Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Messages : 13464
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS

par Parisien_entraide »

En 2020 Malekal titrait : Les sites de crack pour distribuer des malwares : ça marche encore bien en 2020
https://www.malekal.com/les-sites-de-cr ... n-en-2020/


Nous somme en 2022 et... Cela fonctionne toujours aussi bien et même cet article de 2006 est toujours d'actualité
Le danger des cracks et des keygens viewtopic.php?t=893


Pour ceux/Celles qui ne connaitraient pas ce que sont les cracks et keygens : https://www.malekal.com/crack-ou-keygen ... -que-cest/

Un petit nouveau prometteur : Luca Stealer https://www.malekal.com/vol-mots-de-pas ... teurs-web/

Ex d'évolution de KMS : viewtopic.php?t=69838



QU'EST QUI A CHANGE OU QU'ON RETROUVE EN 2022 ?

Les attaquants utilisent des techniques d'empoisonnement SEO et lancent des campagnes publicitaires pour promouvoir leurs ressources dans les résultats de recherche. Les sites proposent de télécharger des "cracks", des keygens, etc.
(SEO = Search Engine Optimisation et Search Engine cela désigne les moteurs de recherche WEB (donc Google, Bing etc) )

Cela ce n'est pas nouveau mais cela s'est accentué
Plus de détails (et toujours d'actualité) viewtopic.php?t=21270

Ce n'est pas visible ici (j'ai caché le nom du site) mais ce qui ressort de la recherche, ce sont des faux sites qui ressemblent aux vrais sites d'hébergement pirates
Si maintenant on ne peut plus faire confiance aux VRAIS sites de pirates, où va t' on ? :-)

Une partie de ce qui rend ce type de menace si efficace est qu'il cible les individus qui recherchent des logiciels piratés et que souvent il y a de nombreuses redirections, ou des sites "pop up" qui offrent le programme recherché sur un plateau

seo.jpg


Le plus souvent, les fichiers d'installation sont stockés sur des sites d'hébergement de fichiers, et l'utilisateur y est simplement redirigé pour les télécharger.
Au moment où je tapote les sites utilisés dans ces campagnes :

Code : Tout sélectionner

xproductkey[.]com 
allcracks[.]org 
prolicensekeys[.]com 
deepprostore[.]com 
steamunlocked[.]un 
getmacos[.]org


Les principaux logiciels visés sont évidemment ceux qui sont le plus recherchés
Je n'ai pas tout mis la liste serait trop longue mais on y trouve aussi bien des programmes connus en productivité, que des cracks de Windows, viewtopic.php?t=69838 et le comble de la bêtise pour ceux qui récupèrent (mais elle est sans limite) des Antivirus crackés
Je n'ai pas indiqué de jeux mais ils en font partie, puisqu'une majorité de ceux qui récupèrent des jeux piratés s'en servent pour créer des comptes sur les plates formes habituelles (ORIGIN, Steam etc) afin de tester des programmes de triches (qui maintenant sont aussi vérolés :-)
Si il se font voler leurs données, si leur PC subit un ransomware, je ne vais pas compatir, bien au contraire

Code : Tout sélectionner

Adobe Acrobat Pro 
Adobe Lithroom, Illustrator, Photoshop, Première, des "brushes pour Photoshop
Cubas pro
Revo uninstaller PRO
DxO Filmpacks
Express VPN 
MalwareBytes
Utorrent Pro
Microsoft Office pro
Winrar en version "finale"
CCleaner PRO Plus
AVast Premier security

KMSSpico
KMS Tools portable

PowerISO
Corel Paint shop PRO
Antidote
Nuance Omnipage
Virtual DJ
Iobit driver booster PRO
Auto CAD
Glary Utilites
3DMark 
Visite virtuelle 3DVista Pro 
Des Suite de récupération de données (Minitools etc)
.....

Là aussi rien que du classique

La petite différence vient dans les packages
AVANT on avait un programme, et le crack à coté soit en .exe soit sous forme de clé fournie dans un fichier .TXT (ce .TXT rassurait)
Cela n'empêchait pas d'avoir le programme vérolé ou le crack, mais les fichiers étaient "en l'état"

MAINTENANT (Disons depuis 1 ou 2 ans) on voit de plus en plus une archive ZIP protégée par mot de passe
Le mot de passe vient ensuite dans un fichier texte TXT. et sert à déverrouiller l'archive .zip

Cette approche permet à la fois de rassurer l'utilisateur qui pense à juste titre qu'un vrai fichier texte n'est pas dangereux, mais permet aussi de contourner les scanners antivirus lors du téléchargement.

Lorsque les utilisateurs visitent ces faux sites et cliquent pour télécharger, ils subissent immédiatement de multiples redirections qui obscurcissent le processus de détection par les moteurs de recherche, les scanners anti virus et les livrent finalement à un site malveillant hébergeant le contenu prévu par l'auteur de la menace - un malware info stealer comme celui présenté ci-dessous par exemple

programme.jpg


L'utilisateur peut penser à un fonctionnement "normal" du site, mais de toutes les façons, il est dans un effet tunnel parce qu'il le veut ce programme, et ira même parfois/souvent, désactiver l'antivirus pour pouvoir s'en servir
Cela semble paradoxal, car souvent ces personnes recherchent le "meilleur antivirus" justement pour ne pas se faire infecter avec des cracks (ce qui est globalement utopique) ou après avoir été infecté (parce qu'ils veulent continuer à récupérer des cracks)


Après être arrivé à la destination finale et avoir terminé le téléchargement, la charge utile finale reçue dans l exemple ci dessus, est un fichier d'archive zip d'une taille inférieure à 10 Mo.
Dans ce cas, l'URL d'hébergement de logiciels malveillants est un répertoire ouvert contenant plus de 3000 fichiers d'archives zip malveillants se faisant passer pour des types courants de logiciels piratés, comme illustré ci dessous
2022-08-28_123431.jpg

Dans plusieurs campagnes différentes, depuis le mois de juin, il a été observé que même des sites de confiance comme Mediafire ou Discord étaient également utilisés pour héberger des logiciels malveillants dans plusieurs campagnes différentes.

En plus cela peut se faire par rebond
Une personne est infectée, il a une chaine Youtube.
La chaine Youtube sera piratée (ils ont les données d'accès puisque volées) et là où c'est subtil, c'est que la chaine youtube diffusera des vidéos de cracks divers, en donnant des liens qui contiendront des malwares
L'idéal pour les malfaisants étant de trouver une chaine Youtube avec beaucoup d'abonnés (l'utilisateur peut etre ciblé pour cela)


LES DETAILS DE FONCTIONNEMENT


En gardant le meme exemple de programme dont j'ai caché le nom on a donc au final dans le fichier téléchargé un fichier d'archive compressé qui contient une archive zip protégée par mot de passe et un fichier texte déguisé pour contenir les mots de passe stockés.

