🛡️ Vous voulez des programmes, jeux piratés, des cracks ? Obtenez des Stealers, ransomwares, crypteurs de monnaies

[Parisien_entraide]

En 2020 Malekal titrait : Les sites de cracks pour distribuer des malwares : ça marche encore bien en 2020
https://www.malekal.com/les-sites-de-cr ... n-en-2020/


Nous somme en 2024 et... Cela fonctionne toujours aussi bien et même cet article de 2006 est toujours d'actualité
Le danger des cracks et des keygens viewtopic.php?t=893


Pour ceux/Celles qui ne connaitraient pas ce que sont les cracks et keygens : https://www.malekal.com/crack-ou-keygen ... -que-cest/

Un petit nouveau prometteur : Luca Stealer https://www.malekal.com/vol-mots-de-pas ... teurs-web/
(Que l'on retrouve sous différentes formes et différents noms, mais le fond est le même : Il vole les données

Ex d'évolution de KMS : viewtopic.php?t=69838


Tout ce qui figure ci dessous est valable dans le cadre d'une utilisation "normale" du PC
Cela ne protège pas infections "volontaires" avec des jeux ou programmes crackés


Sécuriser son PC
viewtopic.php?t=74495

Sécuriser son PC en Windows 10 ou Windows 11 : 17 astuces
https://www.malekal.com/securiser-pc-wi ... hp?t=21270

Ce n'est pas visible ici (j'ai caché le nom du site) mais ce qui ressort de la recherche, ce sont des faux sites qui ressemblent aux vrais sites d'hébergement pirates
Si maintenant on ne peut plus faire confiance aux VRAIS sites de pirates, où va t' on ? :-)

Une partie de ce qui rend ce type de menace si efficace est qu'il cible les individus qui recherchent des logiciels piratés et que souvent il y a de nombreuses redirections, ou des sites "pop up" qui offrent le programme recherché sur un plateau

seo.jpg

Le plus souvent, les fichiers d'installation sont stockés sur des sites d'hébergement de fichiers, et l'utilisateur y est simplement redirigé pour les télécharger.
Au moment où je tapote les sites utilisés dans ces campagnes :

Code : Tout sélectionner

xproductkey[.]com 
allcracks[.]org 
prolicensekeys[.]com 
deepprostore[.]com 
steamunlocked[.]un 
getmacos[.]org

Ne pas négliger les sites "foireux" (malgré les commentaires) de type

xxx.r2rdownload.com
xxx.elephantafiles.com

et les biens connus sites , où 100% des utilisateurs du forum qui étaient infectés s'étaient retrouvés avec un stealer

Code : Tout sélectionner

- fitgirl  :   www.fitgirl-repack
- repack games   ; https://repack-games.com/

Je passe outre les habituels liens MEGA "offerts par des utilisateurs "dévoués" et "sympathique" toujours prêts à rendre service, sur certaines forums, en discord, sur youtube etc

Idem les liens Youtube où est présenté un programme et un lien pour un crack, avec des commentaires.. "élogieux"
Idem sur Discord du reste etc


Edit du 12/11/2024 :
Comment YouTube est utilisé pour diffuser des trojan
https://www.malekal.com/youtube-trojan/


Les principaux logiciels visés sont évidemment ceux qui sont le plus recherchés
Je n'ai pas tout mis la liste serait trop longue mais on y trouve aussi bien des programmes connus en productivité, que des cracks de Windows, viewtopic.php?t=69838 et le comble de la bêtise pour ceux qui récupèrent (mais elle est sans limite) des Antivirus crackés
Je n'ai pas indiqué de jeux mais ils en font partie, puisqu'une majorité de ceux qui récupèrent des jeux piratés s'en servent pour créer des comptes sur les plates formes habituelles (ORIGIN, Steam etc) afin de tester des programmes de triches (qui maintenant sont aussi vérolés :-)

Si les tricheurs se font voler leurs données, si leur PC subit un ransomware, je ne vais pas compatir, bien au contraire

Code : Tout sélectionner

3DMark 
Avast Premier security
Adobe Acrobat Pro 
Adobe Lightroom, InDesign, Illustrator, Photoshop, Première, ... des "brushes pour Photoshop
Antidote
AutoCad (Autodesk)
CCleaner PRO Plus/ultimate
Corel Paint shop PRO
Cubas pro
Da Vinci
DxO Filmpacks
Express VPN 
FL Sutio 24
Glary Utilites
Iobit driver booster PRO

KMS Tools portable
KMSSpico

MalwareBytes
Microsoft Office pro
Nuance Omnipage
PowerISO
Revo uninstaller PRO
Solid Works
Utorrent Pro
Vegas Pro
Virtual DJ
Visite virtuelle 3DVista Pro 
Winrar en version "finale"

Des outils pour les smartphones
Tenorshare 4uKey  (C'est juste un exemple)
Et d'autres dont pour récupérer des mots de passe,  craquer IOS etc


Des Suite de récupération de données (Minitools etc)
Des programmes liés à l'audio pour les musiciens (Cubase, Garage Band, Ableton, Guitar Pro ...)
.....

Là aussi rien que du classique

La petite différence vient dans les packages
AVANT on avait un programme, et le crack à coté soit en .exe soit sous forme de clé fournie dans un fichier .TXT (ce .TXT rassurait)
Cela n'empêchait pas d'avoir le programme vérolé ou le crack, mais les fichiers étaient "en l'état"

MAINTENANT (Disons depuis 1 ou 2 ans) on voit de plus en plus une archive ZIP protégée par mot de passe
Le mot de passe vient ensuite dans un fichier texte TXT. et sert à déverrouiller l'archive .zip

Cette approche permet à la fois de rassurer l'utilisateur qui pense à juste titre qu'un vrai fichier texte n'est pas dangereux, mais permet aussi de contourner les scanners antivirus lors du téléchargement.

Reste aussi les archives .RAR, surtout que nombre d'utilisateurs (on le voit sur le forum en 2024) utilisent souvent une version.. Crackée, d'un WinRar dont la version est inférieure à la version 6.23, qui a une faille exploitée pour les cracks malveillants
A lire
viewtopic.php?p=554708


Lorsque les utilisateurs visitent des faux sites et cliquent pour télécharger, ils subissent immédiatement de multiples redirections qui obscurcissent le processus de détection par les moteurs de recherche, les scanners anti virus et les livrent finalement à un site malveillant hébergeant le contenu prévu par l'auteur de la menace - un malware info stealer comme celui présenté ci-dessous par exemple

programme.jpg

L'utilisateur peut penser à un fonctionnement "normal" du site, mais de toutes les façons, il est dans un effet tunnel parce qu'il le veut ce programme, et ira même parfois/souvent, désactiver l'antivirus pour pouvoir s'en servir
Cela semble paradoxal, car souvent ces personnes recherchent le "meilleur antivirus" justement pour ne pas se faire infecter avec des cracks (ce qui est globalement utopique) ou après avoir été infecté (parce qu'ils veulent continuer à récupérer des cracks)


Après être arrivé à la destination finale et avoir terminé le téléchargement, la charge utile finale reçue dans l exemple ci dessus, est un fichier d'archive zip d'une taille inférieure à 10 Mo.
Dans ce cas, l'URL d'hébergement de logiciels malveillants est un répertoire ouvert contenant plus de 3000 fichiers d'archives zip malveillants se faisant passer pour des types courants de logiciels piratés, comme illustré ci dessous

2022-08-28_123431.jpg

Dans plusieurs campagnes différentes, depuis le mois de juin, il a été observé que même des sites de confiance comme Mediafire ou Discord étaient également utilisés pour héberger des logiciels malveillants dans plusieurs campagnes différentes.

En plus cela peut se faire par rebond
Une personne est infectée, il a une chaine Youtube.
La chaine Youtube sera piratée (ils ont les données d'accès puisque volées) et là où c'est subtil, c'est que la chaine youtube diffusera des vidéos de cracks divers, en donnant des liens qui contiendront des malwares
L'idéal pour les malfaisants étant de trouver une chaine Youtube avec beaucoup d'abonnés (l'utilisateur peut etre ciblé pour cela)


LES DETAILS DE FONCTIONNEMENT


En gardant le meme exemple de programme dont j'ai caché le nom on a donc au final dans le fichier téléchargé un fichier d'archive compressé qui contient une archive zip protégée par mot de passe et un fichier texte déguisé pour contenir les mots de passe stockés.

Après décompression, le poids du contenu est de 600 Mo, en utilisant la technique de "l'aplatissement des données" - une manière bien connue de placer des données en mémoire, ce qui permet d'éviter l'analyse dans ce cas.
Il s'agit en fait de rembourrage d'octets qui ne sont pas pertinents pour l'exécution du programme mais qui sert à tromper et à échapper à la détection par les moteurs de sécurité.
Le fichier contient également des vérifications Anti-VM et Anti-Debug.
Suite à cela, le processus de vidage supprime les octets non pertinents en réduisant la taille du fichier dans cet exemple de 600 Mo à 78 Ko

Le fichier exécutable dans les archives est le programme malveillant qui va récupérer la charge utile
Une fois le fichier exécuté, il génère une commande PowerShell codée qui lance un processus cmd.exe au bout d'un délai de 10 secondes.
Ces dix secondes sont là pour pour éviter le sandboxing
Ensuite il télécharge un fichier JPG dans le système du nom de "windows.decoder.manager.form.fallout15_Uwifqzjw.jpg (toujours pour cet exemple)
qui s'avère en fait être une DLL.

La DLL finale est le célèbre malware RedLine

Celui ci va donc voler vos informations et il est capable d'extraire des données des navigateurs, des signets, des cookies, des portefeuilles crypto, des VPN, etc.

Edit d'octobre 2023 : On voit également le vol des données dans "'documents" et autres dossiers, ce qui est souvent intéressant à récupérer puisque les utilisateurs stockent des pièces d'identité, des fiches de paie, documents administratifs divers (CAF etc) avec... l'identité, adresse, mail, téléphone, et même des données bancaires
Là on passe une étape puisque tout cela pourrait servir au mieux à du phishing, mais SURTOUT à de l'usurpation d' identité où il faut souvent plusieurs années pour s'en débarrasser


Les auteurs de logiciels malveillants utilisent généralement des packers et des protections pour la compression et pour envelopper le logiciel dans une couche supplémentaire de code déguisé afin d'échapper à la détection.
Les packers gagnent également en popularité pour les techniques anti-VM et anti-débogage qu'ils proposent, qui permettent aux logiciels malveillants de naviguer efficacement dans le système, d'éviter la détection et de s'exécuter plus facilement

Il y a quelques années, ces "enveloppes" pouvaient changer 1 500 fois par heure..
AUCUN antivirus ne peut suivre
La détection se fera par d'autres moyens comme à l'exécution, mais il sera souvent trop tard

En plus les nouvelles générations de Trojan Stealer, une fois leur méfait accompli, peuvent s'auto détruire après donc la récup de données ce qui fait que l'Antivirus ne voit rien lors d'un scan, ou que les rapports FRST n'indiquent rien de spécial, du moins par un oeil qui n 'est pas aguerri, car tout repose sur les compétences du helpeur qui verra par certaines lignes des rapports qu'il s'est passé quelque chose, et du fait de certains dysfonctionnements (liés à ce que le malware a neutralisé/modifié etc)

Je n'ai plus l'ex en tete mais il y en a fortement optimisés, qui sur une machine moderne/puissante peuvent agir en ... 1/10 de seconde
Cela rappelle certains ransomware qui lisent très rapidement la table d'allocation (ou comme des programmes sains comme everything) et sont capables de crypter un disque de 8To en moins de 10 secondes)
En fait vu qu'ils ciblent certains dossiers, certains fichiers, le scan et infection sera plus rapide qu'un programme comme Everything qui lui scanne tout

Les IP contactées se retrouvent dans les fichiers de paramètre de Chrome qu'ils modifient, et également de certains modules qui font des accès extérieurs... dont des mises à jour par ex (un peu comme on peut le voir avec Firefox qui contacte certaines IP dont Mozilla)
Le navigateur est autorisé par le firewall, et il faudrait en fait analyser tous les appels extérieurs.


REDLINE

La charge utile DLL contient un logiciel malveillant RedLine Stealer qui cible l'historique de votre navigateur stocké, il est masqué par un crypteur et compilé en mémoire par le chargeur. Le chargeur charge la DLL et la remplace par le contexte de thread actuel.

Ce RedLine Stealer est conçu, comme il a été dit, pour voler les mots de passe de navigateur stockés, les données de saisie semi-automatique, y compris les informations de carte de crédit, ainsi que les fichiers et portefeuilles de crypto-monnaie.

Il faut savoir que depuis 2020 RedLine est devenu le principal fournisseur de données volées aux forums du dark web, devançant même le célèbre RACOON
A gauche sur les sites de ventes russe, à droite sur les autres sites de ventes à travers le monde

2022-08-28_132328.jpg

Autres détails : https://malpedia.caad.fkie.fraunhofer.d ... ne_stealer
L'actualité Redline https://www.bleepingcomputer.com/tag/redline/ (pour l'instant vous ne verrez pas cette news qui n'est pas encore connue)
_________________

Ces faux sites délivrent également le malware RecordBreaker Stealer, livrés sans l'utilisation de services d'hébergement de fichiers légitimes en utilisant à la place des outils de conditionnement de logiciels malveillants tels que Themida, VMprotect et MPRESS,
Et ils vont même proposer de désactiver les programmes de sécurité actifs

2022-08-28_125740.jpg

Ensuite c 'est du grand classique,
Après exécution, le logiciel malveillant communique avec le serveur C2 et renvoie l'ID de la machine et l'ID de configuration avant de télécharger les bibliothèques requises à partir du serveur distant.

Ex d'infos récupérées

2022-08-28_131837.jpg

RecordBreaker est conçue pour voler des informations de navigateur à partir d'extensions, notamment : MetaMask, TronLink, BinanceChain, Ronin, MetaMask, MetaX, XDEFI, WavesKeeper, Solflare, Rabby, CyanoWallet, Coinbase, AuroWallet, KHC, TezBox, Coin98, Temple, ICONex, Sollet, CloverWallet, PolymeshWallet, NeoLine, Keplr, TerraStation, Liquality, SaturnWallet, GuildWallet, Phantom, TronLink, Brave, MetaMask, Ronin, MEW_CX, TON, Goby et TON en utilisant les ID d'extension fournis par le serveur C2

Il vole également les cookies
Voir cet article https://www.malekal.com/quest-ce-que-l ... e-session/

cookie.jpg

Cela devient très classique là aussi mais en plus sophistiqué on trouve le "LUCA Stealer," capable de piquer les login/mot de passe meme si une extension de gestion de mots de passe est installée, comme Keepass par ex (mais sur Chrome/chromium)
https://www.bleepingcomputer.com/news/s ... er-forums/
- C'est le seul qui pour l'instant arrive à passer outre les coffre forts sur Chrome/Chromium
- C'est le premier écrit en RUST (ce qui accroit la difficulté pour l'analyser)
- Il est assez élaboré d'après le code source et surtout... ce code source est dispo depuis le 3 juillet pour qui veut y ajouter des fonctions


Au final quelque soit le stealer, cela peut entraîner des pertes financières, le vol d'identité et d'autres formes de fraude et d'extorsion.

Et ces deux la ne sont pas les seuls que l'on retrouve dans les programmes crackés
Ex https://www.bleepingcomputer.com/news/s ... are-sites/
et https://www.trendmicro.com/en_us/resear ... ealer.html



Vous êtes toujours partant pour rechercher des cracks ?


__________

ANNEXE

Les IP Malveillantes (juste pour info ca ne croyez pas être protégés pour autant en collant tout cela dans Hosts par ex) et n'essayez pas non plus de coller ces IP dans votre navigateur
Par ex 45.150.67[.]175 va ramener /aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/msvcp140.dll

Code : Tout sélectionner

45[.]150[.]67[.]175
94[.]158[.]244[.]119
45[.]135[.]134[.]211
194[.]180[.]174[.]180
185[.]250[.]148[.]76
37[.]221[.]67[.]219
45[.]140[.]146[.]169
94[.]140[.]114[.]231
94[.]158[.]244[.]213
45[.]142[.]212[.]100
194[.]180[.]174[.]187
194[.]180[.]174[.]186
135[.]181[.]105[.]89
77[.]91[.]102[.]88
77[.]91[.]103[.]31
94[.]158[.]247[.]24
85[.]239[.]34[.]235
45[.]67[.]34[.]234
45[.]67[.]34[.]238
45[.]142[.]215[.]92
45[.]153[.]230[.]183
45[.]152[.]86[.]98
74[.]119[.]193[.]57
77[.]91[.]74[.]67
146[.]19[.]247[.]28
77[.]91[.]102[.]115
45[.]159[.]251[.]21
146[.]19[.]247[.]52
45[.]142[.]215[.]50
45[.]133[.]216[.]170
193[.]43[.]146[.]22
193[.]43[.]146[.]26
146[.]70[.]124[.]71
193[.]43[.]146[.]17
146[.]19[.]75[.]8
45[.]84[.]0[.]152
45[.]133[.]216[.]249
45[.]67[.]34[.]152
45[.]133[.]216[.]145

Idem pour les FAUX Sites qui comportent TOUS des malwares de type stealer
Les VRAIS sites peuvent être tout autant infectés et avec d'autres malwares

Code : Tout sélectionner

fullcrack4u[.]com
activationskey[.]org
xproductkey[.]com
saifcrack[.]com
crackedpcs[.]com
allcracks[.]org
aryancrack[.]com
prolicensekeys[.]com
applications-pour-pc[.]com
bagas3-1[.]com
seostar2[.]xyz
keygenwin[.]com
nuage27[.]xyz
touspcsoftwares[.]info
deepprostore[.]com
numéro de série[.]info
steamunlocked[.]un
fichier-store2[.]xyz
reallkeys[.]com
fullcrackedz[.]com
softwaresdaily[.]com
officiels-kmspico[.]com
hotbuckers[.]com
mycrackfree[.]com
procfullcracked[.]com
idmfullcrack[.]info
drake4[.]xyz
crackedsofts[.]info
getintopc[.]numérique
piratespc[.]net
apxsoftwares[.]com
crackfullpro[.]com
toutcrackici[.]info
kuyhaa-moi[.]pw
crackplace[.]com
freepccrack[.]com
proapkcrack[.]com
crackfullpc[.]com
Gratuit-4payé[.]com
lien fissuré[.]com
crackpropc[.]com
cracktube[.]net
getmacos[.]org
getwindowsactivateur[.]info
playzipgames[.]co
proactivationkey[.]com
procracfree[.]com
showcrack[.]com

[Parisien_entraide]

REDLINE va t-il se faire distancer dans la course aux vol de données ?

2022-09-27_131538.jpg

C'est possible avec l'arrivée d' ERBIUM

Son avantage : Pour ceux qui veulent l utiliser

- Son prix d'achat est d'un tiers de celui de REDLINE (même si il est passé de 9$ par semaine à 1 000$/mois du fait de sa popularité grandissante)
- Un grand suivi de la part de l'auteur qui est très à l'écoute de "ses clients" utilisateurs et hackers
- Un bon support "client"
- Des fonctions étendues
- Il ne s'occupe pas que des programmes et jeux, mais EGALEMENT des programmes de triche pour les jeux (dommage qu'il faille diffuser ce type d'information pour être objectif dans la présentation :-)

Au passage : La complainte du tricheur dans les jeux vidéos
viewtopic.php?t=70788

2022-09-27_132927.jpg

QUE FAIT IL ?

La même chose que les autres : Voler les informations d'identification des victimes et les portefeuilles de crypto-monnaie. mais avec un champ d actions plus large

- Erbium volera les données stockées dans les navigateurs Web (basés sur Chromium ou Gecko), tels que les mots de passe, les cookies, les cartes de crédit et les informations de remplissage automatique.
- Il tente également d'exfiltrer les données d'un grand nombre de portefeuilles de crypto-monnaie installés sur les navigateurs Web en tant qu'extensions.
- Des portefeuilles de bureau froids comme Exodus, Atomic, Armory, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash et Jaxx sont également volés.

Erbium vole également les codes d'authentification à deux facteurs de Trezor Password Manager, EOS Authenticator, Authy 2FA et Authenticator 2FA.
Il peut effectuer des captures d'écran de tous les moniteurs, arracher des jetons Steam et Discord, voler des fichiers d'authentification Telegram et profiler l'hôte en fonction du système d'exploitation et du matériel.


En détails

- Capture d'écran du bureau de tous les moniteurs.
- Informations sur le PC (CPU, GPU, DISK, RAM, nombre de moniteurs, résolutions de moniteur, résolutions de moniteur, MAC, version Windows, propriétaire Windows, nom du PC, architecture du PC, clé de licence Windows)
- Mots de passe (dont avec les logiciels de gestions de mots de passe) , cookies, historique, cartes, remplissage automatique des navigateurs les plus populaires basés sur Gecko et Chromium avec en priorité (dans le désordre) les navigateurs : Cyberfox, Firefox, K-Meleon, BlackHawk, Pale Moon, Google Chrome, et messagerie Thunderbird.
- Portefeuilles froids des navigateurs (MetaMask, TronLink, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaxx Liberty, BitApp Wallet, iWallet, Wombat, MEW CX, GuildWallet, Saturn Wallet, Ronin Wallet, NeoLine, Portefeuille Clover, Portefeuille Liquality, Terra Station, Keplr, Sollet, Portefeuille Auro, Portefeuille Polymesh, ICONex, Portefeuille Nabox, KHC, Temple, TezBox, Portefeuille Cyano, Byone, OneKey, LeafWallet, DAppPlay, BitClip, Porte-clés Steem, Extension Nash , Client Hycon Lite, ZilPay, Portefeuille Coin98, Harmonie, KardiaChain, Rabby, Fantôme, Portefeuille Cristal TON)
- Autres plugins de navigateur (Authenticator, Authy, Trezor Password Manager, GAuth Authenticator, EOS Authenticator)
- Steam (liste des comptes et fichiers d'autorisation, jetons)
- Discord (jetons)
- Clients FTP (FileZilla, Total Commander)
- Télégramme (fichiers d'autorisation)
- Portefeuilles de bureau froids (Exodus, Atomic, Armory, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash, Jaxx)
- Il peut obtenir la géolocalisation du système victime.
- Les codes d'authentification à deux facteurs de Trezor Password Manager, EOS Authenticator, Authy 2FA et Authenticator 2FA.




MODES DE DIFFUSION

Par le très classique phishing (et ses nombreuses variantes car il n'y a pas que le mail), ou mieux par spear phishing (technique ancienne qui consiste a envoyer des courriels parfaitement personnalisés et soignés, qui redirigent les victimes vers des sites malveillants uniquement accessibles par ce biais) , des publicités malveillantes, et bien entendu par les cracks de programmes et jeux, ET ce qui est plus rare de triches pour les jeux

On note également des videos YOUTUBE proposant des cracks etc dans les descriptifs avec bien entendu de faux commentaires, et également des prises de contact sur DISCORD pour faire télécharger sous divers pretextes un peu de tout sous pretexte d'aider, de s'excuser (comme sur Steam) d'avoir dénoncé la personne comme trichant et voulant se racheter et faire intervenir un admin pour débannir etc
Bref les pretextes ne manquent pas (-ils ont de l'imagination)

Donc oncernant les infections avec les programmes de triche, cela avait commencé tout doucement avec des liens mediafire, donnés sur certains forums, et videosYOUTUBE , mais ce n'est que le début :-)
Ils opèrent également sur les plates formes comme STEAM etc (voir plus bas)




On a donc :


Le phishing (hameçonnage)
viewtopic.php?t=623
https://www.malekal.com/le-phishing-ham ... rotection/

Le phishing par "Browser in the browser"
https://www.malekal.com/le-phishing-par ... wser-bitb/
Ex avec Steam viewtopic.php?t=71136

le Tabnabbing
https://www.malekal.com/tabnabbing-phishing/

Le vol de cookies de session
https://www.malekal.com/quest-ce-que-le ... e-session/

Le vol des mots de passe des navigateurs (même gérés par des gestionnaires de mots de passe comme le fait également le LUCA Stealer)
https://www.malekal.com/vol-mots-de-pas ... teurs-web/


Ensuite rien ne dit que ceux qui sont derrière les faux sites n'utilisent pas les mêmes méthodes que les CRITEO et TABOOLA, à savoir la récupération de vos données sur un formulaire et que celles ci soient déjà dans la nature puisque
"les formulaires de certains sites Web récoltent vos données avant même de cliquer sur envoyer"
viewtopic.php?t=71155 vu qu'il y a eu des cas de vol de données pour certains malwares sur Steam alors que les gens n'avaient rien confirmé il se pourrait que la technique soit utilisée


Concernant la grosse nouveauté qui consiste à véroler les programmes de triche je dirais... "Tant mieux" (oui c'est pas sympa :-)
Au moins ces c.....s qui nous pourrissent la vie dans les jeux depuis des années vont avoir un retour de flamme bien mérité

En plus pour avoir côtoyé ces individus pendant pas mal de temps lorsque j'étais sur les forums EA, même si ils savent qu'il y a un risque avec les programmes de triche, (et à l'époque c'était au pire un compte banni avec tous les autres jeux légaux) ils essaieront quand même (même principe et effets que la drogue du même nom : Le crack)
C'est lié à leur personnalité, et le fait qu'ils sont le plus souvent immatures, ont des problèmes d'égo, et/ou sont des sociopathes (au mieux) parce que chez EA j'ai croisé pas mal de menteurs/manipulateurs tendance pervers narcissique
Je parle bien de triche pour les jeux multi joueurs et pas pour les jeux en solo
Donc je ne peux que les encourager à continuer aux vues des conséquences que ce "virus" peut amener :-)



A TERME ?

On pourrait voir ce malware se doter d'une fonction de ransomware (après exfiltration des données) , mais avec la nouvelle mode qui consiste à corrompre les données et non plus à les chiffrer (ou crypter tout dépend de quel point de vue on se place) ce qui permet un gain de temps et de se faufiler à travers les protections anti virus
Pour les instants le business consiste à voler et à vendre à des tiers mais rien ne dit que des entreprises/sociétés, hôpitaux etc ne seront pas ciblées par des groupes de hachers puisque la technique du spear phishing est utilisée (depuis peu)


A noter qu'en France il y a déjà eu des gens infectés avec ce malware


Point négatif : Est écrit en C++ et non en RUST (qui offre d'autres possibilités)


Détails à
https://blog.cluster25.duskrise.com/202 ... nfostealer (avec les indicateurs de compromission)
https://www.cyfirma.com/outofband/erbiu ... re-report/ (où on trouve les fichiers ajoutés sur l'ordinateur de la victime)

Sur les possibilités et usage avec Discord
https://www.cyfirma.com/cyber-research- ... f-discord/,

[Parisien_entraide]

Compléments de lecture (et ne pas négliger les liens à la fin des tutos/présentation

Trojan Stealer : le malware qui vole des données
https://www.malekal.com/trojan-stealer/

Ce qu'est un TROJAN RAT (en général c'est livré avec)
https://www.malekal.com/rat-remote-access-tool-botnet/


Comment les cybercriminels piratent les comptes internet (mail, Facebook, Twitter, Paypal, …)
https://www.malekal.com/comment-cybercr ... -internet/

[Parisien_entraide]

Deux sujets réactualisés sur le site :


KMSPico ou KMSAuto activation de Windows/Office gratuitement sans payer
https://www.malekal.com/kmspico/


Kmspico / KMSAuto et les trojans
https://www.malekal.com/kmspico-trojan/

En lien donc avec viewtopic.php?p=530858#p530858

Et on reste dans le sujet des voleurs de données puisqu'on y trouve des Trojan stealer

[Parisien_entraide]

Et si vous pensez que les cracks et programmes piratés ne se trouvent QUE sur les sites louches Russes, détrompez vous !

Voici un ex d'un programme acheté sur le site CDISCOUNT qui en fait est un programme piraté avec un crack
En plus rien ne dit que la charge utile malveillante ne soit pas installée en même temps

viewtopic.php?p=530240

[Parisien_entraide]

amiga.gif

Allez, on va commencer l'année en fanfare avec un nouveau venu : RISE PRO : qui a fait ses premières armes en fin d'année 2022, et dont les données volées par ce stealer sont apparues sur les sites de ventes russes mi décembre (13 décembre)
Quelques jours après (au 17 décembre) , il y avait déjà plus de 2000 packages en vente (donc les données de 2000 utilisateurs)

2023-01-01_100401.jpg

Source principale : https://www.bleepingcomputer.com/news/s ... cks-sites/

2023-01-01_095545.jpg

RESUME

RisePro est un voleur d'informations personnelles, désormais distribué via de faux logiciels de crack (programmes et jeux), des générateurs de clés, et .. de logiciels de triche



Bleeping Computer fait part de l’existence d’un nouveau malware découvert par des chercheurs spécialisés en sécurité informatique de chez FlashPoint et Sekoia

Ce malware nommé RisePro circule via une plateforme nommée PrivateLoader.
Cette plateforme est un service de distribution de logiciels malveillants déguisé en plateforme de téléchargement de crack, de logiciels piratés, de programmes de triche

PrivateLoader est donc livré via un réseau de sites Web qui prétendent fournir des logiciels "piraté", qui sont des versions modifiées d'applications légitimes populaires que les gens utilisent couramment.
Ces sites Web sont optimisés pour le référencement et apparaissent généralement en haut des requêtes de recherche contenant des mots-clés tels que "crack" ou "téléchargement de crack", précédés du nom du logiciel.

MAIS y a une énorme campagne actuellement et qui vise EGALEMENT des programmes connus comme :
MSI Afterburner, OBS Studio, Brave Browser, Notepad++, VLC Media Player, Audacity, AnyDesk
https://blog.osarmor.com/258/searches-r ... o-malware/

Les faux installateurs de logiciels et les cracks de logiciels sont promus également sur les commentaires des vidéos YouTube et/ou sur la description de la vidéo. qui peuvent apparaitre également en tête des résultats de recherche
Il peut également y avoir de faux commentaires positifs sur la vidéo et qui remercient l'auteur



PrivateLoader n'est pas un inconnu https://intel471.com/blog/privateloader-malware

et distribue des :

- Voleurs d'informations (stealer) : Redline, Vidar, Raccoon , Eternity , Socelars, Fabookie, YTStealer, AgentTesla, Phoenix et d'autres voleurs non classés .
- Ransomware: Djvu.
- Botnet : Danabot, SmokeLoader.
- Mineurs : XMrig et autres voleurs non classés.
- Autres logiciels malveillants de base : variante DcRAT, Glupteba, Netsupport et Nymaim.


RisePro qui s'ajoute à la longue liste a pour but de voler les données personnelles des personnes ayant installées un logiciel piraté depuis PrivateLoader.


Il existe des gestionnaires de liens de téléchargement, la charge utile finale étant des archives protégées par mot de passe hébergées sur WordPress compromis.
Comme le montre l'image ci dessous, les sites Web ne sont utilisés que pour fournir des instructions (URL de téléchargement et mot de passe d'archivage).
L'URL de redirection pour télécharger le malware change régulièrement, au moins une fois par jour.

Aparté : Depuis quelques mois, on note des centaines de sites compromis, tels les Case.edu, Ub.edu, berkeley.edu, Europa.eu,
Des pirates informatiques, cachés derrière de faux sites de streaming, infiltrent d’importants et connus site web.
En décembre certains se sont fait infiltrer pour diffuser de fausses annonces pour des films récents et surtout recherchés, comme Black Adam ou encore Avatar 2.
Source : https://www.zataz.com/europa-hack-berkeley-film/

2023-01-01_094824.jpg

“Le voleur cible les cookies, les mots de passe enregistrés, les cartes de crédit enregistrées et les portefeuilles cryptographiques, ainsi que les logiciels installés pour les informations d’identification” explique Sekoia l’une des entreprise de sécurité informatique ayant repérée le malware.

D’ailleurs Sekoia précise que RisePro a la capacité de voler des informations provenant d’un navigateur, d’une extension, d’une application, ou encore des cryptomonnaies. Les données dérobées sont revendues sur des sites russes sur le dark web. Les navigateurs comme Google Chrome et Mozilla Firefox font partie de la liste

Flashpoint rapporte que les acteurs de la menace ont déjà commencé à vendre des milliers de journaux RisePro (paquets de données volées sur des appareils infectés) sur les marchés russes du dark web.

De plus, Sekoia a découvert de nombreuses similitudes de code entre PrivateLoader et RisePro, indiquant que la plate-forme de distribution de logiciels malveillants diffuse probablement maintenant son propre voleur d'informations, soit pour elle-même, soit en tant que service.

Actuellement, RisePro est disponible à l'achat via Telegram, où les utilisateurs peuvent également interagir avec le développeur et les hôtes infectés (bot Telegram).


RisePro est un logiciel malveillant C++ qui, selon Flashpoint, pourrait être basé sur le logiciel malveillant de vol de mot de passe Vidar, car il utilise le même système de dépendances DLL intégrées.

Pour en savoir plus sur le VIDAR et les stealers en général
https://www.malekal.com/trojan-stealer/

2023-01-01_092507.jpg

Le voleur d'informations prend d'abord les empreintes digitales du système compromis en examinant les clés de registre, écrit les données volées dans un fichier texte, prend une capture d'écran, regroupe le tout dans une archive ZIP, sou la forme d'un fichier "country code_victim ip address.zip"
puis envoie le fichier au serveur de l'attaquant.

2023-01-01_094110.jpg

RisePro tente de voler une grande variété de données à partir d'applications, de navigateurs, de portefeuilles cryptographiques et d'extensions de navigateur, comme indiqué ci-dessous :

Navigateurs Web :

Code : Tout sélectionner

7start 
Amigo 
Atom.
BlackHaw 
Brave 
CatalinaGroup Citrio 
CentBrowser 
ChomePlus 
Chromium Elements 
Chromodo 
Comodo
Coowon 
CryptoTab 
Firefox 
Google Chrome 
IceDragon 
Iridium 
K-Melon 
Maxthon3 
Netbox 
Nichrome 
Opera 
Orbitum 
Pale Moon 
QIP Surf 
Sputnik 
Torch 
Uran 
Vivaldi Chedot 
Yandex 

Extensions de navigateur :

Code : Tout sélectionner

Authenticator 
axx Liberty Extension 
BinanceChainWallet 
BitAppWallet 
Bolt X 
CloverWallet 
Coinbase 
EQUALWallet 
ForboleX 
Guarda 
GuildWallet 
iWallet 
LiqualityWallet 
Maiar DeFi Wallet
MathWallet 
MetaMask J
MewCx 
NeoLine 
NiftyWallet 
Oxygen  
PaliWallet 
PaliWallet 
Phantom 
RoninWallet 
SaturnWallet 
TronLink 
Wombat 
XDEFI Wallet 
Yoroi 
/code]



[b]Logiciels : [/b]

[code]
Discord, 
battle.net, 
Authy Desktop.

Actifs en cryptomonnaies :

Code : Tout sélectionner

Anoncoin 
BBQCoin 
BBQCoin 
Bitcoin 
DashCore 
devcoin 
digitalcoin 
Dogecoin 
Florincoin 
Franko 
Freicoin 
GoldCoin (GLD) 
Infinitecoin 
IOCoin 
Ixcoin 
Litecoin 
Megacoin 
Mincoin 
Namecoin 
Primecoin 
Reddcoin.
Terracoin 
YACoin 
Zcash 

En plus de ce qui précède, RisePro peut analyser les dossiers du système de fichiers à la recherche de données intéressantes telles que des reçus contenant des informations de carte de crédit dans des dossiers communs (par exemple, Bureau, Téléchargement, %TEMP%).


PrivateLoaader a été repéré pour la première fois par Intel471 en février 2022, tandis qu'en mai 2022, Trend Micro a observé PrivateLoader pousser un nouveau cheval de Troie d'accès à distance (RAT) nommé « NetDooka ».

Jusqu'à récemment, PrivateLoader distribuait presque exclusivement RedLine ou Raccoon, deux voleurs d'informations (stealer) populaires



Ne tentez pas de joindre ces domaines

Rise Pro C2

Code : Tout sélectionner

108.174.199.]249
108.174.200.]11
108.174.198.]132
ma-montée.]cc
api.my-rise.]cc

Domaines partagés

Code : Tout sélectionner

supersofteasy.]com
fixgroupfactor.]com
webproduct25.]com
gs24softeasy.]com
torggissoft.]com
teleportsoft.]com
testitsoft.]com
factor1right.]com
best24-files.]com
premier-miroir.]com
élite-hacks.] ru
jojo-files.]com
ma-montée.]cc
xx1-fichiers.]com
hero-files.]com
my-rise.]pro
m-rise.]pro
pu-fichier.]com
pickofiles.]com
vi-fichiers.]com
fichier-qd.]com
uc-files.]com
myrise.]pro
uni-files.]com
fvp-files.]com
Domaines partageant le même whois
get-files24.]com
softs-portail.]com
boost-files.]com
taux-fichiers.]com
get-24files.]com
upxlead.]com
gg-download.]com
files-sender.]com
taux-fichiers.]com
gg-loader.]com
neo-files.]com
vip-space.c]om
pin-files.]com
URL avec le modèle zip?c=
filesuk.]com
filecryptobur.]com
socialfiletest.]com
www.filefactory.]com
vi-fichiers.]com
pu-fichier.]com
topfilesstorage.]com
clubfiletyc.]com
filessoftpc.]com
smartfilegen.]com
fichierssite.]com
speedtestfile.]com
fichiersredproflex.]com
filefactory.]com
accesstostofilestorage.]com
getfileasap1.]com
fileswhiteprosoft.]com
yfilesstorage1.]com

Il faut savoir qu'il y a des clones de ce stealer (et oui les voleurs se volent entre eux) du moins plus exactement du "VIDAR" dont il est issu, dont le code
source a été volé
Il va donc falloir s'attendre dans les semaines et/ou mois à venir à voir apparaitre d'autres menaces de ce type

Il est à noter que ces stealer sont capables d' altérer les défenses (désactivation de la protection en temps réel de Windows Defender par ex)

[Parisien_entraide]

hacking.gif

RAPPEL :

Il peut être tentant d'essayer de télécharger gratuitement les derniers jeux ou applications, mais cela finira par vous entraîner dans un foyer de problèmes lorsque votre ordinateur sera infecté par des logiciels publicitaires au mieux, mais surtout, des rançongiciels (ransomware) et des chevaux de Troie (Trojan) voleurs de mots de passe.(Stealer)

Dans le passé,la plupart des programmes indésirables qui étaient installés étaient des logiciels publicitaires ou des extensions de navigateur, et bien que considérés comme des nuisances, pour la plupart, ils ne volaient pas vos fichiers ou n'installaient pas de ransomware sur votre ordinateur.

Nous sommes en 2023, et depuis 1 ou 2 ans, les sociétés de monétisation d'installateurs de logiciels ont commencé à s'associer de plus en plus à des développeurs de logiciels de type ransomware, chevaux de Troie voleurs de mots de passe pour distribuer leurs logiciels malveillants.(Mots de passe volés par des cracks logiciels, jeux, et...Nouveauté : Programme de triche)

Il est maintenant constatés que les installateurs monétisés prétendant être des cracks logiciels et des générateurs de clés installent désormais couramment des chevaux de Troie voleurs de mots de passe ou des chevaux de Troie d'accès à distance (RAT) lorsqu'ils sont exécutés.

De plus ils utilisent l'outil Themida pour l'obscurcissement et l'évitement de la détection par les anti virus .. qu'ils peuvent désactiver au passage (Windows Defender par ex)
Ensuite ils peuvent s'auto détruire, ne laissant plus aucune trace (autre que des possibles dysfonctionnements et comportement curieux de Windows, de programmes,...)

Donc au final on vole vos informations et vous ne vous apercevez... DE RIEN

__________________


Raccoon et Vidar Stealers se propagent via un réseau massif de faux logiciels piratés


L'article émane d'une société de Cybersecurité (Sté Sekoia située à Paris) donc il ne faut pas se leurrer, c'est pour faire parler d'eux, mais l'article suit l'actualité et permet de voir certains aspects techniques

Une "grande infrastructure résiliente" comprenant plus de 250 domaines est utilisée pour distribuer des logiciels malveillants voleurs d'informations tels que Raccoon et Vidar depuis début 2020.
Sekoia a évalué les domaines devant être exploités par un acteur malveillant exécutant un système de direction du trafic ( TDS ), qui permet à d'autres cybercriminels de louer le service pour distribuer leurs logiciels malveillants.



L'article est en anglais (Malheureusement la partie en langue FR n'est pas à jour)

https://blog.sekoia.io/unveiling-of-a-l ... -stealers/


Un schéma courant pour tromper la victime est un tutoriel qui montre comment installer un logiciel piraté , qui s'avère être un voleur d'informations (Stealer)
Pour aider la victime à compromettre son système, le didacticiel décrit souvent étape par étape comment désactiver le logiciel antivirus, télécharger le faux programme d'installation et l'exécuter.

Pour la méthode de distribution, la victime entre dans un site Web malveillant soit promu via une annonce Google , soit empoisonné par le référencement SEO (Search Engine Optimization), ce que l'on retrouve en général en tête des résultats de recherche soit partagé dans un espace communautaire légitime ou pas : forum, facebook, instagram etc des sites torrent, créeront de fausses vidéos YouTube avec des liens vers de prétendus générateurs de clés de licence, ou créeront des sites conçus pour simplement promouvoir des ensembles de logiciels publicitaires déguisés en cracks logiciels.
Pour les jeux on voit même des campagnes pour offrir et promettre des clés bêta aux joueurs potentiels (Stealer à la clé évidemment)
Vu avec les jeux Valorant, Cyberpunk 2077, League of Legends, ...
Idem du reste avec des apk de jeux notamment, sur Android
Globalement tout ce qui est populaire (jeux et applications, comme vu avec Dr Fone par ex et l'incontournable Adobe photoshop dont meme les anciennes versions de 2006 sont vérolées avec les récents malwares)

Les analystes de SEKOIA.IO ont dévoilé une infrastructure vaste et résiliente utilisée pour distribuer les voleurs Raccoon et Vidar , probablement depuis début 2020.
La chaîne d'infection associée, tirant parti de cette infrastructure de plus de 250 domaines , utilise une centaine de faux sites Web de catalogue de logiciels piratés qui redirigent vers plusieurs liens avant de télécharger la charge utile hébergée sur des plateformes de partage de fichiers, telles que GitHub.



Au sommaire

suoi sommaire.jpg

Le développement intervient alors que Cyble a détaillé une campagne Google Ads malveillante qui utilise des logiciels largement utilisés tels que AnyDesk, Bluestacks, Notepad ++ , Zoom comme leurres pour fournir un stealer (Voleur de données) r riche en fonctionnalités connu sous le nom de
Rhadamanthys Stealer.

https://blog.cyble.com/2023/01/12/rhada ... oogle-ads/

Il est donc conseillé aux utilisateurs de s'abstenir de télécharger des logiciels piratés et d'appliquer l'authentification multi-facteurs/2facteurs (même si ... envoi par SMS .. bla bla bla.....mais restons optimistes :-) dans la mesure du possible pour renforcer les comptes.

authetification a 2 facteur 2FA.jpg

--------


A EFFECTUER, APRES ANALYSE FRST (Farbar Recovery First) DANS LE FORUM

https://www.malekal.com/tutoriel-farbar ... tool-frst/


A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

[Parisien_entraide]

2023-01-24_132546.jpg

Les pirates ciblent les fans de "The Last of Us" avec des attaques de logiciels malveillants et de phishing

Pour les amateurs de séries, HBO a sorti le premier et deuxième épisode de sa série très attendue The Last of Us

Ces mêmes amateurs savent qu'il existe un jeu, mais celui ci est victime de pirates informatiques et d'escrocs par hameçonnage (Phishing)

Actuellement il y a deux campagnes malveillantes différentes, l'une impliquant l'injection de logiciels malveillants sur les PC et l'autre basée sur un schéma de phishing pour voler des informations personnelles, des mots de passe et des données de carte bancaire et autres informations financières,
Ces pirates peuvent voler les comptes de jeu avec de la monnaie interne et des skins rares, par exemple

La première des escroqueries implique un site Web qui prétend proposer un jeu appelé "The Last of Us Part II" en téléchargement, mais en réalité, ce n'est rien de plus qu'un piège élaboré.
Quiconque tente de le télécharger se retrouvera avec des logiciels malveillants sur son appareil dont de type STEALER
Cela ne causera, normalement, aucun dommage visible, tout en faisant son travail en silence."




La deuxième arnaque concerne un site Web qui prétend proposer un code d'activation pour le jeu "The Last of Us" sur Playstation.

ps sony.jpg

Le site Web, qui est un site de phishing, offre un "cadeau gratuit" tel qu'une PlayStation 5 ou une carte-cadeau Roblox de 100 $ avec le code.
Pour obtenir le code et le cadeau, les utilisateurs sont invités à payer une commission .
Afin d'effectuer le paiement, le site de phishing invite la victime à entrer ses informations personnelles, y compris les informations d'identification et les détails de la carte de crédit.
Selon les chercheurs, les victimes de cette arnaque ne reçoivent évidemment rien en retour.
Les pirates peuvent ensuite utiliser les informations personnelles volées pour toutes sortes de pratiques de fraude en ligne.

Les cybercriminels attirent activement leurs victimes avec des jeux à la mode : par exemple, en proposant un téléchargement gratuit d'un jeu qui peut être très cher sur Steam, ou en distribuant des jeux qui ne sont pas encore sortis officiellement

Le rapport Securelist de Kaspersky indique qu'il y a eu plus de trois millions d'attaques de phishing sur les plateformes de jeux en ligne au cours de l'année entre 2021 et 2022. La plupart de ces attaques visaient à inciter les joueurs à donner leurs identifiants de compte et leurs informations financières.



A noter que dans les tentatives de phishing, les cybercriminels utilisent désormais les pièces jointes OneNote lors de l'envoi d'e-mails de phishing, les utilisateurs se méfiant de plus en plus des documents office (Word et Excel) avec des macros dissimulées.
Au début de l'année dernière, Microsoft avait promis de détruire le vecteur de diffusion des logiciels malveillants via des macros dans Office, mais déjà en décembre 2022, les cybercriminels ont commencé à contourner de nouvelles mesures de sécurité via le format XLL .

OneNote est pratique pour les hameçonneurs dans la mesure où cette application est incluse par défaut dans le package Microsoft Office / 365. Même si le propriétaire de l'appareil n'utilise pas ce logiciel, Microsoft OneNote sera lancé à l'ouverture du fichier correspondant.
OneNote ne prend pas en charge les macros comme Word et Excel, mais il vous permet de placer une pièce jointe malveillante dans un bloc-notes. Lorsque le fichier est lancé, le composant malveillant démarre également
Heureusement, lors du lancement de OneNote, le logiciel doit avertir l'utilisateur des risques possibles, mais la pratique montre que, dans la plupart des cas, les utilisateurs cliquent simplement sur OK, ne sachant pas les dangers liés

Continuent d'être utilisées, les pièces jointes ISO et VHD , ainsi que les archives ZIP protégées par mot de passe
Comme vous le savez, ces conteneurs permettent de contourner les antivirus et le mécanisme de protection Windows (Mark of the Web (MoTW) )

cliquer sur l'image pour déclencher l'anim

2demo.gif

Un patch non officiel existe via la sté 0patch
Micropatchs gratuits pour contourner l'avertissement de sécurité MotW avec signature invalide (0day, maintenant CVE-2022-44698)
https://blog.0patch.com/2022/10/free-mi ... -motw.html

[Parisien_entraide]

Petite nouveauté : M2RAT

du groupe de hackers Nord Coréen RedEyes/ScarCruft Hacking Group (alias APT37) financé par l'Etat Nord Coréen

Source : https://asec.ahnlab.com/ko/47622/


Il est spécialement conçu pour échapper à la détection par les logiciels de sécurité (C'est la base :-)


Dans le fonctionnement on trouve du classique et bien connu :

Le logiciel malveillant insère une nouvelle valeur ("RyPO") dans la clé de registre "Run" avec des instructions pour exécuter un script PowerShell via "cmd.exe" afin de maintenir la persistance sur le système. La commande exactement identique a également été notée dans un rapport Kaspersky de 2021 sur APT37

.


Avantages pour l'instant : Cela cible la Corée du Sud et les individus en particulier (ce n'est pas un outil de masse) et exploite une faille connue du programme de traitement de textes Coréen Handgul (faille pourtant comblée) qui prend en charge EPS

Un fichier EPS est une sorte de format de fichier graphique et est un fichier qui exprime une image graphique à l'aide du langage de programmation PostScript créé par Adobe.
Les images vectorielles haute définition peuvent être exprimées via EPS, et le traitement de texte Hangul a pris en charge un module tiers (ghostscript) pour traiter EPS.
Cependant, en raison de l'augmentation des cas d'abus tels que les attaques APT utilisant les vulnérabilités EPS, le module tiers de traitement EPS a été supprimé de Hangul et de l'ordinateur via une mise à jour

A savoir, il n'y a pas que le traitement de textes Coréen qui utilise Ghostscript (Scribus par ex)
Reste à savoir si la faille était exploitée du fait de celles connues/inconnues d'EPS et/ou de son implémentation dans Handgul
De cela personne n'en parle mais toujours est il que la faille est explicite et ne touche pas que Handgul
https://nvd.nist.gov/vuln/detail/CVE-2017-8291


METHODE

Les attaquants utilisent des tactiques d'ingénierie sociale pour inciter leurs cibles à ouvrir l'e-mail et à télécharger une pièce jointe.
La méthode d'infection est donc classique, elle n'arrive pas par hasard, mais cette méthode à l'avantage d'arriver à faire télécharger une pièce jointe, même pour les gens attentifs au phishing

Un exploit particulier a été identifié qui peut permettre à un attaquant d'exécuter un shellcode sur l'ordinateur d'une victime.
Cet exploit est conçu pour être déclenché lorsqu'un utilisateur ouvre une image JPEG qui a été falsifiée par l'attaquant.
Une fois l'exploit déclenché, l'ordinateur de la victime télécharge et exécute une charge utile malveillante qui est stockée dans l'image JPEG.

2023-02-19_114736.jpg

De plus cela utilise une méthode particulière pour communiquer avec le serveur C&C de l'attaquant.
Plus précisément, M2RAT reçoit des commandes du serveur en les incorporant dans le corps de la méthode POST.

Cela permet à l'attaquant d'envoyer des instructions au logiciel malveillant d'une manière plus difficile à détecter pour les logiciels de sécurité.

Afin d'identifier le système victime, le serveur attaquant de M2RAT utilise l'adresse MAC de l'hôte comme identifiant. Dans ce cas, le serveur de l'attaquant utilise la valeur codée de l'adresse MAC pour identifier l'ordinateur de la victime.

En fait ce point est assez intéressant, car dans l'analyse de métadonnées qui transitent sur les réseaux, satellites également, ce que font TOUS les pays, la base de recherche par les services de renseignement, ne sont pas les données qui transitent (c'est secondaire) , mais tout ce qui permet d'identifier le réseau, dont les matériels, etc mais aussi les points de terminaison donc.. le poste terminal (L'ordinateur de l'utilisateur)
Je simplifie car les données pouvant être recueillies sont plus importantes que cela, car figurent également l'OS, sa version, les logiciels versions donc. failles connues ou pas etc
Cela permet par la suite de cibler une personne, une organisation soit à des fins d'interception (pas de hack donc) soit pour l'infecter pour en savoir plus

Ce qu'a fait Google par ex, sous couvert de ses Google cars pour les photos que l'on trouve sur street maps par exemple, en identifiant au passage tous les types de réseaux de type Wi fi, les matériels derrière, type de chiffrement, ...
Cela avait été présenté comme "un bug" :-)

C'est juste un exemple

MAIS APT37 a dirigé son attention vers diverses organisations basées dans l'Union européenne, déployant une nouvelle variante de leur porte dérobée mobile connue sous le nom de "Dolphin".
En plus de cela, le groupe a également utilisé un cheval de Troie d'accès à distance (RAT) personnalisé appelé "Konni" dans ses attaques.

Les attaquants ont également ciblé des journalistes situés aux États-Unis avec un type de malware hautement flexible appelé "Goldbackdoor", qui permet une gamme d'options de personnalisation en fonction des objectifs des attaquants.

Ces attaques avec M2RAT ont commencé en janvier 2023 et impliquaient la distribution ciblée d'e-mails de phishing contenant des pièces jointes malveillantes à des victimes sélectionnées.


Ce qui est nouveau pour ce stealer

CE QUI EST CIBLE

Windows et les appareils mobiles sont ciblés par M2RAT
M2RAT permet aux attaquants d'accéder à distance à un système infecté et d'effectuer une gamme d'activités malveillantes, notamment : -

- Enregistrement de frappe
- Le vol de données
- Exécution de la commande
- Prise de captures d'écran depuis le bureau
- Des captures d'écran sont prises périodiquement et la fonctionnalité est utilisée sans qu'un opérateur ait besoin de donner une commande spécifique pour qu'elle soit activée.

Jusque là rien que du très classique MAIS

Il est capable d'analyser l'ordinateur Windows à la recherche de tous les appareils portables qui y sont connectés.

Lors de la détection d'un appareil portable (Smartphone par ex tablette ) , une analyse sera effectuée pour identifier tous les documents (n'importe quelle nature) et enregistrements vocaux contenus sur l'appareil.
Les données volées sont stockées dans une archive RAR protégée par un mot de passe avant d'être exfiltrées vers un serveur contrôlé par l'attaquant., et la copie locale est effacée de la mémoire pour supprimer toute trace.


Fait amusant il utilise une méthode en fait bien connue et remise au gout du jour : La stéganographie
Pour ce groupe ce n'est pas nouveau, car en 2019, Kaspersky avait révélé que

le logiciel malveillant de téléchargement utilisé par le groupe ScarCruft (RedEyes) utilisait la stéganographie pour télécharger des logiciels malveillants supplémentaires.

Sinon il faut savoir que ces groupes, tout comme ce que l'on trouve sur le net en vente, disposent de "boites à outils" et ce stealer n'est qu'un outil de plus
Rien ne dit que du fait de son fonctionnement "nouveau" il n'apparaisse pas ailleurs, donnant des idées aux hackeurs
On trouve déjà des packs d'images "osées" de personnalités, avec du contenu JPG (qui peut être vérolé), et fichier .ink joint,
https://www.malekal.com/lnk-malware/ donc là pas besoin de phishing


Les virus dans les images
https://www.malekal.com/les-virus-dans-les-images/

[GlenLB]

Les attaquants utilisent des techniques d'empoisonnement SEO

Qu'appelez-vous des techniques d'empoisonnement SEO ? Faites-vous référence à du Negative SEO ?

[devadip]

Les attaquants utilisent des techniques d'empoisonnement SEO

Qu'appelez-vous des techniques d'empoisonnement SEO ? Faites-vous référence à du Negative SEO ?

Le parisien à mis un lien
viewtopic.php?t=21270
Un autre lien
https://blog.avast.com/fr/seo-poisoning

[Parisien_entraide]

version.jpg

TYPHON REBORN (V2)


MODES DE DIFFUSION

Téléchargement de programmes, jeux, (dont cracks évidemment), sites vérolés incitant à télécharger une mise à jour (de navigateur, lecteur video etc) mais surtout via du phishing sous la forme d'une pièce jointe à un e-mail., qui peut ressembler à

- Un billet d'avion.
- Fiche de paie.
- Paiement (Paypal etc)
- Un reçu ou une facture électronique.
- ...
La pièce jointe peut contenir un code malveillant et lorsque le document est téléchargé et exécuté, l'activité infectieuse peut avoir lieu



LES NOUVELLES

Les auteurs de Typhon ont publié une nouvelle version de l'infostealer, modifiant considérablement le code source.

L'analyse des échantillons réalisée chez Cisco Talos a montré que les auteurs de virus amélioraient la stabilité et la fiabilité du code, ainsi que sa protection contre la détection et l'analyse.

Selon les analystes, Typhon Reborn 2 est en vente sur les forums de hackers, dont le XSS en russe , depuis fin janvier et est en demande.

Au mois d'avril 2023, la nouvelle version est proposée à la vente sur les réseaux criminels pour 59 $ par mois, 360 $ par an, ou alternativement, pour 540 $ pour un abonnement à vie.

Le malware mis à jour est fourni pour une utilisation en tant que service (Malware-as-a-Service, MaaS), et il est apparu dans des attaques en décembre.

L'infostealer Typhon, basé sur le Prynt Stealer , a d'abord attiré l'attention des experts en sécurité de l'information l'été dernier .

À cette époque, son ensemble de fonctions était très diversifié : le cheval de Troie était capable de voler des informations à partir d'un certain nombre d'applications, d'enregistrer la saisie au clavier, de remplacer les adresses de portefeuille crypto dans le presse-papiers, de prendre des captures d'écran et d'exploiter Monero.

En novembre, une itération de Typhon Reborn avec une protection d'analyse améliorée a été annoncée .

Les fonctionnalités de l'enregistreur de frappe, du clipper et du mineur ont disparu, et la possibilité de voler des données et des fichiers par choix a été étendue.

La deuxième version de Typhon Reborn, selon Cisco, est plus furtive.

En tant que mesure anti-analyse supplémentaire, l'obscurcissement des chaînes à l'aide de Base64 et XOR a été introduit.
Le nombre de contrôles d'environnement (bacs à sable, débogueurs, machines virtuelles) a considérablement augmenté.
Il y avait une option pour annuler l'exécution en fonction des données de géolocalisation : l'opérateur peut utiliser la liste par défaut des pays de l'ex-CEI (hors Ukraine et Géorgie) ou la sienne, personnalisée.

2023-04-22_114847.jpg

Les fonctions de maintien de la présence lors d'un redémarrage du système ont disparu, maintenant le cheval de Troie brouille les pistes après la sortie des données et termine son exécution.

Les informations volées sont archivées puis envoyées à l'opérateur via HTTPS et l'API Telegram ; après cela, le fichier créé est supprimé.
Les auteurs de virus ont également mis à jour le module de voleur de fichiers (grabber) et élargi la liste des applications cibles du voleur.

Source : https://blog.talosintelligence.com/typh ... -analysis/

Indicateurs de compromission ; https://github.com/Cisco-Talos/IOCs/tree/main/2023/04

[Parisien_entraide]

Allez encore un autre à ajouter dans la longue liste des malwares

2023-05-06_172519.jpg

ViperSoftX


En fait il fait un retour remarqué (il existe depuis 2020) avec ses nouvelles fonctions de STEALER (Trend MIcro le classe dans la catégorie infoStealer)

En effet il ne cherche pas uniquement à voler les cryptomonnaies des utilisateurs.

Code : Tout sélectionner

Armory
Atomic Wallet
Binance
Bitcoin
Blockstream Green
Coinomi
Delta
Electrum
Exodus
Guarda
Jaxx Liberty
Ledger Live
Trezor Bridge

mais les portefeuilles (via les extensions de navigateur)

Code : Tout sélectionner

Binance
Coin98
Coinbase
Jaxx Liberty
MetaMask
Mew CX (now Enkrypt)

Il tente aussi de s’emparer des données des utilisateurs, dont celles contenues dans leurs gestionnaires de mots de passe.

Il ne vise plus non plus uniquement Chrome et est capable d’infecter des navigateurs Web comme Brave, Firefox, Microsoft Edge et Opera.


La grosse nouveauté :

ViperSoftX s’attaque aussi aux gestionnaires de mots de passe installés sur l’ordinateur de ses cibles.
La nouvelle version du malware comprend en effet " un mécanisme de vérification" qui découvre si 1Password ou KeePass 2 est présent sur l’appareil. (à ne pas confondre avec KeepassXC qui n'était pas touché par la faille de Keepass et qui est un fork)

Si c’est le cas, il va passer par les extensions navigateur des deux gestionnaires pour subtiliser les mots de passe des utilisateurs. Ces extensions stockent en effet des données sensibles.

Le truc c'est que ce n'est pas en lien avec la faille connue et patchée
https://cve.mitre.org/cgi-bin/cvename.c ... 2023-24055
puisque des utilisateurs avec et sans le patch sont touchés


La nouvelle version du virus semble accentuer ses efforts sur les utilisateurs lambda. Le secteur des entreprises ne représente plus que 40 %
Selon Trend Micro en France les 2 catégories seraient touchées à presque 5%

Il est AUSSI plus difficile à repérer pour les antivirus.
Le logiciel malveillant embarque plusieurs fonctionnalités anti-détection qui lui permettent de passer inaperçu.

Avant de lancer ses activités malveillantes, le virus vérifie d’ailleurs si un antivirus comme Windows Defender et ESET est installé sur l’appareil. Il activera alors ses mécanismes de camouflage.

TrendMicro recommande d’éviter d’installer des logiciels ou des documents depuis des sites non officiels.

Dans la plupart des cas recensés, le malware se cachait en effet dans un générateur de clés ou un logiciel « cracké », téléchargés depuis un site de torrents ou de téléchargement illégal.(classique)
Les auteurs utilisent généralement des éditeurs multimédias ou des convertisseurs de format vidéo, des applications de minage de crypto-monnaie, des applications de bureau liées au téléphone et des applications de nettoyage du système (le tout cracké évidemment)

Les serveurs C&C principaux de ViperSoftX pour le téléchargement de la deuxième étape changeaient tous les mois :

Février : chatgigi2[.]com
Mars : arrowlchat[.]com
Avril : statique-cdn-349[.]net


Source : https://www.trendmicro.com/en_us/resear ... -data.html

Indicateurs de compromission
https://www.trendmicro.com/content/dam/ ... s-data.txt

Comme d'hab Keepass relativise : "Ne téléchargez pas de programmes pirates" et... C'est tout
https://sourceforge.net/p/keepass/discu ... /?limit=25

Chez 1password
https://www.reddit.com/r/1Password/comm ... w_targets/

Même chez Bitwarden certains s'inquiètent
https://www.reddit.com/r/Bitwarden/comm ... 1password/


En fait tous les acteurs de ces programmes de mots de passe n'ont pas tort
La faille ce n'est pas le programme mais l'utilisateur qui va chercher des cracks

Si l'antivirus ne voit rien, le programme malveillant fait ce qu'il veut une fois en place

[Parisien_entraide]

2023-05-28_100359.jpg

INFOSTEALERS


Un cas d'école : REDLINE

Les infostealers se distinguent par leurs capacité à passer au travers des filets des systèmes de protection de postes de travail (EPP), voire même des systèmes de détection et de réponse aux menaces (EDR) – ou presque !

L’infostealer Redline génère, pour chaque machine compromise, un fichier nommé UserInformation.txt.
Dans celui-ci, sous la ligne « Antiviruses : » se trouve la liste des EPP, EDR, voire pare-feu, installés sur le PC et dont les données d’identification auront été pillées.
Cela donne une idée des protections en place

Dans les logs retrouvés vient en tête

Windows Defender mais aussi et ensuite

Code : Tout sélectionner

Norton
McAfee (et Trellix)
Trend Micro
Kaspersky
Eset,
AVG, 
Avira, 
Panda, 
Malwarebytes, 
Bitdefender, 
Comodo, 
AhnLab, 
Sophos,
 F-Secure

Ce constat vaut pour les antivirus grand public, mais également pour les EPP et EDR d’entreprise.

FortiClient, de Fortinet, apparaît ainsi une petite vingtaine de fois dans l’échantillon étudié. Acronis Cyber Protect est également représenté, de même que l’EPP de Check Point.

L’EDR de Reason Cybersecurity est très fortement représenté mais également

Code : Tout sélectionner

Cylance Protect,
EDR Sangfor, 
CrowdStrike Falcon Sensor,  
Cortex XDR Advanced Endpoint Protection,  
Cybereason NGAV 
SentinelOne.

A cette lecture on pourrait croire que les antivirus grand public ou d'entreprises sont dépassés

Que raconte un échantillon déposé chez VIRUS TOTAL ?

L'échantillon a été déposé le 16/05/2023 et le taux de détection était de 46 sur 64

https://www.virustotal.com/gui/file/b30 ... /detection

- Pour le moteur de Malwarebytes, pas de doute possible : c’est l’infostealer Redline.
- Pour Acronis, Cybereason, Cylance, Fortinet, Sophos ou même Tehtris – pour ne citer qu’eux –, la malveillance du logiciel ne fait aucun doute.
- Le moteur d’analyse de Cortex, de Palo Alto Networks, en revanche, se laisse berner.
Cela vaut également pour ceux de Trend Micro et de Sangfor, pour certains échantillons observés, mais pas tous.
- De même, le moteur de Tehtris ne semble pas d’une constance totale, d’un échantillon à l’autre.

Mais un petit quart d’heure après soumission initiale, les résultats sont largement moins bons.

Les moteurs

Code : Tout sélectionner

Acronis, 
BitDefender, 
CrowdStrike, 
Emsisoft, 
Palo Alto Networks, 
Sangfor, 
Trellix, 
Trend Micro  
Tehtris

s’avèrent tous aussi impuissants les uns que les autres, quand bien même plusieurs règles Yara identifient la menace sans problème.

2023-05-28_100240.jpg

POURQUOI ?


Le délai de propagation des signatures


Chez Kaspersky, deux analystes se sont penchés les échantillons

Le log Redline montre que le malware a été exécuté 25 minutes avant que nous ne l’ayons signé.

La clé du mystère se trouve sans doute ici : nous nous efforçons d’ajouter des signatures pour les nouveaux échantillons découverts, mais lorsqu’ils ne sont pas immédiatement reconnus, il existe un court delta durant lequel nous ne pouvons hélas pas faire grand chose.

Lorsque, une demi-heure plus tard (modulo le délai de propagation des signatures) le fichier aura été détecté par notre antivirus sur la machine de l’utilisateur, le mal était sans doute déjà fait ».

Le délai de propagation des signatures est un « trou dans la raquette » – comme il est convenu de dire –, classique et bien connu de longue date.


Autres paramètres

Un défaut de configuration de l’antivirus n’est également pas à exclure :

- interactions bloquées avec le cloud d’analyse de l’éditeur,
- exclusions manuelles sur des répertoires/fichiers,
- voire agent pas mis à jour –

« la combinaison des trois étant tout à fait possible », précise un analyste. Et cela peut valoir pour nombre de produits d’EPP.



Le mode de distribution


Chez Eset, certains modes de distribution des infostealers sont avancés, à commencer par le malvertising :

« une des techniques les plus communément utilisées pour distribuer RedLine est de le faire passer pour un logiciel ou jeu piraté (souvent dans des commentaires sur YouTube).

Dans ces messages, il est affirmé que les antivirus bloquent le “crack” et il est donné pour instruction de désactiver tout produit de protection avant l’installation.
"Selon moi, ça serait l’explication la plus probable dans la majorité des cas"

Et cela d’autant plus que RedLine « ne contient pas de fonctionnalité permettant d’exploiter des produits de sécurité afin d’échapper aux détections

De quoi avancer une autre hypothèse : « dans certains cas, le malware est déployé à l’aide d’un loader ou downloader plus complexe que RedLine lui-même. Il est possible que certains d’entre eux contiennent des fonctionnalités plus avancées d’évasion ou d’exploitation.

Ils sont généralement très obfusqués. Cette obfuscation peut aider à éviter la détection sur le disque, mais n’est pas suffisante pour échapper aux détections en mémoire »



Quid des EDR ? Pour CrowdStrike, le verdict est sans appel :

« il est clair que les occurrences de Falcon proviennent des systèmes de test de CrowdStrike, et non des environnements des clients.

Sur la base d’une variété de facteurs, ces occurrences indiquent des environnements de test où le capteur Falcon est installé pour observer le comportement des malwares, et non pour les bloquer, ce qui se produit dans le cadre de l’analyse régulière des logiciels malveillants ».


Les analystes de SentinelOne s’orientent sur la même piste d’un déploiement non bloquant.

Et cela d’autant plus que l’éditeur assure la détection de RedLine depuis de nombreux mois.

En outre, l’un des échantillons fournis était bien détecté statiquement à sa date d’exécution ; il était d’ailleurs connu et référencé depuis près d’une semaine.
Et cela ne vaut pas que pour un seul : captures d’écran à l’appui, les équipes de SentinelOne nous ont confirmé la réalité des détections. De quoi souligner la différence entre un déploiement d’EDR en observation simple et en blocage.

En définitive, il existe bien une fenêtre permettant à un stealer tel que Redline de passer inaperçu.
Mais celle-ci s’avère finalement limitée dans le temps. De quoi souligner l’importance des facteurs tiers, et notamment humains.



Texte complet et source :
https://www.lemagit.fr/actualites/36653 ... op-furtive

[Parisien_entraide]

2023-07-01_123036.png

Dans le premier message il était fait état de techniques d'empoisonnements SEO pour la distribution de stealers soient via de vrais/faux (et inversement :-) sites de cracks MAIS aussi sur des programmes légitimes les plus recherchés (en version payantes ou... gratuites)

SEO = Search Engine Optimisation
Search Engine cela désigne les moteurs de recherche WEB (donc Google, Bing etc)



Pour RAPPEL

Empoisonnement SEO
viewtopic.php?t=21270

Redirections
viewtopic.php?t=2250

Redirections malveillantes lors des recherches Google
https://www.malekal.com/redirection-mal ... es-google/

Une video sur le SEO empoisonnement et redirections Google




_____________________

Source https://www.malwarebytes.com/blog/busin ... e-attacks


Depuis fin novembre, Malwarebytes a connu une nouvelle vague d'activités de publicité malveillante, qui a culminé en février.

Au premier trimestre, les experts ont recensé plus de 800 attaques provoquées par des publicités malveillantes, et soulignent qu'en fait il y en a beaucoup plus.

Auparavant, la publicité malveillante était souvent utilisée par les opérateurs de packs d'exploits (1) .

Cependant, il y a environ cinq ans, ces instruments ont commencé à se démoder.
Actuellement, les logiciels malveillants ciblés sont distribués (1) principalement par le biais de spams et de téléchargements intempestifs sous le couvert d'applications légitimes.



Et pour attirer des victimes potentielles vers des sites malveillants, des bannières publicitaires spécialement conçues sont parfois utilisées.
Selon les analystes, le risque d'obtenir des logiciels malveillants au lieu de logiciels utiles est le plus élevé lors de la recherche des mots clés suivants :

camebmert.png

Mais cela touche également d'autres programmes comme SLACK (très utilisé en entreprise) et qui peut se retrouver sur de faux sites et en première réponse (empoisonnement SEO) mais aussi NotePad++, etc (la liste est longue) et.. récemment RUFUS (l'auteur à du prendre des mesures)

Ex salsck.png

L'étude a également montré que la publicité malveillante est le plus souvent utilisée pour semer des voleurs d'informations (Stealers) - Aurora , Vidar , Raccoon, RedLine

.
La liste, compilée par des experts sur la base des résultats d'observations, comprend également les téléchargeurs de chevaux de Troie BatLoader et IcedID (actuellement utilisés principalement pour diffuser d'autres logiciels malveillants).


La liste (Instant "T")

Code : Tout sélectionner

- IcedID, 
- Aurora Stealer, 
- Batloader Vidar, 
- Gozi, Redline, 
- PureCrypter,
- Rhadamanthys, 
- Raccoon Stealer, 
- NetSupport RAT, 
- FakeBAT,

Les informations d'identification volées à l'aide d'infostealers sont généralement mises en vente, mais on en trouve également en gratuit, tellement l'offre dépasse la demande (cela permet aussi aux voleurs de se faire connaitre, de se faire un nom)

Les lots qui offrent un accès immédiat aux réseaux d'entreprise sont très attrayants pour les opérateurs de ransomwares .
Certains ransomwares préfèrent se passer de cette médiation et utilisent le malvertising pour lancer eux-mêmes leurs attaques.

Ainsi, les propriétaires du ransomware Royal font la promotion de sites à partir desquels vous pouvez prétendument télécharger un programme d'installation légitime pour TeamViewer ou d'autres logiciels populaires.
En fait, ce masque cache le BatLoader, qui télécharge la balise Cobalt Strike, qui ouvre l'accès au réseau cible.


L'utilisation de marques populaires dans des campagnes de malvertising peut tromper l'utilisateur moyen, et une redirection malveillante cachée dans une bannière n'est pas du tout facile à détecter.

Pour se protéger contre une telle menace, les experts conseillent aux organisations de ne pas s'appuyer sur la détection d'abus de marque, mais également d'utiliser des outils de prévention des attaques (sans sa lites MBAM fait évidemment la promotion de son propre outil, normal) :

- programmes de gestion des vulnérabilités et de correctifs ;
- des applications de protection Web capables de suivre et d'arrêter les téléchargements à partir d'un serveur malveillant ;
- bloqueurs de publicités.







(1) Sur les kits d'Exploits ou Exploit Web
Drive-By Download : infecter les ordinateurs par le WEB
https://www.malekal.com/drive-by-download-infecter-web/
BlackHole Exploit WebKit : Présentation
https://www.malekal.com/blackhole-explo ... sentation/

15 cyberattaques (attaque informatique) à connaître
https://www.malekal.com/cyberattaques-a ... ormatique/