Infos

Vulnérabilité 0jour récente utilisée dans un kit d’exploitation

Des codes d’exploitation pour une vulnérabilité 0jour éliminée récemment dans Flash Player sont diffusés via les kits d’exploitation Angler, Neutrino et Magnitude ; ils servent à propager différents ransomwares, malwares bancaires et autres trojans qui volent les identifiants.

Le chercheur français, connu sous le pseudo Kafeine, a expliqué à Threatpost que le code d’exploitation pour CVE-2016-4117 repris dans Neutrino est complètement opérationnel tandis que la version qui figure dans Magnitude n’est pas complète. Kafeine a également signalé qu’un code d’exploitation similaire se trouvait désormais dans Angler et qu’il permettait de télécharger le trojan bancaire Dridex.

D’après les informations de Kafeine, les codes d’exploitation de Magnitude concernent toutes les versions de Flash jusqu’à 21.0.0.2013, mais ils ne s’exécutent pas, malgré le fait que le code malveillant a été correctement saisi. Il se peut qu’une erreur a été commise dans la réalisation de ces codes d’exploitation. Le code d’exploitation du kit Neutrino est tout à fait opérationnel et d’après les résultats de VirusTotal, sa détection pose toujours un problème.

Dans les commentaires qu’il a envoyés à Threatpost, Kafeine a également signalé que lors des essais du kit d’exploitation actualisé, il avait observé des charges utiles comme CryptXXX, Cerber, DMA, Locker et Gootkit. Ce dernier intervient principalement dans le vol d’identifiants de systèmes de banque électronique et se distingue par le fait qu’il se charge dans la mémoire et ne laisse pas de fichiers sur l’ordinateur infecté. Auparavant, il était diffusé par Angler : au début de cette année, des chercheurs de chez Cyphort ont publié un rapport sur une de ces cybercampagnes qui reposait sur des bannières malveillantes de redirection et sur l’utilisation de Bedep en guise de téléchargeur.

Le correctif pour la vulnérabilité 0jour dans Flash (confusion des types de données) a été diffusé en urgence le12 mai. Cette faille avait été découverte la veille par un chercheur de FireEye dont l’attention avait été attirée par la présence de codes d’exploitation dans la nature. Ces codes d’exploitation étaient intégrés à des documents Microsoft Office, eux-mêmes hébergés sur des sites des individus malintentionnés et accessibles via des adresses DNS dynamiques. Pour procéder à l’infection, les attaquant utilisaient des adresses Internet diffusées par spam ou des pièces jointes malveillantes.

D’après les données de FireEye, ces premières attaques utilisaient des codes d’exploitation pour Flash version 21.0.0.196 et suivantes. L’infection se déroulait en plusieurs étapes : l’exécution du code d’exploitation entraînait le lancement d’un shell code qui téléchargeait et exécutait un autre shell qui, à son tour, téléchargeait et exécutait le malware principal tout en affichant pour l’utilisateur un document de dissimulation. Cette opération entraînait l’ouverture d’une backdoor sur l’ordinateur. Les attaquants pouvaient ainsi commencer à envoyer des commandes à l’ordinateur.

Le kit d’exploitation Magnitude a été beaucoup utilisé ces derniers temps pour propager Cerber, un ransomware capable de demander le paiement de la rançon de vive voix. Au début du mois d’avril, des chercheurs de chez Proofpoint ont découvert que pour diffuser ce ransomware, Magnitude avait commencé à utiliser la vulnérabilité CVE-2016-1019 dans Flash, une autre vulnérabilité 0jour dans ce logiciel qu’Adobe avait du également être éliminée d’urgence. Ce même code d’exploitation était utilisé par Nuclear pour diffuser un autre ransomware : Locky.

Pour conclure, il fau signaler que l’activité de Cerber a fortement augmenté après que ses opérateurs ont pu accéder à l’infrastructure de Dridex (diffusion de spam).

Fonte: Threatpost

Vulnérabilité 0jour récente utilisée dans un kit d’exploitation

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception