L’importance de mettre en œuvre de bonnes politiques de gestion des correctifs a été clairement soulignée par les attaques de ransomware WannaCry en mai. Les attaques par ransomware ont été rendues possibles en raison des mauvaises politiques de gestion des correctifs dans des centaines d’entreprises.
Les attaquants ont profité d’une vulnérabilité dans Windows Server Message Block (SMB) à l’aide d’exploits développés par (et volés à) la National Security Agency des États-Unis.
Les exploits, c’est-à-dire des éléments de programme permettant à un pirate ou à un logiciel malveillant d’exploiter une vulnérabilité informatique, ont profité des failles SMB qui, au moment où ils allaient être rendus publics, avaient été corrigées par Microsoft. Heureusement pour les individus à l’origine des attaques, et malheureusement pour de nombreuses entreprises, la mise à jour n’avait pas été appliquée.
Contrairement à la majorité des attaques par ransomware qui nécessitent une certaine implication de l’utilisateur – par exemple en cliquant sur un lien ou en ouvrant une pièce jointe infectée — les failles SMB pouvaient être exploitées à distance sans aucune interaction de l’utilisateur.
WannaCry n’était pas la seule variante de malware qui a tiré parti des systèmes non mis à jour. Le mois suivant, les attaques NotPetya (ExPetr) ont utilisé un exploit similaire appelé EternalBlue. Encore une fois, ces attaques n’avaient pas besoin de l’intervention des utilisateurs. NotPetya était un malware de type wiper (qui détruit les données), qui a été utilisé pour le sabotage informatique. Les dommages causés par ces attaques étaient considérables. Des systèmes entiers ont dû être remplacés, des entreprises ne pouvaient pas fonctionner et, pour de nombreuses entreprises, les perturbations se sont poursuivies pendant plusieurs semaines après les attaques. Pour d’autres entreprises, les pertes causées par ces attaques se chiffraient en millions de dollars.
Ces attaques auraient pu être facilement évitées, en appliquant un seul patch (MS17-010). Le patch était disponible depuis deux mois avant les attaques WannaCry. Même des politiques de gestion des correctifs — qui exigeaient que les logiciels soient vérifiés une fois par mois — auraient pu les prévenir. Dans le cas de NotPetya, les entreprises concernées n’avaient pas non plus réagi à WannaCry, même si les attaques par ransomware ont été largement couvertes par les médias et si le risque lié au retard de la mise à jour a été clairement souligné.
Le message à retenir est que les vulnérabilités de sécurité non résolues peuvent être exploitées par des cybercriminels. Les entreprises peuvent acheter une variété de solutions de sécurité coûteuses pour sécuriser leurs systèmes, mais celles dont les politiques de gestion des correctifs sont inadéquates subiront des brèches de données. La question n’est plus de savoir s’il y aura une brèche de données, mais quand cela va se produire.
Les mauvaises politiques de gestion des correctifs coûtent plus de 5 millions de dollars à une compagnie d’assurance
Une autre bonne raison de procéder rapidement à la mise à jour a été constatée ce mois-ci. Nationwide Mutual Insurance Company et sa filiale, Allied Property & Casualty Insurance Company a du payer une somme conséquente à plusieurs procureurs généraux dans 32 États. En effet, Nationwide a accepté de payer 5,5 millions de dollars pour résoudre l’enquête sur la violation de ses données en 2012.
Il s’agissait d’un vol de données concernant 1,27 million de preneurs d’assurance et de particuliers qui ont obtenu des soumissions d’assurance de la compagnie. Dans ce cas, le vol de données a été possible en raison d’une vulnérabilité non traitée dans une application tierce. Même si la vulnérabilité a été jugée critique, l’assureur n’a pas procédé à sa mise à jour. La vulnérabilité n’était pas corrigée pendant trois ans. Le correctif n’a été appliqué qu’après le vol de données.