Après décompression, le poids du contenu est de 600 Mo, en utilisant la technique de "l'aplatissement des données" - une manière bien connue de placer des données en mémoire, ce qui permet d'éviter l'analyse dans ce cas.
Il s'agit en fait de rembourrage d'octets qui ne sont pas pertinents pour l'exécution du programme mais qui sert à tromper et à échapper à la détection par les moteurs de sécurité.
Le fichier contient également des vérifications Anti-VM et Anti-Debug.
Suite à cela, le processus de vidage supprime les octets non pertinents en réduisant la taille du fichier dans cet exemple de 600 Mo à 78 Ko

Le fichier exécutable dans les archives est le programme malveillant qui va récupérer la charge utile
Une fois le fichier exécuté, il génère une commande PowerShell codée qui lance un processus cmd.exe au bout d'un délai de 10 secondes.
Ces dix secondes sont là pour pour éviter le sandboxing
Ensuite il télécharge un fichier JPG dans le système du nom de "windows.decoder.manager.form.fallout15_Uwifqzjw.jpg (toujours pour cet exemple)
qui s'avère en fait être une DLL.

La DLL finale est le célèbre malware RedLine

Celui ci va donc voler vos informations et il est capable d'extraire des données des navigateurs, des signets, des cookies, des portefeuilles crypto, des VPN, etc.


Les auteurs de logiciels malveillants utilisent généralement des packers et des protections pour la compression et pour envelopper le logiciel dans une couche supplémentaire de code déguisé afin d'échapper à la détection.
Les packers gagnent également en popularité pour les techniques anti-VM et anti-débogage qu'ils proposent, qui permettent aux logiciels malveillants de naviguer efficacement dans le système, d'éviter la détection et de s'exécuter plus facilement

Il y a quelques années, ces "enveloppes" pouvaient changer 1 500 fois par heure..
AUCUN antivirus ne peut suivre
La détection se fera par d'autres moyens comme à l'exécution, mais il sera souvent trop tard


En plus les nouvelles générations de Trojan Stealer, une fois leur méfait accompli, peuvent s'auto détruire après donc la récup de données ce qui fait que l'Antivirus ne voit rien lors d'un scan, ou que les rapports FRST n'indiquent rien de spécial
Je n'ai plus l'ex en tete mais il y en a fortement optimisés, qui sur une machine moderne/puissante peuvent agir en ... 1/10 de seconde
Cela rappelle certains ransomware qui lisent très rapidement la table d'allocation (ou comme des programmes sains comme everything) et sont capables de crypter un disque de 8To en moins de 10 secondes)
En fait vu qu'ils ciblent certains dossiers, certains fichiers, le scan et infection sera plus rapide qu'un programme comme Everything qui lui scanne tout

Les IP contactées se retrouvent dans les fichiers de paramètre de Chrome qu'ils modifient, et également de certains modules qui font des accès extérieurs... dont des mises à jour par ex (un peu comme on peut le voir avec Firefox qui contacte certaines IP dont Mozilla)
Le navigateur est autorisé par le firewall, et il faudrait en fait analyser tous les appels extérieurs.


REDLINE

La charge utile DLL contient un logiciel malveillant RedLine Stealer qui cible l'historique de votre navigateur stocké, il est masqué par un crypteur et compilé en mémoire par le chargeur. Le chargeur charge la DLL et la remplace par le contexte de thread actuel.

Ce RedLine Stealer est conçu, comme il a été dit, pour voler les mots de passe de navigateur stockés, les données de saisie semi-automatique, y compris les informations de carte de crédit, ainsi que les fichiers et portefeuilles de crypto-monnaie.

Il faut savoir que depuis 2020 RedLine est devenu le principal fournisseur de données volées aux forums du dark web, devançant même le célèbre RACOON
A gauche sur les sites de ventes russe, à droite sur les autres sites de ventes à travers le monde

2022-08-28_132328.jpg

Autres détails : https://malpedia.caad.fkie.fraunhofer.d ... ne_stealer
L'actualité Redline https://www.bleepingcomputer.com/tag/redline/ (pour l'instant vous ne verrez pas cette news qui n'est pas encore connue)
_________________

Ces faux sites délivrent également le malware RecordBreaker Stealer, livrés sans l'utilisation de services d'hébergement de fichiers légitimes en utilisant à la place des outils de conditionnement de logiciels malveillants tels que Themida, VMprotect et MPRESS,
Et ils vont même proposer de désactiver les programmes de sécurité actifs
2022-08-28_125740.jpg
Ensuite c 'est du grand classique,
Après exécution, le logiciel malveillant communique avec le serveur C2 et renvoie l'ID de la machine et l'ID de configuration avant de télécharger les bibliothèques requises à partir du serveur distant.

Ex d'infos récupérées

2022-08-28_131837.jpg

RecordBreaker est conçue pour voler des informations de navigateur à partir d'extensions, notamment : MetaMask, TronLink, BinanceChain, Ronin, MetaMask, MetaX, XDEFI, WavesKeeper, Solflare, Rabby, CyanoWallet, Coinbase, AuroWallet, KHC, TezBox, Coin98, Temple, ICONex, Sollet, CloverWallet, PolymeshWallet, NeoLine, Keplr, TerraStation, Liquality, SaturnWallet, GuildWallet, Phantom, TronLink, Brave, MetaMask, Ronin, MEW_CX, TON, Goby et TON en utilisant les ID d'extension fournis par le serveur C2

Il vole également les cookies
Voir cet article https://www.malekal.com/quest-ce-que-l ... e-session/
cookie.jpg


Cela devient très classique là aussi mais en plus sophistiqué on trouve le "LUCA Stealer," capable de piquer les login/mot de passe meme si une extension de gestion de mots de passe est installée, comme Keepass par ex (mais sur Chrome/chromium)
https://www.bleepingcomputer.com/news/s ... er-forums/
- C'est le seul qui pour l'instant arrive à passer outre les coffre forts sur Chrome/Chromium
- C'est le premier écrit en RUST (ce qui accroit la difficulté pour l'analyser)
- Il est assez élaboré d'après le code source et surtout... ce code source est dispo depuis le 3 juillet pour qui veut y ajouter des fonctions


Au final quelque soit le stealer, cela peut entraîner des pertes financières, le vol d'identité et d'autres formes de fraude et d'extorsion.

Et ces deux la ne sont pas les seuls que l'on retrouve dans les programmes crackés
Ex https://www.bleepingcomputer.com/news/s ... are-sites/
et https://www.trendmicro.com/en_us/resear ... ealer.html



Vous êtes toujours partant pour rechercher des cracks ?


__________

ANNEXE

Les IP Malveillantes (juste pour info ca ne croyez pas être protégés pour autant en collant tout cela dans Hosts par ex) et n'essayez pas non plus de coller ces IP dans votre navigateur
Par ex 45.150.67[.]175 va ramener /aN7jD0qO6kT5bK5bQ4eR8fE1xP7hL2vK/msvcp140.dll

Code : Tout sélectionner

45[.]150[.]67[.]175
94[.]158[.]244[.]119
45[.]135[.]134[.]211
194[.]180[.]174[.]180
185[.]250[.]148[.]76
37[.]221[.]67[.]219
45[.]140[.]146[.]169
94[.]140[.]114[.]231
94[.]158[.]244[.]213
45[.]142[.]212[.]100
194[.]180[.]174[.]187
194[.]180[.]174[.]186
135[.]181[.]105[.]89
77[.]91[.]102[.]88
77[.]91[.]103[.]31
94[.]158[.]247[.]24
85[.]239[.]34[.]235
45[.]67[.]34[.]234
45[.]67[.]34[.]238
45[.]142[.]215[.]92
45[.]153[.]230[.]183
45[.]152[.]86[.]98
74[.]119[.]193[.]57
77[.]91[.]74[.]67
146[.]19[.]247[.]28
77[.]91[.]102[.]115
45[.]159[.]251[.]21
146[.]19[.]247[.]52
45[.]142[.]215[.]50
45[.]133[.]216[.]170
193[.]43[.]146[.]22
193[.]43[.]146[.]26
146[.]70[.]124[.]71
193[.]43[.]146[.]17
146[.]19[.]75[.]8
45[.]84[.]0[.]152
45[.]133[.]216[.]249
45[.]67[.]34[.]152
45[.]133[.]216[.]145
Idem pour les FAUX Sites qui comportent TOUS des malwares de type stealer
Les VRAIS sites peuvent être tout autant infectés et avec d'autres malwares

Code : Tout sélectionner

fullcrack4u[.]com
activationskey[.]org
xproductkey[.]com
saifcrack[.]com
crackedpcs[.]com
allcracks[.]org
aryancrack[.]com
prolicensekeys[.]com
applications-pour-pc[.]com
bagas3-1[.]com
seostar2[.]xyz
keygenwin[.]com
nuage27[.]xyz
touspcsoftwares[.]info
deepprostore[.]com
numéro de série[.]info
steamunlocked[.]un
fichier-store2[.]xyz
reallkeys[.]com
fullcrackedz[.]com
softwaresdaily[.]com
officiels-kmspico[.]com
hotbuckers[.]com
mycrackfree[.]com
procfullcracked[.]com
idmfullcrack[.]info
drake4[.]xyz
crackedsofts[.]info
getintopc[.]numérique
piratespc[.]net
apxsoftwares[.]com
crackfullpro[.]com
toutcrackici[.]info
kuyhaa-moi[.]pw
crackplace[.]com
freepccrack[.]com
proapkcrack[.]com
crackfullpc[.]com
Gratuit-4payé[.]com
lien fissuré[.]com
crackpropc[.]com
cracktube[.]net
getmacos[.]org
getwindowsactivateur[.]info
playzipgames[.]co
proactivationkey[.]com
procracfree[.]com
showcrack[.]com
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible !
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 13464
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM

par Parisien_entraide »

REDLINE va t-il se faire distancer dans la course aux vol de données ?


2022-09-27_131538.jpg




C'est possible avec l'arrivée d' ERBIUM

Son avantage : Pour ceux qui veulent l utiliser

- Son prix d'achat est d'un tiers de celui de REDLINE (même si il est passé de 9$ par semaine à 1 000$/mois du fait de sa popularité grandissante)
- Un grand suivi de la part de l'auteur qui est très à l'écoute de "ses clients" utilisateurs et hackers
- Un bon support "client"
- Des fonctions étendues
- Il ne s'occupe pas que des programmes et jeux, mais EGALEMENT des programmes de triche pour les jeux (dommage qu'il faille diffuser ce type d'information pour être objectif dans la présentation :-)


2022-09-27_132927.jpg



QUE FAIT IL ?

La même chose que les autres : Voler les informations d'identification des victimes et les portefeuilles de crypto-monnaie. mais avec un champ d actions plus large

- Erbium volera les données stockées dans les navigateurs Web (basés sur Chromium ou Gecko), tels que les mots de passe, les cookies, les cartes de crédit et les informations de remplissage automatique.
- Il tente également d'exfiltrer les données d'un grand nombre de portefeuilles de crypto-monnaie installés sur les navigateurs Web en tant qu'extensions.
- Des portefeuilles de bureau froids comme Exodus, Atomic, Armory, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash et Jaxx sont également volés.

Erbium vole également les codes d'authentification à deux facteurs de Trezor Password Manager, EOS Authenticator, Authy 2FA et Authenticator 2FA.
Il peut effectuer des captures d'écran de tous les moniteurs, arracher des jetons Steam et Discord, voler des fichiers d'authentification Telegram et profiler l'hôte en fonction du système d'exploitation et du matériel.


En détails

- Capture d'écran du bureau de tous les moniteurs.
- Informations sur le PC (CPU, GPU, DISK, RAM, nombre de moniteurs, résolutions de moniteur, résolutions de moniteur, MAC, version Windows, propriétaire Windows, nom du PC, architecture du PC, clé de licence Windows)
- Mots de passe (dont avec les logiciels de gestions de mots de passe) , cookies, historique, cartes, remplissage automatique des navigateurs les plus populaires basés sur Gecko et Chromium avec en priorité (dans le désordre) les navigateurs : Cyberfox, Firefox, K-Meleon, BlackHawk, Pale Moon, Google Chrome, et messagerie Thunderbird.
- Portefeuilles froids des navigateurs (MetaMask, TronLink, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaxx Liberty, BitApp Wallet, iWallet, Wombat, MEW CX, GuildWallet, Saturn Wallet, Ronin Wallet, NeoLine, Portefeuille Clover, Portefeuille Liquality, Terra Station, Keplr, Sollet, Portefeuille Auro, Portefeuille Polymesh, ICONex, Portefeuille Nabox, KHC, Temple, TezBox, Portefeuille Cyano, Byone, OneKey, LeafWallet, DAppPlay, BitClip, Porte-clés Steem, Extension Nash , Client Hycon Lite, ZilPay, Portefeuille Coin98, Harmonie, KardiaChain, Rabby, Fantôme, Portefeuille Cristal TON)
- Autres plugins de navigateur (Authenticator, Authy, Trezor Password Manager, GAuth Authenticator, EOS Authenticator)
- Steam (liste des comptes et fichiers d'autorisation, jetons)
- Discord (jetons)
- Clients FTP (FileZilla, Total Commander)
- Télégramme (fichiers d'autorisation)
- Portefeuilles de bureau froids (Exodus, Atomic, Armory, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash, Jaxx)
- Il peut obtenir la géolocalisation du système victime.
- Les codes d'authentification à deux facteurs de Trezor Password Manager, EOS Authenticator, Authy 2FA et Authenticator 2FA.




