PROFESSIONNALISATION DES CYBER-DELINQUANTS

La sécurité informatique est un art ingrat et profondément déséquilibré !

D’un côté, les DSI : des professionnels qui ont pour mission de protéger le système d’information 24/24 et 7 jours sur 7 contre toutes les formes de menaces possibles et imaginables. Et ce, en restant dans un cadre légal très strict, leur interdisant toute contre-attaque ou mesure offensive. Sans compter les contraintes de production et de disponibilité allant parfois à l’inverse de ce que la sécurité nécessiterait. Lire la suite

Arrestation du Chef présumé du Gang à l’origine du logiciel malveillant Reveton

Les forces de police espagnoles annoncent l’arrestation de l’un des chefs présumés du gang des cybercriminels à l’origine du ransomware Reveton. Ce logiciel malveillant, s’installe sur l’ordinateur à l’insu des utilisateurs pour paralyser la machine. Un message explique que l’utilisateur aurait transgressé une loi et qu’il doit s’acquitter d’une amende. La parfaite logique du Ransomware.

Lire la suite

Quand les RATs se déguisent…

On ne parle pas du rongeur, mais bien des trojans 😉

Mes collègues Nart Villeneuve et Jessa Dela Torre, du TrendLabs, ont publié une étude sur quelques RATs utilisant des flux de callback originaux. Ces trojans, nommés FAKEM RAT par nos services, font partie de campagnes d’attaques ciblées menées via spear-phishing, utilisant des vulnérabilités Microsoft Word (CVE-2010-3333, CVE-2012-0158) pour “dropper” et exécuter le binaire sur les machines cibles. Classique “dorénavant” mais très efficace.

L’originalité des FAKEM RATs vient des protocoles de “callback”, nécessaires pour le contrôle du RAT, qui vont se faire passer pour des flux MSN, Yahoo ou HTML*. En creusant un peu,  Nart et Jessa ont mis en évidence que ces flux C&C n’utilisent simplement que les entêtes MSN ou Yahoo pour spoofer les protocoles correspondants, suffisant pour bypasser certains proxys et firewalls next-gen. La version FAKEM HTML utilise du code HTML, aussi bien en envoi qu’en réception ; original car le langage HTML est plutôt utilisé comme réponse d’un serveur pour la mise en forme de la page sur le navigateur, très peu en envoi par le client. Mes collègues ont utilisé des “honey pot” pour déterminer les capacités du RAT sur le système infecté. Résultat : Exécution shell, browsing directory, contrôle des process, accès aux RegKey…

D’après les IP et DNS des serveurs C&C, ainsi que d’autres éléments nommés dans les souches, toutes les versions de FAKEM RAT sont issus du même groupe de cybercriminel.

* : Je sais, le flux HTML n’existe pas… Je parle bien sûr de code HTML over HTTP 😉

Source : http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-fakem-rat.pdf