L’enquête sur la brèche a été menée conjointement par George Jepsen, procureur général du Connecticut. Lorsqu’il a annoncé le paiement de la somme, M. Jepsen a déclaré : « Il est extrêmement important que les entreprises prennent au sérieux la maintenance de leurs systèmes informatiques et de leurs protocoles de sécurité des données. »
Les vulnérabilités non traitées seront exploitées par les cybercriminels. Les attaques entraîneront des vols de données, des dommages matériels, des poursuites judiciaires intentées par les victimes d’infractions, des amendes imposées par les procureurs généraux et des amendes imposées par d’autres organismes de réglementation. Ces coûts peuvent tous être évités avec de bonnes politiques de gestion des correctifs.
En mai, les chercheurs en sécurité de Proofpoint ont découvert une campagne de spam qui distribuait un nouveau cheval de Troie bancaire nommé DanaBot. À l’époque, on pensait qu’un seul pirate l’utilisait pour cibler des organisations en Australie afin d’obtenir des références bancaires en ligne. Mais cette campagne s’est poursuivie.
D’autres campagnes ont été identifiées en Europe, ciblant les clients des banques en Italie, en Allemagne, en Pologne, en Autriche et au Royaume-Uni. Puis, à la fin du mois de septembre, une autre attaque de DanaBot a été menée auprès des banques américaines.
DanaBot est un malware modulaire écrit en Delphi et capable de télécharger des composants supplémentaires pour ajouter diverses fonctions. Il peut prendre des captures d’écran, voler des données de formulaire et enregistrer les frappes au clavier pour permettre aux pirates d’obtenir des identifiants bancaires. Ces informations sont renvoyées au serveur C2 de l’attaquant et sont ensuite utilisées pour voler de l’argent sur les comptes bancaires des entreprises.
Une analyse des programmes malveillants et des campagnes géographiques a montré que différents identifiants ont été utilisés dans les en-têtes de communication C2. Cela suggère fortement que les campagnes menées dans chaque région sont l’œuvre de différents pirates et le cheval de Troie DanaBot est distribué en tant que malware-as-a-service. Chaque pirate est responsable des campagnes qu’il mène dans un pays ou dans un groupe de pays spécifiques. L’Australie est le seul pays où deux cybercriminels ont mené les mêmes campagnes.
Au total, il semble qu’il y a actuellement 9 pirates qui mènent des campagnes de distribution du cheval de Troie DanaBot. Pour chaque pays, ils utilisent différentes méthodes pour distribuer la charge utile malveillante, notamment le nouveau kit d’exploitation Fallout, l’injection de code dans les applications web et le spamming. Ce dernier a été utilisé pour distribuer le malware aux États-Unis.
L’attaque menée aux États-Unis a utilisé un leurre d’avis se présentant comme un message fax et envoyé via des e-mails. Les messages semblent provenir du service eFax. Ils ont un aspect professionnel et sont complets, avec une mise en page et des logos appropriés. Ils contiennent également un bouton sur lequel il faut cliquer pour télécharger le message fax de 3 pages.
En cliquant sur ce bouton, vous téléchargez un document Word avec une macro malveillante qui, une fois exécutée, lance un script PowerShell, entraînant le téléchargement du malware Hancitor. À son tour, Hancitor téléchargera le voleur de mot de passe Poney et DanaBot.
L’analyse du malware par Proofpoint a révélé des similitudes avec les familles de ransomwares Reveton et CryptXXX. Ceci suggère que DanaBot a été développé par le même groupe responsable de ces deux ransomwares.
La campagne américaine DanaBot cible les clients de diverses banques américaines, dont RBC Royal Bank, Royal Bank, TD Bank, Wells Fargo, Bank of America et JP Morgan Chase. Il est probable qu’elle s’étendra à d’autres pays, au fur et à mesure que de plus en plus de cybercriminels utiliseront le malware DanaBot.
Pour prévenir une telle attaque, vous devez avoir un système de défense en profondeur contre chacun des vecteurs de Danabot. Un filtre antispam avancé est nécessaire pour bloquer le spam. Les utilisateurs d’Office 365 devraient également augmenter la protection de leur système informatique avec un filtre antispam tiers tel que SpamTitan.
