ensuite ralenti, de sorte qu'à la fin du premier
semestre, 25 nouvelles menaces sur Mac ont été trouvées.
Parmi les nouvelles variantes uniques, 13 appartiennent à cinq
nouvelles familles, Mask et Clientsnow étant impliquées
dans des attaques ciblées. Les trois familles restantes, à savoir
Coinstealer, Cointhief et LaoShu, affectent les utilisateurs
Mac normaux. Retrouvez davantage d'informations sur
les nouvelles familles de logiciels malveillants sur Mac à la
page 14.
Sur les mobiles
Le premier trimestre 2014 a été le théâtre d'un certain
nombre de grandes premières en termes de logiciels
malveillants sur mobile (indiquées dans notre Rapport
du premier trimestre 2014 sur les menaces mobiles). Au
deuxième trimestre 2014, la majorité des menaces signalées
par notre sécurité mobile pour les utilisateurs d'Android à nos
systèmes de télémétrie continuent de cibler la plate-forme
Android. Les chevaux de Troie demeurent également les
principaux types de logiciels malveillants pour les mobiles, et
s'appuient fortement sur les réseaux sociaux classiques pour
accéder à l'appareil et aux données qu'il contient.
Les trois menaces les plus souvent signalées sont les familles
SMSSend, FakeInst et Eropl. De manière plus surprenante,
cette période a également vu deux vers SMS, des animaux
plutôt rares de nos jours, circuler sur des appareils Android.
Retrouvez davantage d'informations sur les logiciels
malveillants sous Android à la page 12.
Logiciels malveillants sous iOS
Les applications véritablement malveillantes sur la plateforme iOS sont peu nombreuses et plutôt espacées, mais elles
existent. Contrairement à Android, les logiciels malveillants
sous iOS sont pour l'instant uniquement efficaces sur les
appareils débloqués, ce qui rend les outils de déblocage créés
par différents pirates (et qui fonctionnent normalement en
exploitant des bugs non documentés sur la plate-forme)
intéressants pour les chercheurs dans le domaine de la
sécurité. En juin, l'outil PanGu pour iOS 7.1.1 a fait l'objet d'une
publication inattendue. Certains le soupçonnent d'utiliser des
exploits volés, et d'autres ont fait part de leurs inquiétudes
concernant une boutique d'applications malveillantes,
installée avec l'outil. Ces deux problèmes ont été réglés à
l'aide d'une mise à jour ultérieure [8].
Constantes
Malgré les différents développements et innovations auxquels
nous avons assistés au cours de ce dernier trimestre, un grand
nombre des découvertes liées à la sécurité mobile dont nous
avions fait état dans notre Rapport sur les menaces H2 2013
restent inchangées. Lorsque nous avons étudié de nouveau la
sécurité sur les boutiques d'applications au premier semestre
2014 (en comparant le nombre d'échantillons malveillants
par rapport au nombre total d'échantillons que nous avons
obtenus d'une boutique), nous n'avons constaté aucun
changement significatif par rapport au résultat que nous
avions indiqué dans le rapport précédent. Malgré les récentes
nouvelles selon lesquelles quatre applications malveillantes
auraient été trouvées et extraites du Play Store de Google
au premier semestre, compte tenu du grand nombre
d'applications présentes sur le marché, de la faible incidence
des applications malveillantes (pour l'instant) et des efforts
rapides déployés par les équipes pour gérer les menaces
signalées, le Play Store reste la plate-forme en ligne la plus
sûre concernant les applications mobiles.
Nous n'avons également noté aucune modification
significative dans les noms de groupes de fichiers utilisés
par les applications malveillantes sous Android. La plupart
d'entre elles utilisent un nom d'emprunt, mais à l'aspect
légal (p. ex., com.software.app) pour le groupe de fichiers,
ou simplement une série de lettres sans aucun sens (p. ex.,
fkjsgmjl.ceinnykas). L'utilisation de noms ne voulant rien dire
est particulièrement répandue dans la famille Fakeinst.
Bien que la vérification du nom du logiciel reste une
précaution de sécurité standard pour les menaces sur PC,
le même conseil est difficile à appliquer aux menaces sous
Android, car le nom du groupe de fichiers est rarement
montré à l'utilisateur, et n'est visible sur l'appareil que
pour les processus d'exécution dans le menu Paramètres
> Applications > Exécuter > Processus. Dans la mesure où
cela ne risque pas de changer de sitôt, la vigilance au
moment du téléchargement reste pour le moment la
précaution la plus efficace que les utilisateurs de mobiles
peuvent prendre pour éviter les chevaux de Troie.
Plutôt au cours du premier semestre, les utilisateurs de Reddit
ont signalé un fichier de bibliothèques suspectes, appelé
Unflod Baby Panda. Une fois installé sur un appareil iOS
débloqué, ce logiciel malveillant espionne les connexions SSL
sortantes afin de voler l'identifiant et le mot de passe Apple
de l'appareil [9]. Retrouvez davantage d'informations sur les
logiciels malveillants sous iOS à la page 14.
SOURCES
1. Federal Bureau of Investigations ; GameOver Zeus Botnet Disrupted ; 2 juin 2014 ;
http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted/gameover-zeus-botnet-disrupted
2. Weblog de F-Secure ; “Police Ransomware” Expands To Android Ecosystem ; 16 juin 2014 ;
http://www.f-secure.com/weblog/archives/00002704.html
3. Weblog de F-Secure ; SLocker Android Ransomware Communicates Via Tor And SMS ; 16 juin 2014 ;
http://www.f-secure.com/weblog/archives/00002716.html
4. Info Security ; ‘Oleg Pliss’ Apple Hackers Could Be Behind Bars ; 10 juin 2014 ;
http://www.infosecurity-magazine.com/news/oleg-pliss-apple-hackers-could-be/
10
par
région
top
10
des détections pour 1 000 utilisateurs
> 500 rapports pour 1 000
250 - 500 rapports pour 1 000 100 - 250 rapports pour 1 000 50 - 100 rapports pour 1 000
MoyenOrient
Amérique
du Sud
Downadup
Ramnit
Sality
Autorun
WormLink
Downadup
Sality
Autorun
Attaques en
provenance du web
Attaques en
provenance du web
ZeroAccess
BrowserExploit
Majava
Expiro
Algérie, Égypte, Émirats Arabes
Unis, Iran, Liban, Oman
Afrique
Argentine, Brésil, Chili, Colombie,
Costa Rica, Équateur, Guadeloupe
Downadup
Attaques en
provenance du web
Attaques en
provenance du web
Afrique du Sud, Ghana,
Kenya, Maroc, Tunisie
Amérique
du Nord
Sality
Ramnit
WormLink
Autorun
Majava
BrowserExploit
Expiro
ZeroAccess
Australie, Chine, Corée du Sud, Hong
Kong, Inde, Indonésie, Japon, Malaisie,
Nouvelle-Zélande, Pakistan, Philippines,
Singapour, Taïwan, Thaïlande, Turquie,
Vietnam
Europe
Attaques en
provenance du web
Attaques en
provenance du web
BrowserExploit
Downadup
ZeroAccess
Expiro
Majava
Autorun
Sality
Ramnit
WormLink
Ramnit
WormLink
Majava
BrowserExploit
ZeroAccess
Expiro
Asie
Sality
Ramnit
Downadup
Autorun
WormLink
ZeroAccess
Majava
BrowserExploit
Expiro
0 - 50 rapports pour 1 000
Canada, États-Unis,
Mexique
Downadup
Majava
Autorun
BrowserExploit
Expiro
ZeroAccess
Sality
Ramnit
WormLink
Allemagne, Autriche, Belgique, BosnieHerzégovine, Bulgarie, Croatie, Danemark,
Espagne, Estonie, Finlande, France, Grèce,
Hongrie, Iles Aland, Irlande, Italie, Lettonie,
Lituanie, Luxembourg, Norvège, Pays-Bas,
Pologne, Portugal, République tchèque,
Roumanie, Royaume-Uni, Russie, Serbie,
Slovaquie, Slovénie, Suède, Suisse, Ukraine
Remarque : d'autres pays ont été exclus en raison
d'un manque de données statistiques valides.
5. Arstechnica ; Dan Goodin ; Researchers warn of new, meaner ransomware with unbreakable crypto ; 7 janvier 2014 ;
http://arstechnica.com/security/2014/01/researchers-warn-of-new-meaner-ransomware-with-unbreakable-crypto/
6. BBC ; Nokia ‘paid blackmail hackers millions’ ; 18 juin 2014 ;
http://www.bbc.com/news/technology-27909096
7. Tech Republic ; Tony Bradley; Windows XP use declining, but millions still willingly at risk ; 16 avril 2014 ;
http://www.techrepublic.com/article/windows-xp-use-declining-but-millions-still-willingly-at-risk/
8. International Business Times ; Pangu 1.1.0 Apple iOS 7.1.1 Jailbreak Update Adds Mac OS X Support And Removes 25PP Option ; 30 juin 2014 ;
http://www.ibtimes.com/pangu-110-apple-ios-711-jailbreak-update-adds-mac-os-x-support-removes-25pp-option-1615366
9. SektionEins ; iOS Malware Campaign “Unflod Baby Panda” ; 18 avril 2014 ;
https://sektioneins.de/en/blog/14-04-18-iOS-malware-campaign-unflod-baby-panda.html
11
logiciels
Q2
malveillants
2014
mobiles
nouvelles
294
$
Trojan:iPhoneOS/SSLCredThief
1
L'un des premiers ransomware
Ce fichier de bibliothèque signé
espionne les connexions SSL
sortantes pour voler les identifiants
et mots de passe Apple
Trojan:Android/Koler est l'adaptation
mobile du ransomware « Gendarmerie »
Reveton. Signalée pour la première fois en
mai, cette application prétend donner accès
à du contenu réservé aux adultes. Mais une
fois installée, elle exige une « amende »
pour « violation de sécurité » (ou termes
similaires). Bien qu'elle prétende chiffrer
les fichiers sur l'appareil, l'application Koler
ne fait en réalité que désactiver le bouton
Retour pour mettre en avant la demande de
rançon.
iPhone
Android
Android
top 3 familles
Trojan:Android/SMSSend
Grande famille de logiciels
malveillants qui envoient des
SMS à des numéros surtaxés.
Trojan:Android/FakeInst
Premier ransomware chiffré sur Tor
Prétend installer des
applications, mais envoie des
SMS à des numéros surtaxés.
$
Contrairement à Koler, le logiciel malveillant
Trojan:Android/Slocker signalé en juin chiffre
réellement les images, documents et vidéos sur
l'appareil. Comme Koler, il désactive également
le bouton Retour pour restreindre le contrôle de
l'utilisateur. Certaines variantes de Slocker peuvent
communiquer avec leur serveur de contrôle via le
réseau Tor (qui assure une transmission anonyme)
ou par SMS.
Trojan:Android/Eropl
Récolte discrètement les
données de l'appareil et les
envoie à un serveur distant
% LES PLUS TOUCHÉS
pays
23
France
11Arabie
9Saoudite 8
85
8
Royaume-Uni
Espagne
Finlande
3
Malaisie
3
Brésil
2Pays-Bas
$
$
Oleg Pliss attaque l'Australie
$
$
Inde
Allemagne
$
$
familles
ou variantes
demande
de rançon
$
En mai, « Oleg Pliss » aurait utilisé la
fonction « Localiser mon iPhone » pour
verrouiller le compte de nombreux
utilisateurs en Australie et exiger une
rançon. Apple réfute la présence d'une
faille dans le service iCloud (certains
rapports ont montré du doigt des
arnaques au phishing). En juin, deux
individus ont été arrêtés à Moscou, en
Russie, à la suite de cette attaque.
$
21
Tous
les autres
pays
SOURCES
1. Malware don’t need Coffee ; Kafeine ; Police Locker land on Android Devices ; 4 mai 2014 ;
http://malware.dontneedcoffee.com/2014/05/police-locker-available-for-your.html
2. McAfee Blog ; Christiaan Beek ; iDroid Bot for Sale Taps Into Mobile Wallet ; 10 avril 2014 ;
https://blogs.mcafee.com/mcafee-labs/idroid-bot-for-sale-taps-into-mobile-wallets
3. Apple Insider ; Hackers use ‘Find My iPhone’ to lockout, ransom Mac and iOS device owners in Australia ; 26 mai 2014 ;
http://appleinsider.com/articles/14/05/27/hackers-break-into-lock-macs-and-ios-devices-for-ransom-in-australia
4. GData Security Blog ; Android smartphone shipped with spyware ; 16 juin 2014 ;
https://blog.gdatasoftware.com/blog/article/android-smartphone-shipped-with-spyware.html
5. Palo Alto Networks Research Center ; Claud Xiao, Zhi Xu ; Cardbuyer: New Smart Android Trojan Defeats Multi-factor Verification and Steals Prepaid Game
Cards ; 24 avril 2014 ; http://researchcenter.paloaltonetworks.com/2014/04/cardbuyer-new-smart-android-trojan/
12
6. SektionEins ;
iOS Malware Campaign “Unflod Baby Panda” ; 18 avril 2014 ;
https://sektioneins.de/en/blog/14-04-18-iOS-malware-campaign-unflod-baby-panda.html
$
$
LES
Logiciels espions inclus
Une société de sécurité signale avoir découvert un smartphone
sorti d'usine avec un logiciel espion très dangereux
(Trojan:Android/SmsSend.AC) intégré au firmware de
l'appareil, qui offre à celui qui contrôle le logiciel malveillant un
accès complet aux données sauvegardées sur le téléphone.