MODES DE DIFFUSION

Par le très classique phishing (et ses nombreuses variantes car il n'y a pas que le mail), ou mieux par spear phishing (technique ancienne qui consiste a envoyer des courriels parfaitement personnalisés et soignés, qui redirigent les victimes vers des sites malveillants uniquement accessibles par ce biais) , des publicités malveillantes, et bien entendu par les cracks de programmes et jeux, ET ce qui est plus rare de triches pour les jeux

On note également des videos YOUTUBE proposant des cracks etc dans les descriptifs avec bien entendu de faux commentaires, et également des prises de contact sur DISCORD pour faire télécharger sous divers pretextes un peu de tout sous pretexte d'aider, de s'excuser (comme sur Steam) d'avoir dénoncé la personne comme trichant et voulant se racheter et faire intervenir un admin pour débannir etc
Bref les pretextes ne manquent pas (-ils ont de l'imagination)

Donc oncernant les infections avec les programmes de triche, cela avait commencé tout doucement avec des liens mediafire, donnés sur certains forums, et videosYOUTUBE , mais ce n'est que le début :-)
Ils opèrent également sur les plates formes comme STEAM etc (voir plus bas)




On a donc :


Le phishing (hameçonnage)
viewtopic.php?t=623
https://www.malekal.com/le-phishing-ham ... rotection/

Le phishing par "Browser in the browser"
https://www.malekal.com/le-phishing-par ... wser-bitb/
Ex avec Steam viewtopic.php?t=71136

le Tabnabbing
https://www.malekal.com/tabnabbing-phishing/

Le vol de cookies de session
https://www.malekal.com/quest-ce-que-le ... e-session/

Le vol des mots de passe des navigateurs (même gérés par des gestionnaires de mots de passe comme le fait également le LUCA Stealer)
https://www.malekal.com/vol-mots-de-pas ... teurs-web/


Ensuite rien ne dit que ceux qui sont derrière les faux sites n'utilisent pas les mêmes méthodes que les CRITEO et TABOOLA, à savoir la récupération de vos données sur un formulaire et que celles ci soient déjà dans la nature puisque
"les formulaires de certains sites Web récoltent vos données avant même de cliquer sur envoyer"
viewtopic.php?t=71155 vu qu'il y a eu des cas de vol de données pour certains malwares sur Steam alors que les gens n'avaient rien confirmé il se pourrait que la technique soit utilisée


Concernant la grosse nouveauté qui consiste à véroler les programmes de triche je dirais... "Tant mieux" (oui c'est pas sympa :-)
Au moins ces c.....s qui nous pourrissent la vie dans les jeux depuis des années vont avoir un retour de flamme bien mérité

En plus pour avoir côtoyé ces individus pendant pas mal de temps lorsque j'étais sur les forums EA, même si ils savent qu'il y a un risque avec les programmes de triche, (et à l'époque c'était au pire un compte banni avec tous les autres jeux légaux) ils essaieront quand même (même principe et effets que la drogue du même nom)
C'est lié à leur personnalité, et le fait qu'ils sont le plus souvent immatures et sociopathes (au mieux)
Je parle bien de triche pour les jeux multi joueurs et pas pour les jeux en solo
Donc je peux que les encourager à continuer aux vues des conséquences que ce "virus" peut amener :-)



A TERME ?

On pourrait voir ce malware se doter d'une fonction de ransomware (après exfiltration des données) , mais avec la nouvelle mode qui consiste à corrompre les données et non plus à les chiffrer (ou crypter tout dépend de quel point de vue on se place) ce qui permet un gain de temps et de se faufiler à travers les protections anti virus
Pour les instants le business consiste à voler et à vendre à des tiers mais rien ne dit que des entreprises/sociétés, hôpitaux etc ne seront pas ciblées par des groupes de hachers puisque la technique du spear phishing est utilisée (depuis peu)


A noter qu'en France il y a déjà eu des gens infectés avec ce malware


Point négatif : Est écrit en C++ et non en RUST (qui offre d'autres possibilités)


Détails à
https://blog.cluster25.duskrise.com/202 ... nfostealer (avec les indicateurs de compromission)
https://www.cyfirma.com/outofband/erbiu ... re-report/ (où on trouve les fichiers ajoutés sur l'ordinateur de la victime)

Sur les possibilités et usage avec Discord
https://www.cyfirma.com/cyber-research- ... f-discord/,
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible !
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 13464
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM

par Parisien_entraide »

Compléments de lecture (et ne pas négliger les liens à la fin des tutos/présentation

Trojan Stealer : le malware qui vole des données
https://www.malekal.com/trojan-stealer/

Ce qu'est un TROJAN RAT (en général c'est livré avec)
https://www.malekal.com/rat-remote-access-tool-botnet/


Comment les cybercriminels piratent les comptes internet (mail, Facebook, Twitter, Paypal, …)
https://www.malekal.com/comment-cybercr ... -internet/
- Only Amiga... Was possible !
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 13464
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM

par Parisien_entraide »

Deux sujets réactualisés sur le site :


KMSPico ou KMSAuto activation de Windows/Office gratuitement sans payer
https://www.malekal.com/kmspico/


Kmspico / KMSAuto et les trojans
https://www.malekal.com/kmspico-trojan/

En lien donc avec viewtopic.php?p=530858#p530858

Et on reste dans le sujet des voleurs de données puisqu'on y trouve des Trojan stealer
- Only Amiga... Was possible !
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 13464
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM

par Parisien_entraide »

Et si vous pensez que les cracks et programmes piratés ne se trouvent QUE sur les sites louches Russes, détrompez vous !

Voici un ex d'un programme acheté sur le site CDISCOUNT qui en fait est un programme piraté avec un crack
En plus rien ne dit que la charge utile malveillante ne soit pas installée en même temps

viewtopic.php?p=530240
- Only Amiga... Was possible !
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 13464
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM

par Parisien_entraide »

amiga.gif


Allez, on va commencer l'année en fanfare avec un nouveau venu : RISE PRO : qui a fait ses premières armes en fin d'année 2022, et dont les données volées par ce stealer sont apparues sur les sites de ventes russes mi décembre (13 décembre)
Quelques jours après (au 17 décembre) , il y avait déjà plus de 2000 packages en vente (donc les données de 2000 utilisateurs)


2023-01-01_100401.jpg


Source principale : https://www.bleepingcomputer.com/news/s ... cks-sites/


2023-01-01_095545.jpg


RESUME

RisePro est un voleur d'informations personnelles, désormais distribué via de faux logiciels de crack (programmes et jeux), des générateurs de clés, et .. de logiciels de triche



Bleeping Computer fait part de l’existence d’un nouveau malware découvert par des chercheurs spécialisés en sécurité informatique de chez FlashPoint et Sekoia

Ce malware nommé RisePro circule via une plateforme nommée PrivateLoader.
Cette plateforme est un service de distribution de logiciels malveillants déguisé en plateforme de téléchargement de crack, de logiciels piratés, de programmes de triche

PrivateLoader est donc livré via un réseau de sites Web qui prétendent fournir des logiciels "piraté", qui sont des versions modifiées d'applications légitimes populaires que les gens utilisent couramment.
Ces sites Web sont optimisés pour le référencement et apparaissent généralement en haut des requêtes de recherche contenant des mots-clés tels que "crack" ou "téléchargement de crack", précédés du nom du logiciel.

MAIS y a une énorme campagne actuellement et qui vise EGALEMENT des programmes connus comme :
MSI Afterburner, OBS Studio, Brave Browser, Notepad++, VLC Media Player, Audacity, AnyDesk
https://blog.osarmor.com/258/searches-r ... o-malware/

Les faux installateurs de logiciels et les cracks de logiciels sont promus également sur les commentaires des vidéos YouTube et/ou sur la description de la vidéo. qui peuvent apparaitre également en tête des résultats de recherche
Il peut également y avoir de faux commentaires positifs sur la vidéo et qui remercient l'auteur



PrivateLoader n'est pas un inconnu https://intel471.com/blog/privateloader-malware

et distribue des :

- Voleurs d'informations (stealer) : Redline, Vidar, Raccoon , Eternity , Socelars, Fabookie, YTStealer, AgentTesla, Phoenix et d'autres voleurs non classés .
- Ransomware: Djvu.
- Botnet : Danabot, SmokeLoader.
- Mineurs : XMrig et autres voleurs non classés.
- Autres logiciels malveillants de base : variante DcRAT, Glupteba, Netsupport et Nymaim.


RisePro qui s'ajoute à la longue liste a pour but de voler les données personnelles des personnes ayant installées un logiciel piraté depuis PrivateLoader.


Il existe des gestionnaires de liens de téléchargement, la charge utile finale étant des archives protégées par mot de passe hébergées sur WordPress compromis.
Comme le montre l'image ci dessous, les sites Web ne sont utilisés que pour fournir des instructions (URL de téléchargement et mot de passe d'archivage).
L'URL de redirection pour télécharger le malware change régulièrement, au moins une fois par jour.

Aparté : Depuis quelques mois, on note des centaines de sites compromis, tels les Case.edu, Ub.edu, berkeley.edu, Europa.eu,
Des pirates informatiques, cachés derrière de faux sites de streaming, infiltrent d’importants et connus site web.
En décembre certains se sont fait infiltrer pour diffuser de fausses annonces pour des films récents et surtout recherchés, comme Black Adam ou encore Avatar 2.
Source : https://www.zataz.com/europa-hack-berkeley-film/

2023-01-01_094824.jpg

“Le voleur cible les cookies, les mots de passe enregistrés, les cartes de crédit enregistrées et les portefeuilles cryptographiques, ainsi que les logiciels installés pour les informations d’identification” explique Sekoia l’une des entreprise de sécurité informatique ayant repérée le malware.

D’ailleurs Sekoia précise que RisePro a la capacité de voler des informations provenant d’un navigateur, d’une extension, d’une application, ou encore des cryptomonnaies. Les données dérobées sont revendues sur des sites russes sur le dark web. Les navigateurs comme Google Chrome et Mozilla Firefox font partie de la liste

Flashpoint rapporte que les acteurs de la menace ont déjà commencé à vendre des milliers de journaux RisePro (paquets de données volées sur des appareils infectés) sur les marchés russes du dark web.

De plus, Sekoia a découvert de nombreuses similitudes de code entre PrivateLoader et RisePro, indiquant que la plate-forme de distribution de logiciels malveillants diffuse probablement maintenant son propre voleur d'informations, soit pour elle-même, soit en tant que service.

Actuellement, RisePro est disponible à l'achat via Telegram, où les utilisateurs peuvent également interagir avec le développeur et les hôtes infectés (bot Telegram).


RisePro est un logiciel malveillant C++ qui, selon Flashpoint, pourrait être basé sur le logiciel malveillant de vol de mot de passe Vidar, car il utilise le même système de dépendances DLL intégrées.

Pour en savoir plus sur le VIDAR et les stealers en général
https://www.malekal.com/trojan-stealer/

2023-01-01_092507.jpg

Le voleur d'informations prend d'abord les empreintes digitales du système compromis en examinant les clés de registre, écrit les données volées dans un fichier texte, prend une capture d'écran, regroupe le tout dans une archive ZIP, sou la forme d'un fichier "country code_victim ip address.zip"
puis envoie le fichier au serveur de l'attaquant.

2023-01-01_094110.jpg

RisePro tente de voler une grande variété de données à partir d'applications, de navigateurs, de portefeuilles cryptographiques et d'extensions de navigateur, comme indiqué ci-dessous :

Navigateurs Web :

Code : Tout sélectionner

7start 
Amigo 
Atom.
BlackHaw 
Brave 
CatalinaGroup Citrio 
CentBrowser 
ChomePlus 
Chromium Elements 
Chromodo 
Comodo
Coowon 
CryptoTab 
Firefox 
Google Chrome 
IceDragon 
Iridium 
K-Melon 
Maxthon3 
Netbox 
Nichrome 
Opera 
Orbitum 
Pale Moon 
QIP Surf 
Sputnik 
Torch 
Uran 
Vivaldi Chedot 
Yandex 

Extensions de navigateur :

Code : Tout sélectionner

Authenticator 
axx Liberty Extension 
BinanceChainWallet 
BitAppWallet 
Bolt X 
CloverWallet 
Coinbase 
EQUALWallet 
ForboleX 
Guarda 
GuildWallet 
iWallet 
LiqualityWallet 
Maiar DeFi Wallet
MathWallet 
MetaMask J
MewCx 
NeoLine 
NiftyWallet 
Oxygen  
PaliWallet 
PaliWallet 
Phantom 
RoninWallet 
SaturnWallet 
TronLink 
Wombat 
XDEFI Wallet 
Yoroi 
/code]



[b]Logiciels : [/b]

[code]
Discord, 
battle.net, 
Authy Desktop.


Actifs en cryptomonnaies :

Code : Tout sélectionner

Anoncoin 
BBQCoin 
BBQCoin 
Bitcoin 
DashCore 
devcoin 
digitalcoin 
Dogecoin 
Florincoin 
Franko 
Freicoin 
GoldCoin (GLD) 
Infinitecoin 
IOCoin 
Ixcoin 
Litecoin 
Megacoin 
Mincoin 
Namecoin 
Primecoin 
Reddcoin.
Terracoin 
YACoin 
Zcash 


En plus de ce qui précède, RisePro peut analyser les dossiers du système de fichiers à la recherche de données intéressantes telles que des reçus contenant des informations de carte de crédit dans des dossiers communs (par exemple, Bureau, Téléchargement, %TEMP%).


PrivateLoaader a été repéré pour la première fois par Intel471 en février 2022, tandis qu'en mai 2022, Trend Micro a observé PrivateLoader pousser un nouveau cheval de Troie d'accès à distance (RAT) nommé « NetDooka ».

Jusqu'à récemment, PrivateLoader distribuait presque exclusivement RedLine ou Raccoon, deux voleurs d'informations (stealer) populaires



Ne tentez pas de joindre ces domaines

Rise Pro C2

Code : Tout sélectionner

108.174.199.]249
108.174.200.]11
108.174.198.]132
ma-montée.]cc
api.my-rise.]cc

Domaines partagés

Code : Tout sélectionner

supersofteasy.]com
fixgroupfactor.]com
webproduct25.]com
gs24softeasy.]com
torggissoft.]com
teleportsoft.]com
testitsoft.]com
factor1right.]com
best24-files.]com
premier-miroir.]com
élite-hacks.] ru
jojo-files.]com
ma-montée.]cc
xx1-fichiers.]com
hero-files.]com
my-rise.]pro
m-rise.]pro
pu-fichier.]com
pickofiles.]com
vi-fichiers.]com
fichier-qd.]com
uc-files.]com
myrise.]pro
uni-files.]com
fvp-files.]com
Domaines partageant le même whois
get-files24.]com
softs-portail.]com
boost-files.]com
taux-fichiers.]com
get-24files.]com
upxlead.]com
gg-download.]com
files-sender.]com
taux-fichiers.]com
gg-loader.]com
neo-files.]com
vip-space.c]om
pin-files.]com
URL avec le modèle zip?c=
filesuk.]com
filecryptobur.]com
socialfiletest.]com
www.filefactory.]com
vi-fichiers.]com
pu-fichier.]com
topfilesstorage.]com
clubfiletyc.]com
filessoftpc.]com
smartfilegen.]com
fichierssite.]com
speedtestfile.]com
fichiersredproflex.]com
filefactory.]com
accesstostofilestorage.]com
getfileasap1.]com
fileswhiteprosoft.]com
yfilesstorage1.]com

Il faut savoir qu'il y a des clones de ce stealer (et oui les voleurs se volent entre eux) du moins plus exactement du "VIDAR" dont il est issu, dont le code
source a été volé
Il va donc falloir s'attendre dans les semaines et/ou mois à venir à voir apparaitre d'autres menaces de ce type

Il est à noter que ces stealer sont capables d' altérer les défenses (désactivation de la protection en temps réel de Windows Defender par ex)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible !
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 13464
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO

par Parisien_entraide »

hacking.gif


RAPPEL :

Il peut être tentant d'essayer de télécharger gratuitement les derniers jeux ou applications, mais cela finira par vous entraîner dans un foyer de problèmes lorsque votre ordinateur sera infecté par des logiciels publicitaires au mieux, mais surtout, des rançongiciels (ransomware) et des chevaux de Troie (Trojan) voleurs de mots de passe.(Stealer)

Dans le passé,la plupart des programmes indésirables qui étaient installés étaient des logiciels publicitaires ou des extensions de navigateur, et bien que considérés comme des nuisances, pour la plupart, ils ne volaient pas vos fichiers ou n'installaient pas de ransomware sur votre ordinateur.

Nous sommes en 2023, et depuis 1 ou 2 ans, les sociétés de monétisation d'installateurs de logiciels ont commencé à s'associer de plus en plus à des développeurs de logiciels de type ransomware, chevaux de Troie voleurs de mots de passe pour distribuer leurs logiciels malveillants.(Mots de passe volés par des cracks logiciels, jeux, et...Nouveauté : Programme de triche)

Il est maintenant constatés que les installateurs monétisés prétendant être des cracks logiciels et des générateurs de clés installent désormais couramment des chevaux de Troie voleurs de mots de passe ou des chevaux de Troie d'accès à distance (RAT) lorsqu'ils sont exécutés.

De plus ils utilisent l'outil Themida pour l'obscurcissement et l'évitement de la détection par les anti virus .. qu'ils peuvent désactiver au passage (Windows Defender par ex)
Ensuite ils peuvent s'auto détruire, ne laissant plus aucune trace (autre que des possibles dysfonctionnements et comportement curieux de Windows, de programmes,...)

Donc au final on vole vos informations et vous ne vous apercevez... DE RIEN

__________________


Raccoon et Vidar Stealers se propagent via un réseau massif de faux logiciels piratés


L'article émane d'une société de Cybersecurité (Sté Sekoia située à Paris) donc il ne faut pas se leurrer, c'est pour faire parler d'eux, mais l'article suit l'actualité et permet de voir certains aspects techniques

Une "grande infrastructure résiliente" comprenant plus de 250 domaines est utilisée pour distribuer des logiciels malveillants voleurs d'informations tels que Raccoon et Vidar depuis début 2020.
Sekoia a évalué les domaines devant être exploités par un acteur malveillant exécutant un système de direction du trafic ( TDS ), qui permet à d'autres cybercriminels de louer le service pour distribuer leurs logiciels malveillants.



L'article est en anglais (Malheureusement la partie en langue FR n'est pas à jour)

https://blog.sekoia.io/unveiling-of-a-l ... -stealers/


Un schéma courant pour tromper la victime est un tutoriel qui montre comment installer un logiciel piraté , qui s'avère être un voleur d'informations (Stealer)
Pour aider la victime à compromettre son système, le didacticiel décrit souvent étape par étape comment désactiver le logiciel antivirus, télécharger le faux programme d'installation et l'exécuter.

Pour la méthode de distribution, la victime entre dans un site Web malveillant soit promu via une annonce Google , soit empoisonné par le référencement SEO (Search Engine Optimization), ce que l'on retrouve en général en tête des résultats de recherche soit partagé dans un espace communautaire légitime ou pas : forum, facebook, instagram etc des sites torrent, créeront de fausses vidéos YouTube avec des liens vers de prétendus générateurs de clés de licence, ou créeront des sites conçus pour simplement promouvoir des ensembles de logiciels publicitaires déguisés en cracks logiciels.
Pour les jeux on voit même des campagnes pour offrir et promettre des clés bêta aux joueurs potentiels (Stealer à la clé évidemment)
Vu avec les jeux Valorant, Cyberpunk 2077, League of Legends, ...
Idem du reste avec des apk de jeux notamment, sur Android
Globalement tout ce qui est populaire (jeux et applications, comme vu avec Dr Fone par ex et l'incontournable Adobe photoshop dont meme les anciennes versions de 2006 sont vérolées avec les récents malwares)

Les analystes de SEKOIA.IO ont dévoilé une infrastructure vaste et résiliente utilisée pour distribuer les voleurs Raccoon et Vidar , probablement depuis début 2020.
La chaîne d'infection associée, tirant parti de cette infrastructure de plus de 250 domaines , utilise une centaine de faux sites Web de catalogue de logiciels piratés qui redirigent vers plusieurs liens avant de télécharger la charge utile hébergée sur des plateformes de partage de fichiers, telles que GitHub.



Au sommaire
suoi sommaire.jpg

Le développement intervient alors que Cyble a détaillé une campagne Google Ads malveillante qui utilise des logiciels largement utilisés tels que AnyDesk, Bluestacks, Notepad ++ , Zoom comme leurres pour fournir un stealer (Voleur de données) r riche en fonctionnalités connu sous le nom de
Rhadamanthys Stealer.

https://blog.cyble.com/2023/01/12/rhada ... oogle-ads/

Il est donc conseillé aux utilisateurs de s'abstenir de télécharger des logiciels piratés et d'appliquer l'authentification multi-facteurs/2facteurs dans la mesure du possible pour renforcer les comptes.
authetification a 2 facteur 2FA.jpg
--------


A EFFECTUER, APRES ANALYSE FRST (Farbar Recovery First) DANS LE FORUM

https://www.malekal.com/tutoriel-farbar ... tool-frst/


A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible !
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 13464
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS

par Parisien_entraide »

2023-01-24_132546.jpg


Les pirates ciblent les fans de "The Last of Us" avec des attaques de logiciels malveillants et de phishing

Pour les amateurs de séries, HBO a sorti le premier et deuxième épisode de sa série très attendue The Last of Us

Ces mêmes amateurs savent qu'il existe un jeu, mais celui ci est victime de pirates informatiques et d'escrocs par hameçonnage (Phishing)

Actuellement il y a deux campagnes malveillantes différentes, l'une impliquant l'injection de logiciels malveillants sur les PC et l'autre basée sur un schéma de phishing pour voler des informations personnelles, des mots de passe et des données de carte bancaire et autres informations financières,
Ces pirates peuvent voler les comptes de jeu avec de la monnaie interne et des skins rares, par exemple

La première des escroqueries implique un site Web qui prétend proposer un jeu appelé "The Last of Us Part II" en téléchargement, mais en réalité, ce n'est rien de plus qu'un piège élaboré.
Quiconque tente de le télécharger se retrouvera avec des logiciels malveillants sur son appareil dont de type STEALER
Cela ne causera, normalement, aucun dommage visible, tout en faisant son travail en silence."




La deuxième arnaque concerne un site Web qui prétend proposer un code d'activation pour le jeu "The Last of Us" sur Playstation.
ps sony.jpg

Le site Web, qui est un site de phishing, offre un "cadeau gratuit" tel qu'une PlayStation 5 ou une carte-cadeau Roblox de 100 $ avec le code.
Pour obtenir le code et le cadeau, les utilisateurs sont invités à payer une commission .
Afin d'effectuer le paiement, le site de phishing invite la victime à entrer ses informations personnelles, y compris les informations d'identification et les détails de la carte de crédit.
Selon les chercheurs, les victimes de cette arnaque ne reçoivent évidemment rien en retour.
Les pirates peuvent ensuite utiliser les informations personnelles volées pour toutes sortes de pratiques de fraude en ligne.

Les cybercriminels attirent activement leurs victimes avec des jeux à la mode : par exemple, en proposant un téléchargement gratuit d'un jeu qui peut être très cher sur Steam, ou en distribuant des jeux qui ne sont pas encore sortis officiellement

Le rapport Securelist de Kaspersky indique qu'il y a eu plus de trois millions d'attaques de phishing sur les plateformes de jeux en ligne au cours de l'année entre 2021 et 2022. La plupart de ces attaques visaient à inciter les joueurs à donner leurs identifiants de compte et leurs informations financières.



A noter que dans les tentatives de phishing, les cybercriminels utilisent désormais les pièces jointes OneNote lors de l'envoi d'e-mails de phishing, les utilisateurs se méfiant de plus en plus des documents office (Word et Excel) avec des macros dissimulées.
Au début de l'année dernière, Microsoft avait promis de détruire le vecteur de diffusion des logiciels malveillants via des macros dans Office, mais déjà en décembre 2022, les cybercriminels ont commencé à contourner de nouvelles mesures de sécurité via le format XLL .

OneNote est pratique pour les hameçonneurs dans la mesure où cette application est incluse par défaut dans le package Microsoft Office / 365. Même si le propriétaire de l'appareil n'utilise pas ce logiciel, Microsoft OneNote sera lancé à l'ouverture du fichier correspondant.
OneNote ne prend pas en charge les macros comme Word et Excel, mais il vous permet de placer une pièce jointe malveillante dans un bloc-notes. Lorsque le fichier est lancé, le composant malveillant démarre également
Heureusement, lors du lancement de OneNote, le logiciel doit avertir l'utilisateur des risques possibles, mais la pratique montre que, dans la plupart des cas, les utilisateurs cliquent simplement sur OK, ne sachant pas les dangers liés

Continuent d'être utilisées, les pièces jointes ISO et VHD , ainsi que les archives ZIP protégées par mot de passe
Comme vous le savez, ces conteneurs permettent de contourner les antivirus et le mécanisme de protection Windows (Mark of the Web (MoTW) )

cliquer sur l'image pour déclencher l'anim
2demo.gif

Un patch non officiel existe via la sté 0patch
Micropatchs gratuits pour contourner l'avertissement de sécurité MotW avec signature invalide (0day, maintenant CVE-2022-44698)
https://blog.0patch.com/2022/10/free-mi ... -motw.html
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible !
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 13464
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS

par Parisien_entraide »

Petite nouveauté : M2RAT

du groupe de hackers Nord Coréen RedEyes/ScarCruft Hacking Group (alias APT37) financé par l'Etat Nord Coréen

Source : https://asec.ahnlab.com/ko/47622/


Il est spécialement conçu pour échapper à la détection par les logiciels de sécurité (C'est la base :-)


Dans le fonctionnement on trouve du classique et bien connu :
Le logiciel malveillant insère une nouvelle valeur ("RyPO") dans la clé de registre "Run" avec des instructions pour exécuter un script PowerShell via "cmd.exe" afin de maintenir la persistance sur le système. La commande exactement identique a également été notée dans un rapport Kaspersky de 2021 sur APT37
.