Pour prévenir les attaques sur le Web, une solution de filtrage Web devrait être utilisée. WebTitan peut empêcher les utilisateurs finaux de visiter des sites Web connus pour contenir des kits d’exploitation et des adresses IP qui ont déjà été utilisées à des fins malveillantes.
Enfin, les utilisateurs finaux devraient être formés à ne jamais ouvrir de pièces jointes à des e-mails. Ils ne doivent pas cliquer sur des hyperliens dans les messages électroniques provenant d’expéditeurs inconnus ou activer des macros sur des documents à moins d’être certains que les fichiers sont authentiques. Les entreprises américaines ont intérêt à envisager d’avertir leurs employés des faux e-mails eFax afin de les sensibiliser à la menace de DanaBot.
Under Armour a été victime d’une brèche de données massive de MyFitnessPal qui a permis à un pirate informatique d’accéder aux renseignements personnels de 150 millions d’utilisateurs et de les voler.
Les données concernaient les utilisateurs de l’application mobile MyFitnessPal et de la version Web de la plate-forme de suivi de la condition physique et de la santé. Les types de données volées comprenaient les noms d’utilisateur, les mots de passe et les adresses électroniques chiffrées.
Les données des cartes de paiement ont été conservées par Under Armour, car les informations étaient traitées et stockées séparément et n’ont pas été affectées. Aussi, l’attaquant n’a pas obtenu d’autres renseignements de nature très délicate (qui sont habituellement utilisés pour le vol d’identité et la fraude) comme les numéros de sécurité sociale.
L’fuite de données de MyFitnessPal est remarquable par le volume de données obtenues, ce qui fait d’elle la plus importante fuite de données ayant été détectée cette année. Bien entendu, le vol de données chiffrées ne poserait normalement pas un risque immédiat pour les utilisateurs. C’est certainement le cas pour les mots de passe qui ont été chiffrés en utilisant bcrypt, un algorithme de chiffrement particulièrement puissant.
Cependant, les noms d’utilisateur et les mots de passe n’ont été chiffrés qu’avec la fonction de chiffrement SHA-1, qui n’offre pas le même niveau de protection. Il est donc possible de décoder les données de chiffrement SHA-1, ce qui signifie que l’attaquant pourrait potentiellement accéder aux informations des utilisateurs.
L’attaquant avait déjà accès aux données des utilisateurs depuis un certain temps. En réalité, Under Armour a pris connaissance de la fuite de données le 25 mars 2018, alors que l’attaque a eu lieu plus d’un mois avant d’être détectée, soit environ six semaines avant l’annonce de l’atteinte.
Compte tenu de la méthode qui a été utilisée pour protéger les noms d’utilisateur et les mots de passe, les données peuvent donc être considérées comme accessibles. Ainsi, il est fort probable que la personne responsable de l’attaque tentera de les monétiser. Si l’attaquant ne peut pas personnellement déchiffrer ces données, il est certain qu’il va les confier à d’autres pirates qui sont capables de le faire.
Bien qu’il soit possible que les mots de passe chiffrés en bcrypt puissent être décodés, il est peu probable que quelqu’un tente de les déchiffrer.
Pourquoi ? Parce que cela nécessiterait beaucoup de temps et d’efforts. De plus, Under Armour a déjà prévenu les utilisateurs concernés et les a encouragés à changer leur mot de passe par mesure de précaution, et ce, afin de s’assurer que leurs comptes ne puissent pas être accessibles aux pirates.
Bien que les comptes MyFitnessPal puissent rester sécurisés, cela ne signifie pas que les utilisateurs de MyFitnessPal ne seront pas affectés par une attaque cybercriminelle. Les pirates, ou les détenteurs actuels des données utiliseront sans aucun doute les 150 millions d’adresses e-mail et noms d’utilisateur pour des campagnes de phishing.
Under Armour a commencé à aviser les utilisateurs touchés quatre jours après l’fuite de données de MyFitnessPal. Tout utilisateur concerné doit se connecter et changer son mot de passe par mesure de précaution afin d’empêcher l’accès à son compte. Les utilisateurs doivent également être conscients des risques liés au phishing.
On peut s’attendre à des campagnes de phishing liées à l’fuite de données comme celles de MyFitnessPal. De plus, les pirates vont probablement élaborer divers types d’e-mails de phishing pour essayer d’atteindre leurs cibles. Un incident d’une telle ampleur présente également un risque pour les entreprises. Si un employé devait répondre à une campagne de phishing, il est possible qu’il télécharge des malwares sur son équipement de travail et compromette le réseau de l’entreprise.
Les attaques de ce genre sont de plus en plus fréquentes. Compte tenu de la grande quantité d’adresses e-mail utilisées actuellement pour les campagnes de phishing, des solutions avancées de filtrage du spam sont devenues une nécessité pour les entreprises.
Si vous n’avez pas encore mis en place de filtre antispam, ou bien si vous n’êtes pas satisfait de votre fournisseur actuel, du taux de détection ou du taux de détection de faux positifs, contactez TitanHQ pour en savoir plus sur SpamTitan, le leader des logiciels antispam pour les entreprises.
Les hôtels, restaurants et entreprises de télécommunications sont la cible d’une nouvelle campagne de spam qui distribue une nouvelle forme de malware appelée AdvisorsBot. AdvisorsBot est un téléchargeur de malwares qui, comme de nombreuses autres variantes, est distribué par des emails contenant des pièces jointes Microsoft Word avec des macros malveillantes.
L’ouverture d’une pièce jointe infectée et l’activation des macros figurant dans le document entraîneront l’installation d’Advisorsbot. Le rôle principal de ce malware est de relever les empreintes digitales sur un appareil infecté. Les informations recueillies sur le dispositif infecté sont ensuite communiquées aux serveurs de commande et de contrôle des acteurs de la menace et des instructions supplémentaires sont fournies au malware en fonction des informations collectées sur le système. Le malware enregistre les informations système, les détails des programmes installés sur l’appareil, les détails du compte Office et d’autres informations. Il est également capable de faire des captures d’écran sur un appareil infecté.
AdvisorsBot est ainsi nommé parce que les premiers échantillons de malwares identifiés en mai 2018 ont contacté les serveurs de commande et de contrôle qui contenaient le mot advisors.
La campagne de spam est principalement menée sur des cibles aux États-Unis, mais d’autres infections ont également été détectées dans le monde entier. Selon les chercheurs en sécurité de Proofpoint qui ont découvert cette nouvelle menace, plusieurs milliers d’appareils ont été infectés par le malware depuis le mois de mai. Les pirates qui seraient à l’origine de ces attaques sont un groupe d’attaquants APT (Advanced Persistent Threat), connu sous le nom de TA555.
Différents leurres par email ont été utilisés dans cette campagne de malware pour inciter les destinataires à ouvrir la pièce jointe infectée et à activer les macros. Les emails envoyés aux hôtels semblaient provenir de personnes ayant été facturées deux fois pour leur séjour. La campagne sur les restaurants a utilisé des emails qui affirmaient que l’expéditeur a souffert d’une intoxication alimentaire après avoir mangé dans un établissement particulier, tandis que les attaques contre les entreprises de télécommunications avaient recours à des pièces jointes d’emails qui semblaient être des curriculum vitae de candidats postulant à une offre d’emploi.
AdvisorsBot est écrit en langage « C », mais une deuxième forme du malware a également été détectée. Cette variante est écrite en .NET et PowerShell. Cette deuxième variante a été nommée PoshAdvisor et elle est exécutée via une macro malveillante. Cette macro va, à son tour, exécuter une commande PowerShell qui télécharge un script PowerShell, lequel exécute le shellcode, ce qui exécute le malware dans la mémoire sans l’écrire sur le disque de l’appareil infecté.
Ces menaces de malware sont encore en cours de développement. Elles sont typiques de nombreuses menaces de malwares récentes qui disposent d’un large éventail des capacités et de la polyvalence nécessaires pour de nombreux types d’attaques différents comme le vol d’informations, la distribution de ransomwares et l’extraction de cryptomonnaie. Les actions malveillantes sont déterminées en fonction du système sur lequel le malware a été installé. Si ce système est parfaitement adapté à l’extraction de cryptomonnaie, le code correspondant sera installé. Si l’entreprise présente un intérêt particulier, elle fera l’objet d’un compromis plus large.
La meilleure forme de défense contre cette campagne est l’utilisation d’une solution avancée de filtrage de spam pour empêcher la distribution des emails malveillants, ainsi qu’une formation de sensibilisation des employés à la sécurité afin qu’ils puissent réagir au cas où une telle menace arriverait dans leur boîte de réception.
Alors que les pirates informatiques se tournent vers les langages de script pour développer rapidement de nouvelles variantes de malwares, plusieurs nouvelles variantes de logiciels malwares AutoHotKey ont été découvertes ces dernières semaines. La toute dernière ayant été découverte — le malware Fauxpersky — est très efficace pour voler les mots de passe.
AutoHotKey est un langage de script open source populaire. Il facilite la création de scripts pour automatiser et planifier des tâches, même à l’intérieur de logiciels tiers. Il est possible d’utiliser AutoHotKey pour interagir avec le système de fichiers local et la syntaxe est simple, ce qui le rend facile à utiliser, même sans grande connaissance technique. AutoHotKey permet de compiler des scripts dans un fichier exécutable qui peut être facilement exécuté sur un système.
Pour les développeurs de malwares, AutoHotKey reste toujours très utile. Les logiciels malwares AutoHotKey sont maintenant utilisés pour le keylogging et pour installer d’autres variantes de malwares comme les mineurs de cryptocurrences. La première de ces variantes a été découverte en février 2018.
Depuis, plusieurs autres variantes de logiciels malwares AutoHotKey ont été découvertes. Le dernier né étant Fauxpersky, ainsi nommé parce qu’il se fait passer pour un antivirus Kaspersky.
Les malwares Fauxpersky
Les malwares Fauxpersky manquent de sophistication, mais peuvent être considérés comme une menace importante. S’il n’est pas détecté, il permet aux attaquants de voler des mots de passe qui peuvent être utilisés pour des attaques très dommageables et de leur donner une prise sur le réseau.
Le malware Fauxpersky a été découvert par les chercheurs en sécurité informatique Amit Serper et Chris Black. Ils ont expliqué dans un récent article de blog que le malware n’est peut-être pas particulièrement avancé et furtif, mais il constitue une menace et pourrait permettre aux cybercriminels de voler des mots de passe pour avoir accès aux données.
Fauxpersky infecte les clés USB pour répandre le malware entre les périphériques. Il peut également se répliquer sur les lecteurs répertoriés du système. La communication avec les attaquants se fait via un formulaire Google, lequel est utilisé pour envoyer des mots de passe volés et des listes de frappes au clavier dans leurs boîtes de réception. Comme la transmission est chiffrée, il ne semble pas s’agir d’une exfiltration de données par les systèmes de surveillance du trafic.
Une fois installé, Fauxpersky renomme le lecteur et ajoute « Protected by Kaspersky Internet Security 2017 » au nom du lecteur. Le logiciel malveillant enregistre toutes les frappes au clavier effectuées sur un système et ajoute également un contexte pour aider les attaquants à déterminer ce que fait l’utilisateur. Le nom de la fenêtre dans laquelle le texte est tapé est ajouté au fichier texte.
Une fois que la liste des frappes a été envoyée, elle est supprimée du disque dur pour éviter toute détection.
Les chercheurs ont signalé cette nouvelle menace à Google. Celle-ci a été éliminée rapidement, mais d’autres menaces pourraient bien être créées pour la remplacer.
Les logiciels malwares AutoHotKey devraient devenir plus sophistiqués
Il est peu probable que les logiciels malwares AutoHotKey remplacent les langages de script plus puissants comme PowerShell. Pourtant, l’augmentation de l’utilisation de l’AutoHotKey, ainsi que le nombre de nouvelles variantes détectées ces dernières semaines suggèrent qu’il ne sera pas abandonné de sitôt.
Les logiciels malveillants AutoHotKey ont maintenant été découverts avec plusieurs fonctions d’obscurcissement pour les rendre plus difficiles à détecter. Cependant, de nombreux fournisseurs d’antivirus n’ont pas encore doté leurs logiciels de la capacité de détecter ces malwares.
À court et moyen terme, il est fort probable que nous assisterons à une explosion des variantes de logiciels malveillants AutoHotKey, en particulier les keyloggers qui sont conçus pour voler les mots de passe.
Microsoft a corrigé une grave vulnérabilité d’exécution du code à distance de MS Office — une vulnérabilité qui permettrait l’installation à distance de malwares sans qu’aucune interaction de l’utilisateur ne soit nécessaire. Le défaut est présent dans Microsoft Office depuis 17 ans.
Découverte par des chercheurs d’Embedi, cette faille a fait l’objet d’un suivi sous la référence CVE-2017-11882. Elle se trouve dans l’éditeur d’équations de Microsoft, une partie de MS Office qui est utilisée pour insérer et éditer des équations (objets OLE) dans les documents. Plus précisément, la vulnérabilité se trouve dans le fichier exécutable EQNEDT32.exe.
Cette vulnérabilité de corruption de mémoire permet l’exécution de code à distance sur un ordinateur ciblé, et permettrait à un attaquant de prendre le contrôle total du système au cas où il serait utilisé avec les kits d’exploitation de privilèges du noyau Windows. La faille peut être exploitée sur tous les systèmes d’exploitation Windows, y compris ceux qui ne sont pas corrigés avec la mise à jour Windows 10 Creators Update.
Microsoft s’est attaquée à cette vulnérabilité lors de sa série de mises à jour de sécurité de novembre 2017. Tout système non patché est vulnérable aux attaques, il est donc fortement recommandé d’appliquer rapidement le correctif. Alors que la faille aurait pu potentiellement être exploitée à tout moment au cours des 17 dernières années, on peut s’attendre à ce que cela se produise maintenant qu’un patch a été publié.
La faille ne nécessite pas l’utilisation de macros. Il suffit que la victime ouvre un document Office malveillant, conçu pour exploiter la vulnérabilité et qui arriverait probablement via un e-mail non sollicité. Ceci souligne l’importance de mettre en œuvre une solution de filtrage de spam telle que SpamTitan pour bloquer la menace.
Les utilisateurs finaux qui sont dupés en ouvrant un document malveillant peuvent prévenir l’infection en fermant le document sans activer les macros. Mais dans ce cas, les malwares pourraient encore être installés simplement en ouvrant le document.
Microsoft a évalué la vulnérabilité comme étant importante, plutôt que critique. Pourtant, les chercheurs d’Embedi affirment qu’elle est « extrêmement dangereuse ». Embedi a développé une attaque de preuve de concept qui lui a permis d’exploiter avec succès la vulnérabilité. Les chercheurs ont déclaré : « En insérant plusieurs OLE qui exploitent la vulnérabilité, il était possible d’exécuter une séquence arbitraire de commandes (par exemple, télécharger un fichier arbitraire sur Internet et l’exécuter) ».
EQNEDT32.exe est exécuté en dehors de l’environnement Microsoft Office, il n’est donc pas soumis à Office et à de nombreuses protections Windows 10. En plus d’appliquer le correctif, les chercheurs en sécurité d’Embedi recommandent donc de désactiver EQNEDT32.EXE dans le registre, car même avec le correctif appliqué, l’exécutable affiche encore d’autres vulnérabilités. Désactiver cet exécutable n’aura aucun impact sur les utilisateurs, car c’est une fonctionnalité d’Office qui n’est jamais nécessaire pour la plupart d’entre eux.