Voleur de cartes prépayées
Ver :
Android/
Samsapo.
A
Voler les identifiants Apple
iDroidBot à vendre
Selon les signalements,
Trojan:Android/Cardbuyer serait
capable de déjouer différents
processus de vérification utilisés par
les plates-formes de jeux en ligne
ou de paiement, et d'intercepter les
SMS afin d'acheter discrètement des
cartes prépayées avec l'argent de
l'utilisateur.
NEWS
En avril, des forums clandestins russes postent des publicités pour
iDroidbot, ciblant les appareils
fonctionnant sous iOS 7.1 et Android.
Ce bot est notamment capable de
voler les coordonnées des cartes
bancaires enregistrées ainsi que des
unités de portefeuilles QIWI.
Les utilisateurs de Reddit signalent la
diffusion d'un fichier de bibliothèque
suspect. Une fois installé, il suit tous
les processus en cours d'exécution et
espionne les connexions SSL sortantes
afin de voler l'identifiant et le mot de
passe Apple de l'appareil. Par la suite,
ce logiciel malveillant sera nommé
Unflod Baby Panda.
Это твои фото?
Traduction : est-ce votre photo ?
Un lien contenu dans un SMS demande de télécharger une application qui enregistre
le téléphone sur un service surtaxé, vole ses données, s'envoie tous les contacts listés,
et bien plus.
« Dear [NAME], Look the Self-time,
http://goo.gl/******
Un lien contenu dans un SMS demande le téléchargement d'une application
« SelfTimer » qui envoie un SMS à 20 contacts et demande aux utilisateurs de
télécharger un fichier supplémentaire.
Ver :
Android/
Selfmite
Dans le Play Store
Virus Shield
BankMirage
Songs et Prized
En avril, le site Android Police
révèle que Virus Shield, un
logiciel de sécurité qui figurait
parmi les applications payantes
les mieux notées du Play Store
de Google (avec plus de 10 000
téléchargements et une note de 4,7)
est en réalité une arnaque. Google
la retire alors du marché, et offre
aux utilisateurs qui l'ont achetée un
remboursement, ainsi que du crédit
sur le Play Store.
Clone malveillant d'une application
bancaire légale pour la banque
Israélienne Mizrahi Bank. Il vole les
identifiants des utilisateurs grâce à un
formulaire d'identification intégré à
l'application. Les chercheurs pensent
qu'il était peut-être conçu pour
rassembler des données pour une
attaque ultérieure, car l'application
ignorait ouvertement les mots de
passe. Ce logiciel malveillant n'était
disponible sur le Play Store que
pendant quelques jours, avant qu'une
société de sécurité ne le signale et que
l'application soit rapidement retirée.
Ces deux applications gratuites se
comportent de la même manière
que les applications de minage des
crypto-monnaies que l'on retrouve
dans des boutiques d'applications
tierces. Elles minent discrètement
la monnaie numérique pendant
que l'appareil est en charge, et
l'empêchent de passer en mode
veille. Ces deux applications ont
été supprimées du Play Store après
l'annonce de leur découverte.
3,99
GRATUITE
GRATUITE
7. WeliveSecurity ; Robert Lipovsky ; Android malware worm catches unwary users ; 30 avril 2014 ;
http://www.welivesecurity.com/2014/04/30/android-sms-malware-catches-unwary-users/
8. Naked Security ; Paul Ducklin ; Anatomy of an Android SMS virus - watch out for text messages, even from your friends! ; 29 juin 2014 ;
http://nakedsecurity.sophos.com/2014/06/29/anatomy-of-an-android-sms-virus-watch-out-for-text-messages-even-from-your-friends/
9. Android Police ; Michael Crider ; The #1 New Paid App In The Play Store Costs $4, Has Over 10,000 Downloads, A 4.7-Star Rating... And It’s A Total Scam
[Updated]; 10 avril 2014 ; http://www.androidpolice.com/2014/04/06/the-1-new-paid-app-in-the-play-store-costs-4-has-over-10000-downloads-a-4-7-starrating-and-its-a-total-scam/
10. Lookout Blog ; Meghan Kelly ; Cloned banking app stealing usernames sneaks into Google Play ; 24 juin 2014 ;
https://blog.lookout.com/blog/2014/06/24/bankmirage/
11. ZDNet ; Liam Tung ; Google yanks two battery-sucking Bitcoin mining Android apps from Play store ; 28 mars 2014 ;
http://www.zdnet.com/google-yanks-two-battery-sucking-bitcoin-mining-android-apps-from-play-store-7000027828/
13
H1
2014
MALWARE
MAC
nouvelles variantes
de logiciels malveillants
sur Mac au total
ont été découvertes entre
JANVIER ET JUIN 2014
19
10
9
nouvelles,
uniques
variantes
ont été découvertes rien qu'au
cours des deux premiers mois
24 % Cheval
de Troie
Ce rythme s'est ralenti vers la fin
du premier semestre, les logiciels
malveillants sur Mac arrivant souvent
par vague.
0
AVRIL
variantes
1
3
2
MARS
13 sur 25
FÉVRIER
JANVIER
16 % Autres
JUIN
60 % Backdoor
MAI
60
Q
16
24
+
25
mask
appartiennent à
2
utilisées pour
des attaques
ciblées
5
nouvelles
familles
LAOSHU
La famille LaoShu (qui signifie littéralement rat
ou souris en chinois) est un cheval de Troie avec
accès à distance qui se propage via de fausses
notifications d'e-mails.
3
affectent des
utilisateurs
de Mac
normaux
coinstealer
RESSOURCES
La famille Coinstealer est un voleur de bitcoins qui prend
l'apparence d'une application[3] permettant d'accéder aux
informations sur les transactions de MtGox. Elle a été diffusée
via le compte Reddit et le blog personnel piratés du PDG de
Reddit[4] après la mise hors ligne d'un échange de bitcoins,
sans explications[5]. Elle semble avoir tenté de profiter de l'état
psychologique des clients de MtGox qui voulaient obtenir
davantage de détails sur le moment.
1.
La famille Mask appartient à une opération de
cyber-espionnage du nom de « The Mask ».
Elle cible les institutions gouvernementales et
les entreprises du secteur énergétique.
clientsnow
La famille Clientsnow est liée à GhostNet.
Il s'agit de l'une des nombreuses familles
de logiciels malveillants sur Mac utilisées
dans le cadre d'attaques ciblées contre les
communautés tibétaines et ouïgoures.
cointhief
La famille CoinThief est un cheval de Troie espion qui vole les
crypto-monnaies. Depuis le deuxième trimestre 2013, il est
parvenu à se propager sans se faire remarquer via BitTorrent,
prenant l'apparence de versions crackées d'applications OS
X populaires. Mais ce cheval de Troie a changé de tactique
en 2014, et a commencé à se répandre par l'intermédiaire
d'applications de crypto-monnaies piratées, trouvées dans
des référentiels en ligne comme Github, ainsi que des sites de
téléchargement populaires, comme downloads.com.
Ce changement de tactique s'est avéré efficace, car les
personnes qui recherchent des applications de cryptomonnaies sont plus à même de posséder déjà de la cryptomonnaie[1]. Et la plupart d'entre elles ne s'attendent pas
à trouver des applications victimes d'un cheval de Troie
sur des sites de téléchargement légaux. Ceci a affecté un
nombre important d'utilisateurs, et a finalement engendré la
découverte de la famille[2].
*REMARQUE : les nombres indiqués représentent les variantes uniques détectées.
Cela signifie que les outils d'installation « reconditionnés » ne sont pas comptabilisés,
et que les logiciels malveillants multi-composants comptent pour un.
Twitter ; Broderick Aquilino ; 12 février 2014 ;
https://twitter.com/BrodAquilino/status/433529401699864576
2. Threatpost ; Michael Mimoso ; Mac Trojan Steals Bitcoin Wallet Credentials ; 10 février 2014 ;
http://threatpost.com/mac-trojan-steals-bitcoin-wallet-credentials/104152
3. Wikipedia ; Front and back office application ; 24 mars 2014 ;
http://en.wikipedia.org/wiki/Front_and_back_office_application
4. Forbes ; Andy Greenberg ; Hackers Hit Mt. Gox Exchange’s CEO, Claim To Publish Evidence Of Fraud ; 9 mars 2014 ;
http://www.forbes.com/sites/andygreenberg/2014/03/09/hackers-hit-mt-gox-exchanges-ceo-claim-to-publish-evidence-of-fraud/
5.14Forbes ; Andy Greenberg ; Bitcoin’s Price Plummets As Mt. Gox Goes Dark, With Massive Hack Rumored ; 25 février 2014 ;
http://www.forbes.com/sites/andygreenberg/2014/02/25/bitcoins-price-plummets-as-mt-gox-goes-dark-with-massive-hack-rumored/
sources
Calendrier des incidents
Liberté numérique
1. The Guardian ; Spencer Ackerman, James Ball ; Optic Nerve:
millions of Yahoo webcam images intercepted by GCHQ ;
2.
3.
4.
5.
6.
7.
8.
28 février 2014 ; http://www.theguardian.com/world/2014/feb/27/
gchq-nsa-webcam-images-internet-yahoo
Arstechnica ; Sean Gallagher ; Turkey now trying to block
YouTube as social media crackdown continues ; 28 mars 2014 ;
http://arstechnica.com/tech-policy/2014/03/turkey-now-tryingto-block-youtube-as-social-media-crackdown-continues/
Reuters ; Thai ministry sparks alarm with brief block of
Facebook ; 28 mai 2014 ; http://in.reuters.com/article/2014/05/28/
thailand-politics-facebook-idINKBN0E80U520140528
Arstechnica ; Sean Gallagher ; NSA loves The Bahamas so much
it records all its cellphone calls ; 21 mai 2014 ; http://arstechnica.
com/tech-policy/2014/05/nsa-loves-the-bahamas-so-much-itrecords-all-its-cellphone-calls/
Guardian ; Glenn Greenwald ; How the NSA tampers with USmade internet routers ; 12 mai 2014 ; http://www.theguardian.
com/books/2014/may/12/glenn-greenwald-nsa-tampers-usinternet-routers-snowden
BBC ; Joe Miller ; Iraq blocks Facebook and Twitter in bid
to restrict Isis ; 16 juin 2014 ; http://www.bbc.com/news/
technology-27869112
CNET ; Micheal Tan ; After Thailand’s coup, a stifling of online
dissent (Q&A) ; 12 juin 2014 ; http://www.cnet.com/news/behindthailands-high-tech-coup-stifling-online-dissent-q-a/
BBC ; YouTube access restored in Turkey ; 4 juin 2014 ;
http://www.bbc.com/news/technology-27691892
Sécurité
17. F-Secure Weblog ; Sean Sullivan ; FISA Transparency ; 4 février
2014 ; http://www.f-secure.com/weblog/archives/00002666.html
18. F-Secure Weblog ; Sean Sullivan ; TrustyCon Video ; 28 février
2014 ; http://www.f-secure.com/weblog/archives/00002679.html
19. ZDNet ; Larry Seltzer ; Windows XP dies at 12 1/2 after long
illness ; 8 avril 2014 ; http://www.zdnet.com/windows-xp-dies-at12-12-after-long-illness-7000028134/
20. BBC ; Leo Kelion ; eBay makes users change their passwords
after hack ; 21 mai 2014 ; http://www.bbc.com/news/
technology-27503290
21. PCWorld ; Mark Hachman ; Microsoft simplifies security updates
with MyBulletins ; 28 mai 2014 ; http://www.pcworld.com/
article/2207346/microsoft-simplifies-security-updates-withmybulletins.html
22. PC Mag ; Stephanie Mlot ; Google launches ‘right to be
forgotten’ form ; 30 mai 2014 ; http://www.pcmag.com/
article2/0,2817,2458736,00.asp
23. Forbes ; Ben Kepes ; No More Scroogled, No More NSA, Google
Apps Gets Encryption ; 21 mai 2014 ; http://www.forbes.com/
sites/benkepes/2014/05/21/no-more-scroogled-no-more-nsagoogle-apps-gets-encryption/
24. The Guardian ; Dominic Rushe ; Edward Snowden calls for greater
online privacy in Reset the Net campaign ; 5 juin 2014 ; http://
www.theguardian.com/world/2014/jun/05/edward-snowdenprivacy-reset-the-net
POURSUITES
Attaques
9. Forbes ; James Lyne ; Yahoo Hacked And How To Protect
Your Passwords ; 31 janvier 2014 ; http://www.forbes.com/sites/
jameslyne/2014/01/31/yahoo-hacked-and-how-to-protect-yourpasswords/
10. Arstechnica ; Dan Goodin ; Hackers hijack 300,000-plus
wireless routers, make malicious changes ; 4 mars 2014 ;
http://arstechnica.com/security/2014/03/hackers-hijack-300000plus-wireless-routers-make-malicious-changes/
11. Reuters ; Bitcoin bank Flexcoin shuts down after theft ; 4 mars
2014 ; http://www.reuters.com/article/2014/03/04/us-bitcoinflexcoin-idUSBREA2329B20140304
12. TechRadar ; Stu Robarts ; Windigo malware attack infects
25,000 servers ; 19 mars 2014 ; http://www.techradar.com/
news/computing/windigo-malware-attack-infects-25-000servers-1235128
13. NYTimes ; Nicole Perlroth ; Heartbleed exploited to hack VPN
device ; 18 avril 2014 ; http://bits.blogs.nytimes.com/2014/04/18/
heartbleed-internet-security-flaw-used-in-attack/?_php=true&_
type=blogs&_r=0
14. The Australian ; Cyber attacks on the rise ; 29 mai 2014 ; http://www.
theaustralian.com.au/news/latest-news/cyber-attacks-on-therise/story-fn3dxiwe-1226936311311?nk=9a4d4fc48406e6e6a41b8e1
4de5fa4d6
15. KrebsonSecurity ; Brian Krebs ; True Goodbye: ‘Using
TrueCrypt Is Not Secure’ ; 29 mai 2014 ; http://krebsonsecurity.
com/2014/05/true-goodbye-using-truecrypt-is-not-secure/
16. The Register ; Darren Pauli ; Massive DDoS attack hits Hong
Kong ; 23 juin 2014 ; http://www.theregister.co.uk/2014/06/23/
most_sophisticated_ddos_strikes_hk_democracy_poll/
25. United States Department of Justice ; Cyber Criminal Pleads
Guilty to Developing and Distributing Notorious Spyeye
Malware ; 28 juin 2014 ; http://www.justice.gov/opa/pr/2014/
January/14-crm-091.html
26. United States Department of Justice ; Leader and Co-Conspirator
of Android Mobile Device App Piracy Group Plead Guilty ;
24 mars 2014 ; http://www.justice.gov/opa/pr/2014/March/14crm-303.html
27. United States Department of Justice ; Nine Charged in
Conspiracy to Steal Millions of Dollars Using “Zeus” Malware ;
11 avril 2014 ; http://www.justice.gov/opa/pr/2014/April/14crm-375.html
28. The Register ; Simon Sharwood ; ‘Anons’ cuffed by Australian
Federal Police ; 22 mai 2014 ; http://www.theregister.
co.uk/2014/05/22/anons_cuffed_by_australian_federal_police/
29. The Register ; Iain Thomson ; US authorities name five
Chinese military hackers wanted for espionage ; 19 mai 2014 ;
http://www.theregister.co.uk/2014/05/19/us_authorities_name_
five_chinese_military_hackers_wanted_for_espionage/
30. SC Magazine UK; Doug Drinkwater ; 100 hackers arrested over
Blackshades Trojan ; 19 mai 2014 ;
http://www.scmagazineuk.com/100-hackers-arrested-overblackshades-trojan/article/347488/
31. Info Security ; ‘Oleg Pliss’ Apple Hackers Could Be Behind Bars ;
10 juin 2014 ; http://www.infosecurity-magazine.com/news/olegpliss-apple-hackers-could-be/
32. United States Department of Justice ; U.S. Leads Multi-National
Action Against “Gameover Zeus” Botnet and “Cryptolocker”
Ransomware, Charges Botnet Administrator ; 2 juin 2014 ;
http://www.justice.gov/opa/pr/2014/June/14-crm-584.html
15
Logiciels malveillants
33. Malware Must Die ; Threat Intelligence - New Locker: Prison
Locker (aka: Power Locker ..or whatever those bad actor call
it) ; 3 janvier 2014 ; http://blog.malwaremustdie.org/2014/01/
threat-intelligence-new-locker-prison.html
34. F-Secure Weblog ; Sean Sullivan ; Gameover ZeuS Jumps on the
Bitcoin Bandwagon ; 14 mars 2014 ; http://www.f-secure.com/
weblog/archives/00002685.html
35. InfoSec Handlers Diary Blog ; Johannes Ullrich ; Linksys Worm
“TheMoon” Summary: What we know so far ; 13 février 2014 ;
https://isc.sans.edu/diary/Linksys+Worm+%22TheMoon%22+Sum
mary%3A+What+we+know+so+far/17633
36. F-Secure Weblog ; Coremex Innovates Search Engine
Hijacking ; 1 avril 2014 ; http://www.f-secure.com/weblog/
archives/00002689.html
37. Android Police; Michael Crider; The #1 New Paid App In The
Play Store Costs $4, Has Over 10,000 Downloads, A 4.7-Star
Rating... And It’s A Total Scam [Updated] ; 10 avril 2014 ;
http://www.androidpolice.com/2014/04/06/the-1-new-paid-appin-the-play-store-costs-4-has-over-10000-downloads-a-4-7-starrating-and-its-a-total-scam/
38. F-Secure Weblog ; “Police Ransomware” Expands To Android
Ecosystem ; 15 mai 2014 ; http://www.f-secure.com/weblog/
archives/00002704.html
39. F-Secure Weblog ; Broderick Aquilino ; BlackEnergy Rootkit,
Sort Of; 13 juin 2014 ; http://www.f-secure.com/weblog/
archives/00002715.html
40. F-Secure Weblog ; Daavid Hentunen ; Havex hunts ICS/SCADA
systems ; 23 juin 2014 ; http://www.f-secure.com/weblog/
archives/00002718.html
Vulnérabilités
41. ZDNet ; Violet Blue ; Major Apple security flaw: Patch issued,
users open to MITM attacks ; 22 février 2014 ; http://www.zdnet.
com/major-apple-security-flaw-patch-issued-users-open-tomitm-attacks-7000026624/
42. KrebsonSecurity ; Brian Krebs ; Microsoft Warns of Attacks on IE
Zero-Day ; 27 avril 2014 ; http://krebsonsecurity.com/2014/04/
microsoft-warns-of-attacks-on-ie-zero-day/
43. PCWorld ; Ian Paul ; Adobe releases emergency Flash patch for
Windows and OS X systems; 8 février 2014 ;
http://www.pcworld.com/article/2027624/adobe-releasesemergency-patch-for-windows-and-os-x-systems.html
44. Arstechnica ; Dan Goodin ; Zero-day vulnerability in Microsoft Word
under active attack ; 25 mars 2014 ;
http://arstechnica.com/security/2014/03/zero-day-vulnerabilityin-microsoft-word-under-active-attack/
45. CNet ; Richard Nieva ; Heartbleed bug: What you need to know
(FAQ) ; 11 avril 2014 ; http://www.cnet.com/news/heartbleed-bugwhat-you-need-to-know-faq/
46. KrebsonSecurity ; Brian Krebs ; Critical Java Update Plugs
37 Security Holes ; 16 avril 2014 ; http://krebsonsecurity.
com/2014/04/critical-java-update-plugs-37-security-holes/
47. Bit-tech; Gareth Halfacree ; Windows XP gets first post-EOL
security patch ; 2 mai 2014 ; http://www.bit-tech.net/news/
bits/2014/05/02/winxp-eol-patch/1
48. SCMagazine ; Marcos Colon ; Tech giants to fund vital projects ;
29 mai 2014 ; http://www.scmagazine.com/core-infrastructureinitiative-to-fund-openssl-audit/article/349068/
16
SWITCH
ON
FREEDOM
© F-Secure Corporation 2014. Tous droits réservés.
17