Avantages pour l'instant : Cela cible la Corée du Sud et les individus en particulier (ce n'est pas un outil de masse) et exploite une faille connue du programme de traitement de textes Coréen Handgul (faille pourtant comblée) qui prend en charge EPS
Un fichier EPS est une sorte de format de fichier graphique et est un fichier qui exprime une image graphique à l'aide du langage de programmation PostScript créé par Adobe.
Les images vectorielles haute définition peuvent être exprimées via EPS, et le traitement de texte Hangul a pris en charge un module tiers (ghostscript) pour traiter EPS.
Cependant, en raison de l'augmentation des cas d'abus tels que les attaques APT utilisant les vulnérabilités EPS, le module tiers de traitement EPS a été supprimé de Hangul et de l'ordinateur via une mise à jour
A savoir, il n'y a pas que le traitement de textes Coréen qui utilise Ghostscript (Scribus par ex)
Reste à savoir si la faille était exploitée du fait de celles connues/inconnues d'EPS et/ou de son implémentation dans Handgul
De cela personne n'en parle mais toujours est il que la faille est explicite et ne touche pas que Handgul
https://nvd.nist.gov/vuln/detail/CVE-2017-8291


METHODE

Les attaquants utilisent des tactiques d'ingénierie sociale pour inciter leurs cibles à ouvrir l'e-mail et à télécharger une pièce jointe.
La méthode d'infection est donc classique, elle n'arrive pas par hasard, mais cette méthode à l'avantage d'arriver à faire télécharger une pièce jointe, même pour les gens attentifs au phishing

Un exploit particulier a été identifié qui peut permettre à un attaquant d'exécuter un shellcode sur l'ordinateur d'une victime.
Cet exploit est conçu pour être déclenché lorsqu'un utilisateur ouvre une image JPEG qui a été falsifiée par l'attaquant.
Une fois l'exploit déclenché, l'ordinateur de la victime télécharge et exécute une charge utile malveillante qui est stockée dans l'image JPEG.

2023-02-19_114736.jpg

De plus cela utilise une méthode particulière pour communiquer avec le serveur C&C de l'attaquant.
Plus précisément, M2RAT reçoit des commandes du serveur en les incorporant dans le corps de la méthode POST.

Cela permet à l'attaquant d'envoyer des instructions au logiciel malveillant d'une manière plus difficile à détecter pour les logiciels de sécurité.

Afin d'identifier le système victime, le serveur attaquant de M2RAT utilise l'adresse MAC de l'hôte comme identifiant. Dans ce cas, le serveur de l'attaquant utilise la valeur codée de l'adresse MAC pour identifier l'ordinateur de la victime.

En fait ce point est assez intéressant, car dans l'analyse de métadonnées qui transitent sur les réseaux, satellites également, ce que font TOUS les pays, la base de recherche par les services de renseignement, ne sont pas les données qui transitent (c'est secondaire) , mais tout ce qui permet d'identifier le réseau, dont les matériels, etc mais aussi les points de terminaison donc.. le poste terminal (L'ordinateur de l'utilisateur)
Je simplifie car les données pouvant être recueillies sont plus importantes que cela, car figurent également l'OS, sa version, les logiciels versions donc. failles connues ou pas etc
Cela permet par la suite de cibler une personne, une organisation soit à des fins d'interception (pas de hack donc) soit pour l'infecter pour en savoir plus

Ce qu'a fait Google par ex, sous couvert de ses Google cars pour les photos que l'on trouve sur street maps par exemple, en identifiant au passage tous les types de réseaux de type Wi fi, les matériels derrière, type de chiffrement, ...
Cela avait été présenté comme "un bug" :-)

C'est juste un exemple

MAIS APT37 a dirigé son attention vers diverses organisations basées dans l'Union européenne, déployant une nouvelle variante de leur porte dérobée mobile connue sous le nom de "Dolphin".
En plus de cela, le groupe a également utilisé un cheval de Troie d'accès à distance (RAT) personnalisé appelé "Konni" dans ses attaques.

Les attaquants ont également ciblé des journalistes situés aux États-Unis avec un type de malware hautement flexible appelé "Goldbackdoor", qui permet une gamme d'options de personnalisation en fonction des objectifs des attaquants.

Ces attaques avec M2RAT ont commencé en janvier 2023 et impliquaient la distribution ciblée d'e-mails de phishing contenant des pièces jointes malveillantes à des victimes sélectionnées.


Ce qui est nouveau pour ce stealer

CE QUI EST CIBLE

Windows et les appareils mobiles sont ciblés par M2RAT
M2RAT permet aux attaquants d'accéder à distance à un système infecté et d'effectuer une gamme d'activités malveillantes, notamment : -

- Enregistrement de frappe
- Le vol de données
- Exécution de la commande
- Prise de captures d'écran depuis le bureau
- Des captures d'écran sont prises périodiquement et la fonctionnalité est utilisée sans qu'un opérateur ait besoin de donner une commande spécifique pour qu'elle soit activée.

Jusque là rien que du très classique MAIS

Il est capable d'analyser l'ordinateur Windows à la recherche de tous les appareils portables qui y sont connectés.

Lors de la détection d'un appareil portable (Smartphone par ex tablette ) , une analyse sera effectuée pour identifier tous les documents (n'importe quelle nature) et enregistrements vocaux contenus sur l'appareil.
Les données volées sont stockées dans une archive RAR protégée par un mot de passe avant d'être exfiltrées vers un serveur contrôlé par l'attaquant., et la copie locale est effacée de la mémoire pour supprimer toute trace.


Fait amusant il utilise une méthode en fait bien connue et remise au gout du jour : La stéganographie
Pour ce groupe ce n'est pas nouveau, car en 2019, Kaspersky avait révélé que
le logiciel malveillant de téléchargement utilisé par le groupe ScarCruft (RedEyes) utilisait la stéganographie pour télécharger des logiciels malveillants supplémentaires.
Sinon il faut savoir que ces groupes, tout comme ce que l'on trouve sur le net en vente, disposent de "boites à outils" et ce stealer n'est qu'un outil de plus
Rien ne dit que du fait de son fonctionnement "nouveau" il n'apparaisse pas ailleurs, donnant des idées aux hackeurs
On trouve déjà des packs d'images "osées" de personnalités, avec du contenu JPG (qui peut être vérolé), et fichier .ink joint,
https://www.malekal.com/lnk-malware/ donc là pas besoin de phishing


Les virus dans les images
https://www.malekal.com/les-virus-dans-les-images/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible !
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
GlenLB
Messages : 4
Inscription : 08 mars 2023 18:04

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS

par GlenLB »

Parisien_entraide a écrit : 28 août 2022 13:27 Les attaquants utilisent des techniques d'empoisonnement SEO
Qu'appelez-vous des techniques d'empoisonnement SEO ? Faites-vous référence à du Negative SEO ?
Avatar de l’utilisateur
devadip
Messages : 986
Inscription : 25 févr. 2008 20:01

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS

par devadip »

GlenLB a écrit : 14 mars 2023 09:36
Parisien_entraide a écrit : 28 août 2022 13:27 Les attaquants utilisent des techniques d'empoisonnement SEO
Qu'appelez-vous des techniques d'empoisonnement SEO ? Faites-vous référence à du Negative SEO ?
Le parisien à mis un lien
viewtopic.php?t=21270
Un autre lien
https://blog.avast.com/fr/seo-poisoning
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »