Un programme malveillant à l’origine du vol des données d’accès à des boîtes aux lettres allemandes

Un programme malveillant à l’origine du vol des données d’accès à des boîtes aux lettres allemandes

Seize millions d’identifiants (noms d’utilisateur et mots de passe) pour des comptes de messagerie en ligne d’habitants d’Allemagne ont été découverts sur un des référentiels utilisés par des pirates. D’après les informations du Bureau fédéral de la sécurité informatique du pays (BSI, Bundesamt für Sicherheit in der Informationstechnik), cette base a été détectée lors de l’analyse d’un réseau de zombies qui n’a pas été nommé et dont le sort est également inconnu.

Le BSI a publié l’avertissement de circonstance sur son site et a créé, avec l’aide de Deutsche Telekom, un site sur lequel les utilisateurs peuvent vérifier si leurs informations d’identification ont été compromises. Si les informations figurent dans la liste des données volées, le propriétaire est prévenu via un message électronique envoyé à n’importe quelle adresse indiquée. Ce message contient également les instructions indispensables.

Les victimes sont encouragées à modifier leur mot de passe sur le champ et à confirmer que leur ordinateur n’est pas infecté. Il est également conseillé d’éviter d’utiliser les mêmes informations d’identification sur plusieurs sites.

http://www.v3.co.uk/v3-uk/news/2324199/unknown-malware-hijacks-16-million-german-email-accounts

Abuse.ch va surveiller l’activité de Feodo

Depuis la fin du mois de décembre, les experts observent une campagne de diffusion massive de messages non sollicités visant à diffuser le programme malveillant pour Windows Feodo, connu également sous le nom de Cridex et Bugat. Parmi ces messages non sollicités, beaucoup sont rédigés en allemand et ils imitent des notifications de banques ou d’opérateurs de téléphonie connus.

Cisco, G Data et Deutsche Telekom ont déjà publié des avertissements sur ces messages non sollicités contenant des liens malveillants. D’après les informations des chercheurs, ces faux messages sont envoyés depuis des comptes de messagerie compromis ; 88,4 % des messages sont destinés à des utilisateurs germanophones et envoyés au nom de Volksbank, Deutsche Telekom, Vodafon D2 et NTTCable. Les diffuseurs des messages évoquent un paiement en retard pour un opérateur de téléphonie ou la vérification de l’exécution d’une transaction sur le compte de la victime dans une banque (ou autre version : les nouvelles mesures de sécurité de la banque). Pour obtenir des informations complémentaires, l’utilisateur est invité à consulter le document accessible via le lien indiqué.

Si l’utilisateur clique sur ce lien, une archive zip contenant un fichier exécutable dissimulé sous les traits d’un document PDF est téléchargée sur l’ordinateur. Au 13 janvier, G Data avait découvert plus de 1 100 nouveaux sites hébergeant Feodo dans le cadre de la campagne de diffusion de messages non sollicités actuelles.

Cela fait plus de deux ans que Feodo/Cridex est connu. Il est capable d’enregistrer les frappes au clavier, de réaliser des attaques de type MitB quand la victime accède à un service de transactions bancaires par Internet et de télécharger d’autres programmes malveillants. Les cas de propagation de Feodo via courrier indésirable ne sont pas rares.   

L’augmentation de l’activité de Feodo a attiré l’attention des membres du projet de sécurité suisse Abuse.ch qui ont décidé d’ouvrir une autre rubrique statistique sur leur site. Feodo Tracker est configuré selon le même principe que les modules de suivi utilisés actuellement pour ZeuS, SpyEye et Palevo : il donne une idée de l’ampleur de la menace et diffuse des listes noires qui permettent aux administrateurs système et réseau de bloquer le trafic du centre de commande et d’identifier les ordinateurs infectés dans les réseaux locaux.

D’après Abuse.ch, une des version de Feodo (A) se connecte au centre de gestion via le protocole HTTP en utilisant un réseau de serveurs compromis en guise de proxy. La deuxième (B) établit une connexion directe sur le port 80 ; la majorité de ses domaines de commande sont liés au domaine de premier niveau .ru et sont enregistrés via REG.RU. Les individus malintentionnés louent également des serveurs NS via ce bureau d’enregistrement. Au 21 janvier, la base de Feodo Tracker comptait 47 serveurs de centre de commande, dont 5 étaient actifs.

http://www.abuse.ch/?p=6713

Un réseau de zombies dédié au spam dissimulé derrière un rideau de fumée

Les experts de SonicWALL (qui appartient désormais à Dell) ont découvert un réseau de zombies dédié au spam qui génère un volume important de requêtes HTTP POST et GET pour dissimuler ses intentions et tromper d’éventuels enquêteurs.

