Une histoire d'horreur sur la cybersécurité : les 3 menaces les plus effrayantes du moment

Par:
fredericmazue

jeu, 31/10/2019 - 17:04

En cette période d’Halloween, fantômes et lutins ne sont pas les seuls à vivre dans l'ombre. Plusieurs menaces ont été découverte le mois dernier, plus effrayantes les unes que les autres et prêtes à hanter les réseaux et appareils connectés. Voici les 3 menaces les plus dangereuses de ce mois d’octobre selon Gary Davis, Chief Consumer Security Evangelist chez McAfee.

Le malware Ghostcat

Ghostcat est un malware ciblant les smartphones. L’objectif de ce logiciel malveillant est de détourner les sessions de navigation mobile des utilisateurs. L'infection commence lorsqu'un utilisateur visite un site Web et se voit proposer une publicité malveillante. Ghostcat enregistre l’empreinte du navigateur et collecte des informations sur l'appareil pour déterminer si la publicité est exécutée sur une page Web authentique. Le malware vérifie également si la publicité est diffusée sur la page Web d'un éditeur spécifiquement ciblé par cette campagne. Si ces conditions sont remplies, le logiciel malveillant diffuse une URL malveillante au sein de la publicité.

À partir de là, l’URL exécute du code JavaScript obfusqué. Les attaquants derrière Ghostcat utilisent cette astuce pour piéger les bloqueurs de publicités et les empêcher de détecter le contenu malveillant. Le code vérifie également des conditions supplémentaires nécessaires à l'attaque, par exemple pour s'assurer que le malware est exécuté sur un smartphone. Si le logiciel malveillant conclut que l'environnement de navigation correspond à la description de sa cible, il affiche une fenêtre contextuelle frauduleuse qui conduit l'utilisateur vers un contenu malveillant.

Les fichiers WAV ensorcelés

Récemment des cybercriminels ont spécifiquement créé des fichiers audio WAV pour diffuser des logiciels malveillants et des cryptominers. En utilisant une technique appelée stéganographie, les auteurs ont dissimulé le code malveillant dans un fichier en apparence normal, leur permettant de contourner les logiciels de sécurité et les pare-feu.

Auparavant, il était courant que les cybercriminels utilisent la stéganographie sur des formats de fichiers image tels que les formats PNG ou JPEG. Aujourd’hui, ils utilisent des fichiers audio WAV pour cacher différents types de logiciels malveillants. Plus récemment, les chercheurs ont découvert que cette technique est utilisée pour masquer des DLL, qui peuvent être utilisées par plusieurs programmes en même temps. Si un logiciel malveillant était déjà hébergé sur un appareil infecté, il téléchargerait et lirait le fichier WAV, extrairait la DLL et installerait un mineur de crypto-monnaies appelé XMRrig. Les mineurs de crypto-monnaies effectuent des problèmes mathématiques complexes pour générer des revenus. Pour ce faire, les mineurs ont besoin d’énormes ressources informatiques. En conséquence, les mineurs ont tendance à monopoliser les ressources des machines infectées, créant ainsi un véritable casse-tête de sécurité.

Le ransomware MedusaLocker

Le mystérieux logiciel de rançon MedusaLocker infecte les appareils des utilisateurs et chiffre les fichiers jusqu'à ce que la victime achète l’outil de déchiffrement.

Ce malware exécute diverses routines au démarrage pour préparer l'appareil de la victime au chiffrement des données. De plus, il s'assure que le réseau fonctionne et que les lecteurs réseaux (raccourcis vers un dossier partagé sur un ordinateur ou un serveur distant) sont accessibles. Ensuite, il ferme les programmes de sécurité, efface les doublons de données afin qu'ils ne puissent pas être utilisés pour restaurer des fichiers, supprime les sauvegardes effectuées avec Windows, et désactive la réparation automatique de Windows.

Pour chaque dossier contenant un fichier chiffré, MedusaLocker crée une demande de rançon avec deux adresses e-mail à contacter pour le paiement. On ne sait pas encore à l'heure actuelle combien les agresseurs demandent à la victime pour que ses dossiers lui soient rendus et s'ils fournissent un outil pour récupérer les données une fois le paiement reçu.