Tous chauds sortis du dernier « Symantec Intelligence Report« , le niveau de spam et le pourcentage de maliciels par message, globalement en baisse, et conforme aux prévisions.
Un poil supérieur à la moyenne mondiale quand même…
Mais un bon cran en dessous ici :
Si le coeur vous en dit, le rapport complet est là :
http://www.symanteccloud.com/en/us/mlireport/SYMCINT_2011_10_October_FINAL-en.pdf
On l’avait dit et répété, il y a un « avant » et un « après » Stuxnet.
La descendance s’annonce.
Voici donc w32.duqu, dont la principale caractéristique de reprendre plus de 50% du code de « Papa », comme tout bon fiston qui se respecte.En l’occurrence, il est certain que les auteurs ont eu accès au code source de Stuxnet, soit parce qu’il le possédait déjà (!), soit parce qu’ils ont pu se le procurer d’une manière ou d’une autre.
Cette fois, même si le type de cible ultime pourrait être assez proche (autour des systèmes de contrôles industriels), la fonction est bien différente puisque clairement orientée vers le vol d’informations confidentielles
En résumé :
Des informations plus détaillées sont disponible sur le blog de Symantec Response :
http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet.
Ainsi qu’un « white paper » encore plus fouillé ici :
Mais les analyses se poursuivent…donc à suivre.
Certains maliciels sortent du lot. C’est le cas de W32.Xpaj.B, classé parmi les plus complexes et sophistiqués en terme d’infection de fichier. Ce qui a piqué la curiosité des chercheurs, qui ont fini par découvrir une vaste infrastructure de « fraude aux clics », récupérant au passage toutes les statistiques de l’opération !
Nombreuses machines, nombreux développements, plusieurs pays, le plein de clics, pour un gain (hors taxe !) de plus de 60.000 $ par an.
Gains en dollar entre septembre 2010 et juin 2011
Le principe, rappelons-le est de générer du revenu en détournant les différents systèmes de rémunération existants autour de la publicité sur internet, big business (!), et notamment basés sur les recherches lancées par les internautes. L’achat de mots-clefs qui propose l’affichage de liens « sponsorisés » représentent un chiffre d’affaire important pour les moteurs de recherche.
Par ailleurs, avez-vous déjà observé la soudaine pertinence des pubs et autres bannières après une recherche sur un bien de consommation ?
Tous les détails et de nombreux schémas dans le document suivant : W32.Xpaj.B, Making easy mony from complex code
Un petit clic pour le plein de cash…
Dans la grande série « ON AURA TOUT VU », voici Android.Walkinwat, une fausse version de l’application Android Walk&Text.
L’application contrefaite est disponible sur certains sites de partages renommés, et se comporte de manière très intéressante !
Heureusement, le taux d’infection potentiel est très limité…
Dans un premier temps, l’application « sermonne » l’utilisateur quand à l’installation d’application, comment dire, illégitime :
Puis dans un second temps, vole les coordonnées du SmartPhone (nom, numéro, IMEI…) et après, envoie un message à tout le carnet d’adresse !
Finalement, il suggère à l’utilisateur berné de surveiller sa note de téléphone et lui propose d’acheter la vraie application Walk&Text…
Trop la honte !!!
Petite brève pour signaler que malheureusement les applications Android malveillantes ne se trouvent plus uniquement sur des « markets » parallèles, voir « underground » mais bien maintenant sur LE vrai « market android »
Avec le même type de fonctionnement et les mêmes possibilités ce celle décrites dans mon article précédent…
Ces applications auraient été téléchargées à plusieurs dizaine milliers d’exemplaires durant les 4 jours de présence, avant d’être retirées par Google.
Liste des applications infectées :
Editeur: kingmall2010
Applications:
Editeur : myournet
Applications:
Editeur : we20090202
Applications:
A vérifier également la présence de « com.android.providers.downloadsmanager » (DownloadManageService) dans les paramètres “running services“ du smartphone.
Selon une étude publié en janvier dernier par le Gartner Group, le marché des applications pour smartphones se porte plutôt bien !
Quelques chiffre$ :
OUF ! ça calme…..même en imaginant une sur-estimation de moitié, bref, cela en fait des sous !
Et là, les cyber-criminels se diraient : « bah, on a déjà assez gagné d’argent via les ordinateurs personnels, on va laisser les smartphones tranquilles« .
Sérieusement ?
Parlons maintenant de notre dernière trouvaille, j’ai nommé Android.Pjapps, cheval de Troie, qui en l’occurrence a été inséré dans l’incontournable application « Steamy Window » pour en créer une version infectée, disponible sur les marchés Android « parallèles »…pourtant absolument infréquentables, cela va sans dire.
Mais bon, certains s’y approvisionnent quand même et voilà le travail : un cheval de Troie Android, capable de monter un botnet, d’installer d’autres applications, naviguer sur le net, ajouter des signets, envoyer des SMS (Smishing), bloquer des messages entrants (ceux du fournisseur d’accès) et même renvoyer les informations confidentielles à l’auteur (EMEI, numéro d’appareil, numéro de téléphone…).
Il est donc toujours plus important :
Joyeux anniversaire Conficker ! Enfin, si l’on peut dire, car c’était bien en janvier 2009 que le « phénomène » commençait à prendre de l’ampleur. Une année plus tard, c’est « Hydraq » qui défraye la chronique. Même si entre temps d’autres programmes malveillants ont fait parler d’eux, les caractéristiques globales de Conficker et Hydraq sont intéressantes à confronter, car finalement très différentes.
Ceci reste une vision très simplifiée de la situation à fin janvier; plus de détails techniques sont disponibles en suivant les liens proposés plus bas.
CONFICKER |
HYDRAQ |
|
| Type de Maliciel (caractéristiques majeures) | Ver Conficker se distingue principalement par ses capacités de propagations variées. | Porte dérobée L’essentiel de Hydraq se concentre vers les fonctions de contrôle à distance. |
| Vecteur d’infection | Multiple, auto-propagation Vulnérabilité systèmePartages réseauP2P | Simple Vulnérabilité navigateur |
| Vulnérabilité ciblée Bulletin de sécurité MS | CVE-2008-4250 MS08-67 | CVE-2010-0249 MS10-02 |
| Vulnérabilité « Zéro Day » | NON La vulnérabilité a été révélée conjointement à la mise à disposition d’un correctif | OUI Diffusion du correctif une semaine environ après la découverte de la vulnérabilité |
| Command & Control | Complexe Communication vers de multiples domaines créés de manière aléatoire, parallèlement au P2P. | Simple Un seul domaine codé « en dur », rapidement identifié et fermé. |
| Diffusion | Large Conficker s’est rapidement propagé sur des millions de machines, et reste actif à ce jour. | Réduite Hydraq est utilisé pour des attaques très ciblées et de ce fait très peu répandu, pour l’instant. |
| Systèmes de défense | Considérable Conficker embarque de nombreuses techniques pour se protéger | Faible Utilisation de la technique du « code spaghetti » |
| Système de mise à jour | Intégré Le système de mise à jour est très sophistiqué et automatisé. | Manuel La mise à jour est théoriquement possible mais non automatique. |
| Variantes | Plusieurs 3 variantes majeures (A,B,C) puis d’autres mineures | Non-significatif Quelques infimes variations du code. |
| Fonctionnalités | Pauvres Conficker se comporte plus comme une plateforme de téléchargement ouverte à d’autres activités malveillantes (BotNet, Facticiels…), voire à la location. | Riches Les options disponibles dans Hydraq autour de la prise de contrôle à distance sont puissantes, avec notamment la possibilité de « voir » la machine infectée via des outils de type VNC. |
| Motivation principale | Profits financiers Approche cybercriminelle « classique » qui cherche des profits rapides. | Vol d’information Un « retour sur investissement » à plus long terme, en fonction des informations dérobées. |
| Détection | Facile | Facile |
| Suppression | Complexe A cause des mécanismes d’auto-défense et des ré-infections successives au sein d’un réseau local | Aisée Aucune technique de camouflage |
| Mesures de protection | Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération. | Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération. |
Globalement, Conficker est un maliciel dont le développement à surtout porté sur les vecteurs de propagation, les techniques de mise à jour et les mécanismes de défense, mais sans réel potentiel d’attaque une fois en place, misant sur le téléchargement ultérieur d’autres menaces. Hydraq en revanche, s’il reste plus simple en matière d’installation et d’auto-défense, possède un large panel de fonctionnalités à disposition de l’attaquant, jusqu’au contrôle complet de la machine, écran, clavier souris compris.
Voici d’ailleurs une vidéo très explicite :
Alors, approches différentes ou évolution plus profonde ? Plus certainement une adéquation au besoin et au but recherché. En tout état de cause, le soin et le temps consacré au développement et « lancement » de ces « produits » (estimation grossière de 3 à 4 mois pour Conficker, la moitié pour Hydraq) démontre les capacités techniques, organisationnelles des auteurs et/ou donneurs d’ordres, qu’il serait particulièrement dangereux de sous-estimer.
Conficker/Downadup :
Hydraq :
http://www.symantec.com/connect/blogs/trojanhydraq-incident
http://www.symantec.com/connect/blogs/hydraq-vnc-connection
PS : un grand MERCI à Nicolas pour son aide !
Deux copies d’écrans histoire d’illustrer les risques à cliquer sur des sites infectés par des cyber-pourris, qui essayent de tirer partie du malheur Haïtien en piègant les e-donnateurs potentiels.
Dans ce cas, ce n’est pas le détournement de don qui est visé, mais bien l’installation d’un facticiel sur la machine de l’internaute.
1) La recherche :
2) si l’on clique sur le lien indiqué ci-dessus, voici ce mon Norton Internet Security 2010 me dit :
Pour l’anecdote, l’attaque vient de Jamaïque, bien que je doute fortement que l’impétrant soit Jamaïcain.
ATTENTION, ces exercices sont réalisés par des professionnels, ne pas les reproduire à la maison !!!
Il fallait s’y attendre, eh bien oui, plus du tiers des sites les plus malfaisants du monde sont catégorisés « Adultes » ! Ces informations proviennent du site http://safeweb.norton.com , qui outre vous donner le degré de dangerosité d’un site AVANT d’y mettre les clics, remonte périodiquement des statistiques.
Ajoutons quelques infos :
A noter cependant (et à l’instant même) un probable nouveau record avec un site plutôt inoffensif à priori, mais qui recelle à lui seul 133741 risques de sécurité. Inutile de dire qu’il serait stupide d’y aller…
Désolé pour ceux qui attendaient du plus « croustillant » (j’ai les noms…) 
Et pour mémoire, l’orgueil et la colère, c’était là
Dans la famille des « Ransomware » (alors là, je sèche pour la VF…peut-être racketiciel ?…mouais pas top 
..), le petit dernier : Trojan.Ramvicrype !
Le principe de l’affreux est de chiffrer les fichiers de la machine cible via un algorithme RCA, les rendant de ce fait inutilisables. La présence de fichiers à l’extension .viCrypt est un signe certain d’infection. Evidemment, si comme cela peut arriver, des fichiers systèmes font partie du lot, le bon fonctionnement de Windows peut être impacté.
Quoi qu’il en soit, et à la différence de ses prédécesseurs, point de message de demande de rançon explicite !
La victime cherchera probablement alors sur son moteur de recherche préféré le mot-clef « viCrypt » et trouvera opportunément un site proposant la suppression de l’intrus et le déchiffrement des fichiers !
Air connu non ?
Bref, en cas de problème, vous trouverez ici un outil de désinfection sûr et gratuit.