D’après Ed Miles, analyste en virus principal chez Sonic WALL : "On dirait qu’il cherche à dissimuler les communications utiles avec charge dans un flux de requête inoffensives qui ne contiennent rien de remarquable. Il se dissimule dans son propre trafic." 

Ce réseau de zombies dédié au spam, baptisé Wigon.PH_44 par Sonic WALL, fonctionne depuis des sites compromis développés à l’aide de WordPress. A l’heure actuelle, 200 ressources de ce genre ont été découvertes avec un nombre total de consultation égal à 15 000, principalement depuis le territoire des Etats-Unis. La méthode utilisée pour compromettre les sites WordPress n’a pas encore été établie.

Wigon peut fonctionner sous différentes versions de Windows, notamment la version 64 bits de XP et Windows 8. Sa fonction ne se limite pas à la diffusion de messages non sollicités : les enquêteurs ont également découvert un module qui vole les données dans les clients de messagerie et les clients FTP comme CuteFTP, FTP Commander, FTP Navigator, FileZille, etc. Une fois installé, le programme malveillant se connecte à un serveur de commande et reçoit la commande de propagation d’autres programmes malveillants par courrier indésirable.

En étudiant ce nouveau réseau de zombies dédié au spam, Ed Miles et son collègue Deepen Desai ont remarqué une ressemblance avec Cutwail, mais pour l’instant ils ne sont pas prêts à confirmer que Wigon est une nouvelle version de cette menace bien connue. Deepen Desai explique : "Nous avons remarqué que le programme malveillant reçoit des modèles pour les messages non sollicités via une requête HTTP, mais il les transmet sous forme cryptée. Il s’agit d’une caractéristique que nous avons parfois observé, parmi d’autres, chez Cutwail. Toutefois, il est encore trop tôt pour affirmer qu’il s’agit de Cutwail, même si le comportement affiché va dans ce sens.

Suite à l’arrestation de l’auteur de Blackhole et à la réduction de l’utilisation de ce kit d’exploitation, le flux de courrier indésirable malveillant envoyé par des réseaux de zombies, dont Cutwail, a quelque peu diminué. Les individus malintentionnés qui comptaient sur Blackhole doivent maintenant trouver des alternatives pour livrer les programmes qui leur font gagner de l’argent, notamment les programmes de type banker ou les programmes qui chiffrent les fichiers.

http://news.softpedia.com/news/Aggressive-Spam-Bot-Served-by-Compromised-WordPress-websites-418770.shtml

Microsoft prolonge la protection de XP contre les virus

La société Microsoft a l’intention de garantir la mise à jour des bases antivirus et du moteur pour les utilisateurs de Windows XP jusqu’à la fin du premier semestre 2015. L’éditeur espère que cette décision permettra de terminer le remplacement de l’ancien système d’exploitation qui ne bénéficiera plus de l’assistance à partir du 8 avril. Après cette date, les utilisateurs de XP recevront encore pendant plus d’un an les mises à jour pour les solutions telles que Center Endpoint Protection, Forefront Client Security, Forefront Endpoint Protection, Windows Intune et Microsoft Security Essentials.

 

Microsoft poursuit sa campagne de notification des utilisateurs sur la fin prochaine de la prise en charge de Windows XP, dont la sortie remonte à 12 ans. A partir du 8 avril, Microsoft ne diffusera plus de correctifs ni autres modifications pour le système de sécurité de ce système d’exploitation. La mise à jour du contenu technique en ligne sera suspendue, tout comme les services d’assistance technique payants et gratuits pour le système d’exploitation qui compte toujours malheureusement un volume important d’utilisateurs.

Dans un blog, les experts de Microsoft expliquent : "Nos analyses indiquent que l’efficacité des solutions de protection pour les systèmes d’exploitation qui ne sont plus pris en charge est faible. Seule l’utilisation de logiciels et de matériels modernes peut garantir une solution fiable en mesure de résister aux menaces d’aujourd’hui sur Internet." 

Windows XP n’appartient pas du tout "aux programmes modernes". Ceci étant dit, le bureau d’analyse NetMarketShare estime que ХР détient toujours 28,98 % du marché des systèmes d’exploitation. Il s’agit du deuxième système le plus populaire après Windows 7, utilisé par près de la moitié des Internautes.

http://threatpost.com/microsoft-to-update-xp-malware-signatures-beyond-support-cut-off1/103677

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *