🛡️ Vous voulez des programmes, jeux piratés, des cracks ? Obtenez des Stealers, ransomwares, crypteurs de monnaies

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Kaspersky ; Le trou dans la raquette avec les mises à jour

par Parisien_entraide »

trou dans la raquette.jpg


⭐ VOUS PENSEZ QUE VOTRE "SUPER" ANTIVIRUS PEUT FAIRE FACE AUX MENACES ?


Dans un entretien avec le site "Les Numériques" , Bertrand Trastour, directeur général France de Kaspersky, indiquait le 21/06/2023

Source : https://www.lesnumeriques.com/societe-n ... 10608.html
Il y a 25 ans, on voyait un virus par jour.

Aujourd'hui, ce que l'on voit dans nos laboratoires au quotidien, c'est en moyenne 420 000 nouvelles menaces quotidiennes.

Aujourd'hui, quand on parle de 420 000 actes malveillants que l'on voit tous les jours, c'est unique, c'est-à-dire que ce virus va pouvoir se diffuser à 100 000, 200 000, voire 300 000 exemplaires auprès des victimes.
Si on extrapole avec ce que racontent les tests d'antivirus (qui ne sont qu'indicatifs il faut le rappeler), les meilleurs plafonnent à 99% de taux de détection
Si on prend juste le chiffre de Kaspersky cela nous donne pour les 1% restants : 4 200 infections qui vont passer outre la barrière de l'anti virus


Lors de tests d'AV ceux ci s'étendent sur plusieurs semaines et couvrent divers aspects (infection lors d'un téléchargement, d'une ouverture de pages web etc)
Néanmoins vu ce qui sort toutes les heures on peut estimer que c' est du constant
--------------------------------------------------------

Aparté hors des propos de l'entretien :

Les 1% ne sont pas pris à un moment "T" puisque dans la durée, MAIS curieusement cela correspond à ce qui se disait déjà il y a quelques années où certains malwares changeaient d'enveloppe jusqu'à 3 500 fois par heure , donc à l'instant T... AUCUN antivirus ne pouvait suivre
On note quand même qu'il y a eu des améliorations, car si un malware pouvait changer 3 500 fois par heure pour échapper aux détections il suffit de multiplier cela par X malwares.. Heureusement que la plupart sont de certaines classes et ont une base commune)
C'est pour cela, lorsqu'un antivirus indique 99.% de réussite lors de détections, il faut .. Relativiser sur l'efficacité

-------------------

MAIS IL Y A PIRE : La périodicité des mises à jour

Mais même dans ce cas de figure (les 1%), en fait c'est pire que cela, puisque Kaspersky indiquait bien sur son blog, qu'il peut se passer 25 minutes entre le moment de la détection d'un malware au sein de leurs labos, de la diffusion dans le cloud pour la détection et la mise à jour sur l'ordinateur
Mais dans la réalité pour les utilisateurs, on est plus proche d'une actualisation toutes les 2 heures de l'antivirus installé, sauf exception (1)

Pour la petite histoire, Kaspersky dispose de très bons labos, et leur cloud alimente nombre d antivirus d'éditeurs concurrents, et ce, malgré le fait du boycott envers la Russie affiché (c''est comme le Gaz Russe que l'Europe achète en fait via des pays détournés comme l'Inde ou les US qui font une exception sur les sanctions pour tout ce qui est lié aux énergies. Pire ils achètent de l'uranium à la Russie etc..C'est de l'hypocrisie et l'honneur est sauf)

Il y a quelques années pour certains malwares qui changeaient d'enveloppes toutes les heures, on en était à 2 500 ou 3 500 en nouvelles apparitions
AUCUN antivirus ne peut suivre la cadence

Donc Régis qui n'a jamais de chance, peut se retrouver en téléchargeant "volontairement" un crack, dans la période du trou noir, entre 2 mises à jour
Et j'en rajoute une couche...



Les chiffres du jour (juste une capture de ma version KIS installée où l'on voit qu'il y a eu une synchro il y a 4 minutes et qui donne un aperçu de ce qui est suspect en traitement pour analyse
2023-07-01_125444.png

Les stats annuelles (année 2022) de Kaspersky font apparaitre

Code : Tout sélectionner

- 109 millions d "objets" malveillants uniques neutralisés
- 102 millions d'URL bloquées
- 506 Millions de cyberattaques bloquées


- Quels sont les antivirus qui font des mises à jour toutes les 25 minutes ? :-)
- Quels sont les antivirus qui indiquent précisément la périodicité de la mise à jour de la base de données ?



Dans le mien j'ai le choix entre "Automatiquement" mais pas d'indication de fréquence (1), ce qui est dans l'absolu "normal (voir le renvoi à 1) et en plus il faut cocher une case pour indiquer de rechercher une mise à jour au démarrage de l'ordinateur, et "Manuel" où là j indique ce que je veux avec meme une indication de recherche toutes les minutes

Il faut aller sur le site éditeur pour apprendre que la fréquence de mise à jour de la base de données est toutes les 2 heures (mais ils en profitent pour mettre à jour les modules)
Les bases de données antivirus contiennent les signatures des menaces et les moyens de les combattre. Les mises à jour des modules de l’application éliminent les vulnérabilités dans l'application, ajoutent de nouvelles fonctionnalités ou apportent des améliorations aux fonctions existantes
Les bases de données peuvent être mises à jour jusqu’à 8 fois par jour ou plus encore, si nécessaire.
Ce dernier point est important

(1) La fréquence de mise à jour dépend du niveau de menace d’Internet et peut augmenter lorsqu’une activité malware intense est détectée.


Mais il y a pire...
Certains antivirus "gratuits" DIMINUENT cette fréquence, pour éviter la congestion des serveurs à .. 1 fois par jour (c'était le cas avec AVIRA free il y a quelques années, seuls ceux qui achetaient étaient prioritaires dans la liste d'attente
Ce genre de méthode a été révisée, car du fait de l'augmentation des menaces cela pouvait toucher la réputation de l'antivirus en le considérant comme peu efficace
L'exemple est juste là donc pour montrer une raison de l'allongement de la fréquence


--------------------------
Edit :
Comme on l'a vu les AV font une mise à jour des définitions de virus, lors du démarrage du PC... du moins pour un VRAI démarrage du PC et pas suite à une veille (Cas du PC portable par ex)

Ensuite il faut savoir que MEME si on dispose d'un AV tiers, du moins sous Windows 11 depuis la 22H2, il est effectué une mise à jour des définitions de virus, mais pas que...

On sait que le service Microsoft Defender reste inactif lorsque un antivirus tiers est installé sans utilisation du processeur ou du disque.

Après le démarrage du système, il faut quelques minutes à presque tous les produits, pour s'enregistrer dans la sécurité Windows qui se déclare en tant qu'AV principal.
Microsoft Defender joue le rôle d'AV principal pendant ces quelques minutes et met même à jour les signatures lorsqu'il le peut. (Même si l'antivirus tiers est lancé)

Il suffit de lancer par ex un programme comme System informer, onglet "'disk" pour voir les lectures et écritures

Lorsqu'un antivirus tiers est enregistré dans la sécurité Windows, il passe automatiquement dans un état suspendu avec une faible quantité de RAM et aucune utilisation du processeur et du disque.

C'est intentionnel
Les logiciels malveillants tentent souvent de désactiver Microsoft Defender pour contourner sa protection.
Microsoft essaie de rendre difficile l’arrêt de ses services.
Peut-être que le service est désormais conçu pour ne jamais s'arrêter complètement et qu'il devient inactif lorsque des produits tiers sont installés.
Même des outils comme Defender Control ne peuvent pas le couper longtemps. Le service revient.






_____________

ACTUALITES

2023-07-01_131956.jpg

Mockingjay est une nouvelle façon d'injecter des logiciels malveillants en contournant les antivirus (tous les détails dans le lien)

La nouvelle méthode d'injection de logiciels malveillants, baptisée Mockingjay, permet aux attaquants de contourner les systèmes de défense et d'exécuter du code malveillant sur les systèmes compromis.
Mockingjay a été signalé par des chercheurs de Security Joes.
https://www.securityjoes.com/post/proce ... -execution
Dans le rapport, les experts écrivent ce qui suit:
«Il est intéressant que l'injection soit effectuée sans attribuer de place spéciale, définir des autorisations et même démarrer un fil. L'unicité de cette méthode réside également dans le fait qu'une DLL vulnérable suffit à l'implémenter et à copier le code dans la bonne section.
Alors OUI l'injection .dll ce n'est pas nouveau, le fait de désactiver l'anti virus non plus MAIS Mockingjay est différent en ce sens qu'il évite à l'attaquant d'avoir à exécuter des API Windows qui sont généralement surveillées par des solutions de sécurité.
Pour ce faire, le vecteur utilise des exécutables Windows portables existants contenant un bloc de mémoire par défaut protégé par des droits Lecture-Ecriture-Exécution ( RWX ).
Les analystes de Security Joes ont découvert la DLL msys-2.0.dll dans Visual Studio 2022 Community, qui avait une section RWX par défaut de 16 Ko.
Cela en fait un candidat idéal pour l'injection de code malveillant.

Source https://www.bleepingcomputer.com/news/s ... etection/



Cela en rajoute une couche à

Au cours des derniers mois, les chercheurs en sécurité de Sophos ont enquêté sur de nombreux incidents de sécurité liés à la désactivation de solutions de détection et de réponses à incidents. En coulisses des cyberpirates recourent à un outil d'évasion, baptisé AUKILL présentant des similitudes avec l'outil malveillant Backstab.

Source et détails à https://news.sophos.com/en-us/2023/04/1 ... r-driver/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

RACOON STEALER le retour

par Parisien_entraide »

2023-08-23_181037.png



RACOON STEALER ANNONCE SON RETOUR APRES UNE INTERRUPTION



L'administrateur du projet a publié un teaser le 2 juin 2022, informant la communauté que les tests du Raccoon Stealer 2.0 sont en cours depuis deux semaines et que les "clients" sont satisfaits de la version bêta.
2023-08-23_175822.png


Les développeurs du malware Raccoon Stealer ont donc refait surface après une interruption de six mois et font désormais la promotion d'une nouvelle version du cheval de Troie, la 2.3.0, sur les forums cybercriminels.
Le Raccon Infostealer a appris à mieux se cacher dans le système et a reçu un certain nombre d'innovations

Raccoon est capable d'extraire les données de plus de 60 applications.
Le cheval de Troie collecte non seulement des informations d'identification, mais également des informations sur les cartes bancaires, l'historique des visites de pages Web dans les navigateurs, ainsi que des cookies et des données provenant de portefeuilles de crypto-monnaie.

Code : Tout sélectionner

- Informations de base sur les empreintes digitales du système.
- Mots de passe du navigateur, cookies, données de saisie automatique et cartes de crédit enregistrées.
- Portefeuilles de crypto-monnaie et extensions de navigateur Web, notamment MetaMask, TronLink, BinanceChain, Ronin, Exodus, Atomic, JaxxLiberty, Binance, Coinomi, Electrum, Electrum-LTC et ElectronCash.
- Fichiers individuels situés sur tous les disques.
- Capture d'écran.
- Liste des applications installées.
Les auteurs du malware prétendent que les données exfiltrées sont cryptées

Le nouveau Raccoon envoie des données à chaque fois qu'il collecte un nouvel élément, ce qui augmente le risque de détection mais garantit une efficacité maximale jusqu'à ce que le malware soit découvert et déraciné de l'hôte.

Dans les innovations

Selon les auteurs du malware, la nouvelle version de Raccoon a été créée à partir de zéro en utilisant C/C++, avec un nouveau back-end, un nouveau front-end et un nouveau code pour voler des informations d'identification et d'autres données.

Dans la version Raccoon 2.3.0, les auteurs ont ajouté un certain nombre d'innovations qui aideront les attaquants peu qualifiés à utiliser Raccoon de manière plus sécurisée.
Il sera désormais plus difficile pour les chercheurs et les forces de l’ordre de retrouver les opérateurs de logiciels malveillants.

Un nouvel outil de recherche rapide dans le tableau de bord Raccoon permet aux cybercriminels de trouver facilement des données spécifiques compromises. Extraire des mots de passe ou des documents spécifiques à partir d’énormes collections d’informations est devenu plus facile.
2023-08-23_175630.png

De plus, la version mise à jour de Raccoon comprend un mécanisme permettant de gérer les « activités suspectes » pouvant être associées à des tentatives d'étude de logiciels malveillants.
Si le cheval de Troie détecte une telle activité, il supprimera automatiquement les entrées correspondantes.

Les opérateurs peuvent désormais consulter l'évaluation d'une adresse IP dans un tableau de bord. Il peut être vert, jaune et rouge, ce qui indique soit sa relative innocuité, soit son appartenance à des robots de spécialistes de la cybersécurité.
2023-08-23_175737.png

Le kit peut inclure le déploiement de logiciels malveillants supplémentaires, tels que ceux utilisés pour obtenir et maintenir un accès à distance, ainsi que des charges utiles de crypto-jacking qui abusent de la puissance de calcul d'un hôte compromis pour extraire des crypto-monnaies. y compris «Éther».



Navigateurs ciblés par le Racoon Stealer
:
• Google Chrome
• Comodo Dragon
• Amigo
• Orbitum
• Bromium
• Nichrome
• RockMelt
• 360Browser
• Vivaldi
• Opera
• Spoutnik
• Kometa
• Uran
• QIP Surf
• Epic Privacy
• CocCoc
• CentBrowser
• 7Star
• Elements
• TorBro
• Suhba
• Navigateur plus sûr
• Mustang
• Superbird
• Chedot
• Torche
• Internet Explorer
• Microsoft Edge
• Firefox
• WaterFox
• SeaMonkey
• PaleMoon



Clients de messagerie :
• ThunderBird
• Outlook
• Foxmail



Crypto-monnaie :
• Electrum
• Ethereum
• Exodus
• Jaxx
• Monero
• Bither






Source et autres détails : https://cyberint.com/blog/financial-ser ... n-stealer/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? : MYSTIC STEALER

par Parisien_entraide »

2023-09-11_141518.jpg


Le nouveau logiciel malveillant Mystic Stealer est de plus en plus utilisé dans les attaques

Il est timidement apparu et promu sur les forums de piratage et les marchés du darknet depuis avril 2023, mais du fait de ses évolutions et prix de locations du package/serveurs, a surtout pris son envol à partir du mois d'aoùt et pire encore en septembre


Il cible :

Code : Tout sélectionner

- 40 navigateurs Web, (les signets, les cookies et les informations d'identification stockées)
- 70 extensions de navigateur, 
- 21 applications de cryptomonnaie,
-  9 applications MFA et de gestion de mots de passe, 
- 55 extensions de navigateur de cryptomonnaie, 
- les identifiants Steam et Telegram,
- Fichiers selon les paramètres utilisateur
- Informations système
- Capture d'écran
et bien plus encore (identifiant de messagerie comme Outlook etc .
Liste des navigateurs :

Code : Tout sélectionner

360Browser
7Star
8pecxstudios Cyberfox
Amigo
Brave-Browser
CatalinaGroup Citrio
CentBrowser
Chrome
Chromodo
Chédot
Comodo
Comodo IceDragon
Coowon
Elements Browser
Epic Privacy Browser
Fenrir Inc Sleipnir5 ChromiumViewer
Google Chrome
Iridium
K-Melon
K-Méléon
Kométa
Liébao
Mail.Ru Atom
MapleStudio ChromePlus
Maxthon3
Microsoft Edge
Mozilla Firefox
Mozilla IceCat
NETGATE Technologies BlackHawk
Navigateur CocCoc
Nichrome
Opéra
Orbite
QIP Surf
Sputnik
Torche
Vivaldi
YandexBrowser
uCozMedia Uran


Dans les informations système on a

Code : Tout sélectionner

- Clavier
- Lieu
- Informations sur le processeur
- Nombre de processeurs CPU
- Dimensions de l'écran
- Nom de l'ordinateur
- Nom d'utilisateur
- Processus en cours d'exécution
- Architecture du système
- Version du système d'exploitation

Pour la liste des cryptos ciblées et Wallet voir le lien en bas de page de Zscaler (il y en a de trop)


Il utilise la même fonctionnalité que pour la cryto monnaie, pour cibler les applications d'authentification à deux facteurs (2FA).


L'auteur a ouvert une discussion à son sujet pour des suggestions dans le but de l'améliorer, ce qui fait qu'il est très suivi

2023-09-11_140634.jpg

Détails techniques


Mystic Stealer peut cibler toutes les versions de Windows, y compris XP à 11, prenant en charge les architectures de système d'exploitation 32 et 64 bits.


- Le serveur est écrit en Python, tandis que le client est écrit en C.
( Mystic Stealer présente un faible taux de détection basé sur les résultats de la vérification AV (Antivirus) utilisant des techniques de manipulation de code pour échapper à la détection par la plupart des produits antivirus.
- Il fonctionne en mémoire pour éviter toute détection et utilise des appels système pour compromettre les cibles, garantissant ainsi qu'aucune trace n'est laissée sur le disque dur pendant le processus d'exfiltration des données.
- Une fois les données cibles identifiées, le malware les compresse, les crypte et les transmet.
- L'authentification du client n'est pas requise ; les données sont transmises au fur et à mesure de leur réception.
- Le malware est développé sans recourir à des bibliothèques tierces et intègre un analyseur de base de données de navigateur auto-écrit pour des fonctionnalités améliorées.


Pour résumer :
Le malware n'a besoin d'aucune dépendance, son empreinte sur les systèmes infectés est donc minime, tandis qu'il fonctionne en mémoire pour éviter d'être détecté par les produits antivirus.

De plus, Mystic effectue plusieurs contrôles anti-virtualisation, comme l'inspection des détails du CPUID pour s'assurer qu'il n'est pas exécuté dans des environnements sandbox.

L'auteur de Mystic a ajouté une exclusion pour les pays de la Communauté des États indépendants (CEI) (anciennement Union soviétique), ce qui pourrait indiquer l'origine du nouveau malware.

Le rapport Zscaler/InQuest indique qu'une autre restriction définie par le créateur est d'empêcher le logiciel malveillant d'exécuter des versions antérieures à une date spécifiée, éventuellement pour minimiser l'exposition du logiciel malveillant aux chercheurs en sécurité.

À partir du 20 mai 2023, l'auteur du malware a ajouté une fonctionnalité de chargement permettant à Mystic de récupérer des charges utiles supplémentaires depuis le serveur C2.
Lors de leur enquête, Cyfirma auteur d'une étude sur le stealer, a dénombré une cinquantaine de C2 actifs

Toutes les communications avec le C2 sont cryptées à l'aide d'un protocole binaire personnalisé sur TCP, tandis que toutes les données volées sont envoyées directement au serveur sans les stocker au préalable sur le disque.

Il s'agit d'une approche inhabituelle pour les logiciels malveillants voleurs d'informations, mais elle aide Mystic à échapper à la détection.

L'opérateur peut configurer jusqu'à quatre points de terminaison C2 pour la résilience, qui sont chiffrés à l'aide d'un algorithme XTEA modifié.

On note que les coffres forts/gestionnaires de mots de passe ne posent pas de problèmes
LastPass, Roboform, Trezor, NordPass et Nord VPN, ....

Code : Tout sélectionner

Binance
Exode
Bitcoin
Litecoin
Électrum
Authentification 2FA
Authentificateur Gauth
Authentificateur EOS
LastPass : gestionnaire de mots de passe gratuit
Gestionnaire de mots de passe Trezor
Gestionnaire de mots de passe RoboForm
Dashlane — Gestionnaire de mots de passe
Gestionnaire de mots de passe NordPass et coffre-fort numérique
Passe-navigateur
Gestionnaire de mots de passe et authentificateur MYKI

L'ajout récent d'un chargeur(via C2) pourrait aider les opérateurs de Mystic à déposer des charges utiles telles que des ransomwares sur des ordinateurs compromis.
La double peine donc.. En plus du vol de données, il y a du changage avec le cryptage des données

Une extrême prudence est donc recommandée lors du téléchargement de logiciels à partir d'Internet et le phishing (pièces jointes et liens à cliquer.

_________

Source principale (avec indicateur de compromission)
https://www.cyfirma.com/outofband/mysti ... h-malware/

Idem
https://inquest.net/blog/mystic-stealer-new-kid-block/

D'autres détails techniques
https://www.zscaler.com/blogs/security- ... ic-stealer
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

MetaStealer attaque les utilisateurs de macOS

par Parisien_entraide »

2023-09-13_114639.jpg


Je n'utilise pas de Mac (Mes dernières utilsations étaient sous Amiga en émulation :-) parce que cela ne m'intéresse pas (Machine/Os trop fermés) et je n'en ai pas usage surtout, donc je pose cela là juste pour signifier que le Mac n'est pas à l'abri des stealers

Source avec d'autres détails et indicateurs de compromission
https://www.sentinelone.com/blog/macos- ... d-attacks/

----------

Le malware MetaStealer attaque les utilisateurs de macOS sous la forme d'un fichier DMG


Le nouveau malware MetaStealer, conçu pour voler les informations des victimes, cible les utilisateurs de macOS.

Phil Stokes, chercheur chez SentinelOne, a parlé de MetaStealer. Dans le rapport, le spécialiste écrit ce qui suit :
"Les opérateurs de logiciels malveillants se font passer pour des clients et utilisent des techniques d'ingénierie sociale pour tenter d'inciter la victime à lancer une charge utile malveillante."

MetaStealer lui-même est distribué sous forme d'image disque DMG ( Apple Disk Image). Se faisant passer pour des clients, les attaquants envoient aux organisations une archive ZIP protégée par mot de passe contenant un fichier DMG.

Les experts ont également noté des tentatives de se déguiser en fichiers Adobe ou en installateurs Photoshop.

Les informations collectées ont permis de conclure que MetaStealer a commencé à opérer dans de véritables cyberattaques depuis mars 2023.

L’échantillon de malware le plus récent téléchargé sur VirusTotal remonte au 27 août 2023.

Ce sont principalement les utilisateurs professionnels qui sont attaqués, ce qui en soi est assez inhabituel pour les logiciels malveillants macOS.

Le composant principal de MetaStealer est un exécutable Go masqué et possède une fonctionnalité qui vous permet de collecter

Code : Tout sélectionner

-  des données du  iCloud, 
-  des mots de passe stockés 
-  les fichiers et les données des applications
- les données (login/mdp) de Telegram et Meta (Facebook)
MetaStealer tente donc de voler les informations stockées sur les systèmes compromis puis tente de les exfiltrer via TCP sur le port 3000.

Selon les experts de SentinelOne, un certain nombre de variantes de MetaStealer ont tenté d'usurper l'identité de TradingView. La même tactique a été utilisée par le malware Atomic Stealer .


Apple a mis à jour son outil de blocage des logiciels malveillants XProtect vers la version 2170 au cours de la semaine du 4 septembre.
Cependant, certains des échantillonsapparus en juin et juillet ne sont pas détectés par XProtect après cette mise à jour
2023-09-13_114503.jpg

Dans sa version actuelle, MetaStealer fonctionne uniquement sur l'architecture Intel x86_64, ce qui signifie qu'il ne peut pas compromettre les systèmes macOS fonctionnant sur des processeurs Apple Silicon (M1, M2), à moins que la victime n'utilise Rosetta pour exécuter le malware.

Cela atténue la menace et la limite à un nombre toujours réduit de victimes potentielles à mesure que les ordinateurs Apple basés sur Intel sont progressivement supprimés.

Cependant, MetaStealer pourrait publier une nouvelle version qui ajoute la prise en charge native d'Apple Silicon, c'est donc une menace à surveiller.


Autre source
https://www.bleepingcomputer.com/news/s ... s-systems/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS, TYPHON

par Parisien_entraide »

2024-03-28_134749.jpg


Petit rappel, car on note nombre d'infections (stealer qui viennent en plus avec un ransomware) et pas que sur le forum Malekal, du fait de téléchargements de jeux "récents", d'applications, en vogue, au top du classement des ventes, ou les plus recherchées etc....Crackées

Qu'est ce qu'un Stealer ?
https://www.malekal.com/trojan-stealer/



Les "malfaisants" sont comme vous, ils suivent l'actualité et parfois même la devance (de toutes les façons ils ont toujours un train ou un wagon d'avance, et à ce petit jeu vous serez TOUJOURS perdant)

Actuellement en ce presque milieu d'année 2023 (mais je ne prends que le plus connu) c'est le jeu STARFIELD qui principalement visé (mais on trouve aussi du FORZA HORIZON, CYBERPUNK 2077 etc bref tous les jeux récemment sortis et surtout recherchés, en vogue comme Hogwarts Legacy Digital Deluxe - L'héritage de Poudlard, au top classement etc)

Tout cela parce qu'ils sont très bien classés (même si buggués etc) au niveau des ventes ou mis en avant par les sites de jeux et articles

En ce deuxième semestre 2024 on voit déjà Warhammer 40,000 avec son "repack" ou "update" (voir plus bas ce que cela signifie) et du Age of Mythology Retold, là aussi avec son "repack" et "update



C'est la même chose du reste pour les programmes les plus recherchés, les programmes de triche etc et ce pour les années à venir

Sinon pour toutes les années ce que l'on trouve en "classique":

Code : Tout sélectionner

3DMark 
Avast Premier security
Adobe Acrobat Pro 
Adobe Lightroom, InDesign, Illustrator, Photoshop, Première, ... des "brushes pour Photoshop
Antidote
AutoCad (Autodesk)
CCleaner PRO Plus/ultimate
Corel Paint shop PRO
Cubas pro
Da Vinci
DxO Filmpacks
Express VPN 
FL Sutio 24
Glary Utilites
Iobit driver booster PRO

KMS Tools portable
KMSSpico

MalwareBytes
Microsoft Office pro
Nuance Omnipage
PowerISO
Revo uninstaller PRO
Solid Works
Utorrent Pro
Vegas Pro
Virtual DJ
Visite virtuelle 3DVista Pro 
Winrar en version "finale"

Des outils pour les smartphones
Tenorshare 4uKey  (C'est juste un exemple)
Et d'autres dont pour récupérer des mots de passe,  craquer IOS etc


Des Suite de récupération de données (Minitools etc)
Des programmes liés à l'audio pour les musiciens (Cubase, Garage Band, Ableton, Guitar Pro ...)
.....

On les retrouve en priorité sur les sites "foireux" (malgré les commentaires positifs, ou déclarant que tout est clean etc) de type

- xxx.r2rdownload.com
- xxx.elephantafiles.com
- xxx.taiwebs.com
- Skidrow (sont dans le crack et les virus depuis l'ordi Amiga)
etc (la liste est très longue)


et SURTOUT les biens connus sites , où 100% des utilisateurs du forum qui étaient infectés s'étaient retrouvés avec un STEALER

Code : Tout sélectionner

- fitgirl   www.fitgirl-repack
- repack games   htxxs://repack-games.com/
- htxx:// ... wawacity
C'est vite accessible en lien google, en téléchargement direct
Sinon on peut bien entendu trouver des fichiers infectés sur les sites de torrent


AUTRES POSSIBILITES ACCESSIBLES

- Les habituels liens MEGA ou Mediafire, Discord, Telegram...
- Les youtubeurs qui "offrent" soit dans le descriptif d'une vidéo, soit plus généralement via les commentaires (de faux utilisateurs) des liens de téléchargement (directs ou via torrents)
- Idem sur Discord (et surtout sur Discord si vous être un joueur)

Du reste il y a plus subtil pour les Youtubeurs
Une personne est infectée, il a une chaine Youtube.

La chaine Youtube sera piratée (ils ont les données d'accès puisque volées) et là où c'est subtil, c'est que la chaine youtube diffusera des vidéos de cracks divers, en donnant des liens qui contiendront des malwares

L'idéal pour les malfaisants étant de trouver une chaine Youtube avec beaucoup d'abonnés. L'utilisateur si il est connu, a bonne réputation, peut être ciblé pour cela
- Les liens "offerts par des utilisateurs "dévoués" et "sympathiques" toujours prêts à rendre service, sur certaines forums
- Même méthode sur Discord, Télegram, ...


Edit du 12/11/2024 :
Comment YouTube est utilisé pour diffuser des trojan
https://www.malekal.com/youtube-trojan/


Et pour rappel tout ce qui est lié aux KMS avec comme nouveauté l'arrivée des stealers
viewtopic.php?t=69838




STEAM

On en voit régulièrement sur les forums Steam, ou des joueurs se voient proposer divers liens, même par les "amis" de jeu (1)

Je passe outre les SEO empoisonnements comme relatés sur la première page du sujet, parce qu'en plus vu leur profil/Mentalité, les malfaisants se volent entre eux. C'est presque génétique à ce niveau là et dans leur nature (Il n'y a rien à en tirer de toutes les façons, c'est comme avec les tricheurs dans les jeux multijoueurs . Je n'ai aucune empathie pour ces déchets)

satrfi.jpg


Dans le forum un utilisateur qui se pensait protégé avec le kit habituel avait téléchargé le jeu StarField sur fitgirl
Il avait :

- Un windows à jour (là un Win11 Pro en 22H2)
- MBAM (MalwareBytes antilmalware qui n'est pas un antivirus au passage contrairement au discours markering)
- Un antivirus toujours au top 3 : Bitdefender,
- Un VPN (certaines personnes pensent être protégés - à tort - contre les infections avec un VPN)


Il s'est pris quand meme un stealer et ont été volés :

Code : Tout sélectionner

- Tous ses mots de passe de sites, services, comptes de jeux etc 

- Ses documents persos qui figuraient dans "Mes Document" et "Download"  et dans d'autres endroits sur le disque: 
- CAF
- RIB,
- Copie de CI  etc ou figurent son identité, adresse, compte bancaire, téléphones, etc 
sont.. Dans la nature en attente d'exploitation 

!
Au mieux
- Ce sera pour plus tard du phishing avec des liens vérolés et/ou des pièces jointes vérolées, mais mieux travaillé car ciblé du fait que l'environnement est connu (identité, adresse, téléphone etc,) smishing, arnaque au faux conseiller bancaire etc donc cela augmente fortement les chances de se faire avoir, même pour les plus attentifs. Il suffit d'un coup de fatigue, d'un manque de concentration, d'une coïncidence fortuite comme un achat avec une attente de livraison etc...
C'est du reste prévu dans le processus puisque les malfaisants utilisent la manipulation et cela fait partie du package

Au pire
- De l'usurpation d'identité, avec plusieurs années pour s'en remettre en subissant entre temps les pressions de la banque, lettre d'huissiers, convocation au tribunal pour diverses affaires etc
(il y a eu un cas également sur le forum avec ce contexte)



Pour la petite histoire le jeu a été cracké (pour virer la protection DENUVO) le 1er septembre
crack.png

Le 2 septembre il était déjà à disposition (avec malwares)


METHODES DE MISE EN CONFIANCE

Au début, tout peut être "relativement "propre", histoire que les gens suspicieux, passe au crible de divers antivirus etc ou sur VirusTotal par ex le
crack ou certains fichiers mais pas le programme principal car il y a une limite de taille de 650Mo pour l'utilisation grand public

Le but est d'avoir des commentaires élogieux, donc de rassurer
Donc vont se greffer de VRAIS utilisateurs du site, mais aussi des.. utilisateurs "complaisants" (faux utilisateurs) qui vont vous démontrer à grands renforts d'analyses par ex, que tout est "propre" qu'il n'y a pas de malware etc, ou qu'il est normal si il y a quelque chose de suspect, que l'antivirus "couine" du fait que la protection DRM a sauté etc et même qu'il faut mettre le jeu ou programme en exclusion d'analyse des protections en place

A ce niveau soit l'infection est déjà en place, soit l'infection véritable viendra ensuite

Il sera proposé assez rapidement des patches obligatoires et nécessaires, sinon le jeu (ou application) peut planter (durant la progression par ex, arrivé à un certain niveau), et pour suivre les versions proposés par le studio éditeur d'origine, sans compter les mods "indespensables" qui ne tarderont pas à poindre
Tout cela sera proposé dans les forums dédiés, ou un "gentil" hackeur voulant répondre à la demande des gens dont le jeu plante, proposera un nouveau crack, un update etc

C'est la même chose pour les applications. Un utilisateur (souvent complice) en commentaire indiquera un soucis de stabilité, et il sera proposé "un patch" ou une nouvelle version

Donc suivra une autre version "repack", ou une autre qui sera obligatoire car pas compatible pour le crack d'origine ..
Pour que les patches fonctionnent, de nouveaux cracks sont mis à disposition et là....Ca sera la cata pour l'utilisateur

L'astuce pour attirer et rassurer, c'est que la page initiale ne bouge pas avec sa cinquantaine et plus de commentaires élogieux, seuls les fichiers proposés au téléchargement diffèrent
2023-09-28_121025.png


(1) Amis de jeu
J'ai noté mais sur Steam des gens qui avaient trouvé des "'amis" pour tel ou tel jeu et qui se sont fait infecter du fait des liens (contenu) que ceux ci proposaient
Pour Steam voir ce lien pour tous les cas de figure :
STEAM : Arnaques, Items volés, compte piraté, comment et quoi faire ?
viewtopic.php?p=559632

Il y avait 2 cas :

- Des "amis de jeux" qui en fait s'étaient fait voler leur compte (usurpation d'identité)
- Des "amis de jeu", qui s'étaient proposés en tant que tel (ils choisissent leurs proies) capable d'une patience.. infinie (plusieurs semaines) et qui un jour proposaient des liens foireux

En général tout se passe via Discord, où intervient ensuite un (faux) administrateur, responsable de Steam indiquant que le compte a été volé et donne le moyen de le récupérer et ou il faut indiquer le mot de passe du compte par ex


Je passe sur les "naîfs", vrais amis qui un jour proposent des liens foireux

-------------------



2024-11-13_150521.jpg

Des techniques plus sophistiquées et plus sournoises


Outre les évolutions concernant les types et familles de malwares, cette fin d'année 2024 met en évidence des techniques d'infiltration plus discrètes, et donc plus efficaces dans la durée.
Des méthodes de plus en plus répandues, qui rendent les attaques quasiment indétectables, aussi bien pour les utilisateurs que pour les systèmes de sécurité.




Quelques méthodes de base

- La désactivation des journaux d'événements Windows pour couvrir toute trace de leur passage.
En privant de cette source d’information, les malwares s’assurent que les tentatives de connexions, les modifications de fichiers et les changements apportés au système ne seront pas conservés par l’OS.


- L'exécution de scripts PowerShell camouflés
Les AV ne voient rien ou alors bloquent une partie de l'infection, pendant qu'un script Powershell reste actif par ex en tant que tache programmée
En effet, pour exécuter des commandes malveillantes, rien de tel qu’un accès à PowerShell.
Initialement conçu pour automatiser des tâches système, l’outil est ici détourné par les cybercriminels pour lancer des scripts malveillants à distance. Grâce à des techniques d’obfuscation, ces scripts passent facilement sous les radars de sécurité. Et comme PowerShell est intégré nativement à Windows, les systèmes le reconnaissent comme légitime (Normal, et EN PLUS ils ne savent pas si c'est l'utilisateur qui a mis en place un script ou pas) , rendant son usage particulièrement furtif et efficace.


- Le terminal Windows se présente, lui aussi, comme un environnement d’attaque privilégié pour les hackers puisqu’il leur permet d’automatiser des actions malveillantes en ligne de commande.
En lançant des scripts qui semblent se fondre dans les opérations système normales, ils manipulent des configurations, téléchargent des payloads ou déploient d'autres malwares, sans que personne s'en rende compte.
Là encore, les méthodes d’obfuscation peuvent couvrir leurs activités frauduleuses.
Un détournement de fonctionnalité standard qui permet de faire passer des actions malicieuses pour des opérations système ordinaires.

Sur le forum, sur les PC infectés, on en voit régulièrement via des taches programmées qui vont lancer derrière un script powershell

- La technique du masquerading consiste à donner aux programmes malveillants des noms courants de logiciels grand public ou de processus système, comme « explorer.exe », pour brouiller les pistes.
En dissimulant leurs malwares derrière des dénominations familières, les hackers font passer leurs programmes malveillants pour des processus légitimes, qui échappent à la surveillance des utilisateurs et utilisatrices.
Cette stratégie caméléon permet aux activités frauduleuses de rester presque invisibles, même pour les systèmes de détection avancés.


- Déjouer les analyses en retardant l'activation des malwares

Pour échapper aux environnements de test (une VM par ex) , ou sandboxes, les cybercriminels intègrent désormais des mesures de temporisations dans leurs malwares. En clair, ils retardent l'activation ou désactivent le code malveillant, jusqu’à ce qu’il sorte de l’environnement de test, ce qui permet au malware de passer inaperçu au cours des premières vérifications.
Cette " évasion temporelle" complique la tâche des outils de détection basés sur la simulation, alors que les analyses s’arrêtent avant le déclenchement réel de la charge utile.


- S'autodétruire
Une fois les données exportées, il peut s'autodétruire, mais il peut ramener avant un ransomware, ou crypteur de monnaies, et s'autodétuire ensuite ne laissant aucune trace de son passage
Par contre on retrouve des dysfonctionnements dans Windows, comme le fait de ne pas pouvoir réactiver Defender ou le panneau de sécurité de Windows, etc
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS, TYPHON

par Parisien_entraide »

Deux nouveautés concernant le Stealer LUMMA (alias "LummaC2")

Détails à
viewtopic.php?p=547259


1) Le stealer (Malware voleur d'informations) Lumma ) fait la promotion d'une nouvelle fonctionnalité :
Celle-ci permettrait aux cybercriminels de restaurer les cookies Google expirés, qui peuvent être utilisés pour pirater des comptes Google.

2) Lumma utilise désormais une tactique intéressante pour échapper à la détection par les logiciels de sécurité : la mesure des mouvements de la souris à l'aide de la trigonométrie pour déterminer si le malware s'exécute sur une machine réelle ou sur un bac à sable antivirus.


Edit du 26/09/2024

Lumma est capable de vol de cookies malgré la protection mise en place par Google sur Chrome depuis la version 127 de son navigateur
viewtopic.php?p=559406#p559406
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS, TYPHON

par Parisien_entraide »

Nombre de site mettent en avant le fait qu'on trouverait déjà Grand Theft Auto VI en version dispo et crackée bien entendu (160Go d'archives) sur certains sites dont le fameux fitgirl ou 100% des infectés du forum ont téléchargé un jeu ou programme

Il n'en n'est rien
Il s'agit juste de montages pour se moquer (Sur le site firgirl il y a juste le trailer avec un lien youtube)
Néanmoins en 2025 si la date de sortie est confirmée (et sur console dans un premier temps) , cela ressemblera cela :
2023-12-09_185455.png

Avec son installateur qui vous fourguera le dernier stealer sorti, et autres joyeusetés
firgirl.png

On trouve quand meme des fake sur MEGA, ou des liens torrent sur des serveurs situés .. en Inde avec des archives de 80Go qui sont en fait du GTA IV renommé mais tout en gardant l'empreinte "Fitgril" pour l'installateur
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS, TYPHON

par Parisien_entraide »

2023-12-23_111011.jpg

UNE PARTICULARITE INTERESSANTE


L'éditeur de jeux SONY du moins le studio avec lequel ils travaillent "Insomniac Game" s'était fait voler les fichiers du jeu ["Marvel Wolverine"
Refusant de payer la rançon demandée les fichiers se sont retrouvés en ligne.

Jusque là rien que du très classique dans ces affaires de vol de données

Seulement dans les fichiers volés il y a une version Alpha du jeu, qui est jouable et qui est diffusée

La subtilité de la chose c'est qu'il est possible de tracer et suivre ceux qui ont téléchargé le jeu et qui y jouent


Comment est possible ?

- Soit les fichiers en eux-mêmes contiennent une sorte de traceur. Ce n'est pas difficile à mettre en place et c'est invisible
C'est un peu comme ceux qui pensent qu'il suffit de mettre dans un fichier host toutes les IP des serveurs Microsoft pour être à l'abri
C'est illusoire puisque certaines IP sont "codées en dur" dans des .dll et qui communiquent par les ports sécurisés (443)
- Soit l’activité des serveurs à partir desquels les fichiers ont été téléchargés a été décortiquée par les autorités.

Depuis quelques temps, ceux qui ont téléchargé les fichiers sans passer par un VPN reçoivent des courriers de leur fournisseurs d’accès internet (FAI). Visiblement Sony a identifié les adresses IP des fautifs.

2023-12-23_105845.png

L’entreprise distribue maintenant par wagons des requêtes pour violation du droit d’auteur (DMCA) aux FAI, qui se chargent de les relayer à leurs clients.

Pour ceux qui veulent jouer avec le feu, cela peut etre la double peine car outre le courrier DMCA (les conséquences sont autres que de feu Hadopi) il y a de fortes chances que cela soit doublé avec un trojan de type stealer (les malveillants ne peuvent pas passer à côté de cette opportunité)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS, TYPHON

par Parisien_entraide »

2024-02-03_173010.jpg


INFOSTEALERS : plus de 40 millions d’identifiants volés en France en 2023

Attention il ne s'agit pas de 40 millions de personnes, mais la base est déterminée avec 60 login identifiants par utilisateur


RIEN QUE POUR DECEMBRE 2023

Hudson Rock et Recorded Future ont collecté des volumes record d’identifiants distribués en ligne, au mois de décembre.

Pour la seule France, Hudson Rock a identifié près de 1 100 collaborateurs d’entreprise concernés ce mois-là, pour près de 7 000 utilisateurs.
Recorded Future a, de son côté, recensé plus de 6 millions deux cent trente mille identifiants compromis pour l’Hexagone, en décembre 2023.



POUR L'ANNEE

Pour l’ensemble de l’année écoulée, le total s’établit donc à plus de 43 638 000 identifiants compromis en France, selon Recorded Future, à raison de 60 identifiants de compte par PC infecté, en moyenne. Hudson Rock a, quant à lui, spécifiquement relevé plus de 5 400 collaborateurs d’entreprise, en France, dont des identifiants professionnels ont été compromis par infostealer, en 2023.



CE QUI CIRCULE

Des cookies-revenants
La fin de l’année a été notamment marquée par des mises à jour majeures de quelques infostealers, dont Metastealer avec sa version 4.0.
Au menu, en particulier : la capacité à restaurer des cookies de session Google expirés.

Cette fonctionnalité s’est rapidement répandue à d’autres infostealers :

Code : Tout sélectionner

- RisePro, 
- Whitesnake,
- StealC, 
- Lumma, 
- Rhadamantys, 
- Meduza, 
- Vidar. 
- Amos, conçu pour macOS, est également de la partie.

Si Redline est l’infostealer le plus populaire de 2023, la concurrence se développe très rapidement.
Les équipes de Sekoia.io relèvent ainsi xehook Stealer, vendu par le même acteur que celui à l’origine d’Agniane Stealer. Il est commercialisé via un canal Telegram. Ils ajoutent RadX Stealer, repéré fin décembre 2023, « visant très probablement les utilisateurs des jeux vidéo ».

À cela s’ajoute Atlantida Stealer, analysé récemment par Rapid7 et « potentiellement lié à ce malware découvert par Quentin Bourgue en février 2023 ».
Fin décembre sont également apparus Foxy Stealer, et Rastro Stealer, suivis début 2024 par Asuka Stealer, loué 80 $/mois.




Source : https://www.lemagit.fr/actualites/36656 ... ce-en-2023
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS, TYPHON

par Parisien_entraide »

Kaspersky : plus de 36 millions d'identifiants d'IA et de jeux compromis par des InfoStealers (voleurs d'informations)

Article : viewtopic.php?t=74076

Extrait :
Les compromissions d'identifiants en question proviennent d'une activité d'infostealer, une forme spécialisée de malware conçue pour voler les identifiants des utilisateurs à des fins de cyberattaques, de ventes sur le dark web ou d'autres activités malveillantes.
(...)
les cybercriminels peuvent cacher des voleurs d'informations (Infostealers) dans des fichiers contenant des codes de triche pour tromper les jeunes joueurs.
Dans certains cas, cette tromperie peut sembler réelle, car des liens de téléchargement malveillants peuvent être publiés sur des plateformes de médias sociaux légitimes et populaires comme YouTube.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS, TYPHON

par Parisien_entraide »

stealer.jpg


Les logiciels malveillants les plus utilisés par les hackers.



RedLine s’impose comme le logiciel malveillant de prédilection pour voler
des informations personnelles, incluant des données personnelles et bancaires.
Il peut inclure un mineur de crypto-monnaie, ciblant spécialement les joueurs avec des GPU avancés.
Parmi les méthodes de distributions, il apparaît dans des campagnes d’hameçonnage liées à des événements majeurs ou encore sur YouTube.

Pour infecter des machines depuis la plateforme de vidéos de Google, les attaquants récupèrent le plus souvent un compte Google/YouTube.
Lorsque le compte est compromis, ils vont créer différentes chaînes et publier des vidéos avec des descriptions.
Ces dernières font généralement référence à des cracks pour des jeux ou des logiciels populaires. Les pirates ajoutent alors un lien malveillant lié au thème de la vidéo.
Les utilisateurs cliquent sur le lien et téléchargent involontairement RedLine sur leur appareil, ce qui entraîne le vol de leurs mots de passe et d’autres informations privées.




Vidar, C'est un dérivé du voleur Arkei et cible sélectivement les systèmes en fonction de la langue.
Les experts de Specops expliquent qu’il utilise diverses méthodes de distribution, y compris l’hameçonnage et divers chargeurs de logiciels malveillants.
Sa nature adaptable et ses versions multiples, dont une version crackée appelée Anti-Vidar, le rendent particulièrement trompeur et difficile à contrer.




Raccoon Stealer se présente comme un « malware-as-a-service » sur les forums clandestins.
En effet, les cybercriminels peuvent louer cette solution une centaine d’euros par mois pour voler des informations. Il se répand de manière classique via une pièce jointe et peut ensuite mettre la main sur un très grand nombre de données.


Comme le montre le tableau ci dessus, Redline est à l’origine de 170 millions de mots de passe volés lors des six derniers mois seulement.
Cela signifie que Redline a été utilisé pour voler près de la moitié (47 %) de tous les mots de passe analysés. C’est plus que les trois outils de vol de données d’identification les plus populaires réunis : Vidar (17 %), Raccoon Stealer (11,7 %) et Meta (10,6 %).

Les statistiques indiquent que 68 % des internautes disposent de mots de passe pour plus de
dix sites, et 84 % réutilisent leurs mots de passe. Si 9 internautes sur 10 se disent pourtant conscients des risques, 6 sur 10 continuent cette pratique risquée

Source : https://specopssoft.com/fr/blog/les-log ... rmatiques/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Stealer et ransomware - STOP DJVU - STOPCYPT - DJVU

par Parisien_entraide »

2024-03-18_132534.jpg



STEALER ET RANSOMWARE




STOP DJVU - STOPCYPT - DJVU



Comme on a pu le voir dans les articles précédents, un stealer "peut" être accompagné d'un ransomware (double effet kisskool)
En effet la vente des données volées peut être hasardeuse, (surtout si il n'y a rien d'intéressant) et surtout peut permettre au vendeur de se faire repérer, donc de se faire arrêter

Il n'y a rien de plus simple (surtout avec les kits vendus ou loués prêts à l'emploi) que d'y associer un ransomware qui permet, si l'utilisateur paye, d'avoir une .. "seconde source de revenus" par les malfaisants
C'est pour cela qu'on voit par ex un certain ransomware, connu sous les noms de STOP ( StopCrypt, Stop Djvu, Djvu) en accompagnement des stealers


Il faut savoir qu'il est le ransomware le plus largement distribué dont on entend rarement parler....


Les raisons sont simples :

- Il vise les particuliers et non les entreprises
- Et pour les particuliers, le ransomware est généralement distribué via des sites de publicités malveillantes et ..".louches" distribuant des ensembles de logiciels publicitaires vérolés déguisés en logiciels gratuits, mais pour certains habituellement payants, en astuces de jeu pas légales pour avoir le dessus sur les adversaires, de cheats, et cracks de logiciels et jeux


Ces particuliers ne vont pas déposer plainte puisqu'à la base, par bêtise, appât du gain, etc ils ont voulu enfreindre la loi et de façon volontaire, et "'pas à l'insu de leur plein gré"

En général on les retrouve dans les forums de désinfections avec comme sujet principal,
" Mon PC est lent depuis quelques temps je ne comprends pas"
en occultant le fait que leur PC est pourri de programmes et jeux crackés, lorsque ce n'est pas Windows ou d'une suite Office, qui a été activée via un KMSpico, https://forum.malekal.com/viewtopic.php?t=69838
ou pire comme déjà vu sur le forum l'usage d'anti virus .. crackés

Le service d’identification des ransomwares ID Ransomware, https://forum.malekal.com/viewtopic.php?t=54794 recevait environ 2 500 soumissions de ransomwares par jour.
Parmi ceux-ci, entre 60 et 70 % sont des soumissions de ransomwares STOP.
Cela donne une idée...
En fait il était la base première de l'infection et était accompagné d'un Stealer
Maintenant on à le stealer, qui est devenu très sophistiqué pour échapper aux protections sur le PC, et qui ensuite installe le ransomware comme si de rien n'était


Il faut se rappeler que ces malwares sont capables de désactiver la majorité des antivirus, jouent à cache cache lors d'une analyse, se neutralisent si on essaie de savoir dans une sandbox ou VM si le jeu, programme etc cracké est infecté ou pas, balancent des "fausses" .dll infectées pour amuser l'anti virus, qui détectera avec fierté une infection trojan, mais pendant ce temps là les scripts powershell auront fait leur travail
Mieux, l'antivirus aura bloqué ce qu'il considère être le trojan (avec raison le plus souvent) mais le mal est déjà fait
Les données sont parties dans la nature, et l'infection véritable s' est auto détruite ne laissant aucune trace (ou presque) de son passage, ou gardant quand même (pafois/souvent) en place des taches programmées dont pour un keylogger, un voleur de crypto par ex


A une époque on avait l'outil d'Emisoft pour décrypter ce ransomware et ses variants, mais depuis 2019 il ne fonctionne plus pour les nouvelles souches
https://www.emsisoft.com/en/ransomware- ... /stop-djvu

Sur le forum, sur le sujet des "Decrypteurs" c'est du reste sa dernière apparition pour le STOP-DJVU qui traitait quand même environ 148 variants
https://forum.malekal.com/viewtopic.php ... 15#p475415

Exemple :

.

Code : Tout sélectionner

shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote, .gero, .hese, .seto, .peka, .moka, .kvag, .karl, .nesa, .noos, .kuub, .reco, .bora
Comme on le voit, il y a de nombreux variants (et il y en a toujours 2 ou 3 par mois en 2024)

Sur le forum de Bleeping Computer il est indiqué
https://www.bleepingcomputer.com/forums ... ort-topic/

STOP (Djvu) Ransomware a deux versions .
1. Ancienne version : La plupart des anciennes extensions, commençant par .djvu (v013) jusqu'à .carote (v154)... le décryptage de la plupart de ces versions était auparavant pris en charge par STOPDecrypter en cas d'infection par une CLÉ HORS LIGNE (et quelques CLÉS EN LIGNE) . Ce même support a été incorporé dans la nouvelle méthode Emsisoft Decryptor/soumission pour ces anciennes variantes de Djvu... le décrypteur ne déchiffrera vos fichiers sans soumettre de paires de fichiers que si vous disposez d'une CLÉ HORS LIGNE. Pour l’infection ONLINE KEY, lisez les instructions d’utilisation du portail de soumission.

2. Nouvelle version : Les extensions les plus récentes publiées vers la fin août 2019 APRÈS que les criminels aient apporté des modifications ... commençant par .coharos (v146) n'ont jamais été prises en charge par STOPDecrypter. Cependant, les ID/CLÉS HORS LIGNE pour certaines variantes plus récentes ont été obtenus par Emsisoft et téléchargés sur leur serveur.
Cela est possible après qu'une victime a payé la rançon, a reçu une clé privée des criminels et a partagé (fait don) cette clé avec l'équipe Emsisoft .

LES CLÉS EN LIGNE sont UNIQUES pour chaque victime et tout comme les anciennes versions, elles sont générées aléatoirement de manière sécurisée et sont impossibles à déchiffrer sans payer la rançon, ce qui n'est pas conseillé. Les CLÉS EN LIGNE étant uniques et aléatoires pour chaque victime, elles ne peuvent pas être partagées ou réutilisées par d'autres victimes.

En raison des modifications apportées par les criminels, STOPDecrypter n'est plus pris en charge... il a été interrompu ET remplacé le 18 octobre 2019 par Emsisoft STOP Djvu Decryptor développé par Emsisoft et Demonslay335 (Michael Gillespie) .
Cependant, le même support STOPDecrypter a été incorporé dans la nouvelle méthode de décryptage/soumission d'Emsisoft pour la plupart des anciennes variantes de Djvu.
Pour résumer, il est impossible de décrypter ce qui est postérieur à 2019 puisque la majorité des clés qui permettent le déchiffreement sont UNIQUES et en plus ALEATOIRES




POURTANT LORS D'UNE RECHERCHE SUR UN MOTEUR DE RECHERCHES DES LABOS, DES SITES OU PROGRAMMES INDIQUENT QUE C'EST FAISABLE

Comme le rappelle Bleeping Computer sur son forum
Les victimes de ransomwares devraient ignorer toutes les recherches sur Internet qui fournissent de nombreux liens vers des guides de suppression de ransomwares faux et peu fiables , y compris des vidéos Facebook et YouTube , dont beaucoup prétendent à tort disposer de solutions de décryptage .

Après que des chercheurs experts ont écrit sur un nouveau ransomware ou de nouvelles variantes, des articles indésirables contenant des informations erronées sont rapidement rédigés afin d'effrayer, d'inciter ou de tromper les victimes désespérées pour qu'elles utilisent ou achètent principalement des logiciels de suppression et de décryptage factices .

Les victimes sont généralement invitées à télécharger une multitude d’outils inutiles et inutiles.

Dans certains cas, des victimes sans méfiance peuvent en fait télécharger un faux décrypteur, ce qui entraîne des cryptages doubles (multiples) , ce qui rend la situation encore pire.
De plus, vos informations personnelles et financières sont également menacées lorsque vous traitez avec des fraudeurs.
Utilisez uniquement des sources fiables lorsque vous recherchez des informations .

Bleeping Computer ne peut pas se porter garant de ceux qui prétendent pouvoir décrypter les données ou aider d'une autre manière.
Nos experts ont constaté que beaucoup de ceux qui prétendent pouvoir décrypter vos fichiers représentent en réalité des services de récupération de données qui agissent comme des « intermédiaires » … dont beaucoup sont des escrocs.
Ensuite utiliser un décrypteur (légal et gratuit) au hasard peut etre dangereux, car l''utilisation d'un décrypteur défectueux ou incorrect (destiné à un autre type spécifique de ransomware) provoque généralement des dommages supplémentaires qui corrompent encore plus les fichiers cryptés .

Détails ici
https://www.bleepingcomputer.com/forums ... ?p=5579605
et là
https://www.bleepingcomputer.com/forums ... try4841045


------

Pour l 'instant l'affaire doit être éclaircie, car la souche analysée est ancienne (2022 en version 0455), l'histoire de la .dll msimg32.dll était déjà connue, mais l'analyse en ce mois de mars 2024, synthétise bien la chose même si cela existe depuis 2022


le STOPCRYPT dispose désormais un mécanisme d'exécution en plusieurs étapes.

- Initialement, le malware charge un fichier DLL apparemment sans rapport (msim32.dll), éventuellement à titre de diversion. Il implémente également une série de longues boucles à temporisation qui peuvent aider à contourner les mesures de sécurité liées au temps.

- Ensuite, il utilise des appels API construits dynamiquement sur la pile pour allouer l'espace mémoire nécessaire aux autorisations de lecture/écriture et d'exécution, ce qui rend la détection plus difficile.

- StopCrypt utilise des appels API pour diverses opérations, notamment la prise d'instantanés des processus en cours d'exécution afin de comprendre l'environnement dans lequel il fonctionne.

- L'étape suivante consiste à creuser les processus, où StopCrypt détourne les processus légitimes et injecte sa charge utile pour une exécution discrète en mémoire. Cela se fait via une série d’appels API soigneusement orchestrés qui manipulent la mémoire du processus et contrôlent le flux.

Une fois la charge utile finale exécutée, une série d'actions a lieu pour garantir la persistance du ransomware, modifier les listes de contrôle d'accès (ACL) pour refuser aux utilisateurs l'autorisation de supprimer les fichiers et répertoires de logiciels malveillants importants, et une tâche planifiée est créée pour exécuter la charge utile chaque cinq minutes.

Les fichiers sont cryptés et une extension « .msjd » est ajoutée à leurs nouveaux noms. Cependant, il convient de noter qu'il existe des centaines d'extensions liées au ransomware STOP car elles les changent souvent.

Exemple juste pour ce mois de mars 2024

Code : Tout sélectionner

extension .wisz (V0853)
extension .wiaw (V0854)
extension .nood (V0855)
extension .kool (V0856)
extension .vook (V0857)
extension .looy (V0858)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Des pirates utilisent des logiciel piratés sur GitHub pour diffuser RisePro Info Stealer

par Parisien_entraide »

2024-03-28_130912.jpg


L'info date d'il y a une quinzaine de jours, mais en fait est toujours d'actualité car si la forme change (Github) la méthode est toujours là car AUSSI utilisée sur les sites de cracks habituels pour la partie avec le fichier README, le mot de passe, le tout dans un fichier compressé (.rar ou .zip)

Il faut savoir que ce qui a été analysé par G-DATA n est QU'UN échantillon, puisqu'il y a des MILLIERS de référentiels malveillants (dont les fameux KMS)
Aux programmes crackés il y a ceux qui sont à la base légitimes, mais dont les malveillants joue avec le typosquatting
https://www.malekal.com/typosquatting/ et le SEO empoisonnement : redirections recherches Google
viewtopic.php?t=21270

En 2023 cela avait commencé doucement avec des programmes tels que Binance-trading-bot, crypto-clipper, telegram-mass-dm, usdt-sweeper, discord-boost-tool et d'autres écrits en Python

Néanmoins le tout premier repéré c'était en 2022
Il s'agissait de l'outil "Discord-Boost-Tool" , compromis
Cet outil, permet aux utilisateurs de booster leur serveur Discord avec des comptes de robots Nitro


Un article de février indiquait que malgré le nettoyage il y avait encore 100 000 référentiels existants sur le million traité (Normal c'est sans fin)



2024-03-28_131949.jpg


DES PIRATES UTILISENT DES LOGICIELS PIRATES SUR GITHUB POUR DIFFUSER L'INFO STEALER RISEPRO


Le déroulement de la campagne qui a commencé en mai 2023 et toujours active à ce jour, est simple :

- Clonage de dépôts existants (par exemple : TwitterFollowBot, WhatsappBOT, discord-boost-tool, Twitch-Follow-Bot et des centaines d'autres sans oublier les scripts Python prêts à l'emploi pour débutants qui veulent s'amuser à "hacker" faire de l'OSINT, ...
- Les infecter avec des chargeurs de logiciels malveillants
- Les télécharger sur GitHub avec des noms identiques
- Créer des forks automatiquement pour chacun des milliers de fois
- Faire la promotion secrète sur le Web via des forums, Discord, youtube, facebook etc.




La campagne, nommée gitgub , comprend 17 référentiels associés à 11 comptes différents, selon G DATA. Les référentiels en question ont depuis été supprimés par la filiale appartenant à Microsoft.

"Les référentiels se ressemblent, avec un fichier README.md avec la promesse d'un logiciel cracké gratuit", a déclaré la société allemande de cybersécurité .

"Les cercles verts et rouges sont couramment utilisés sur Github pour afficher l'état des builds automatiques. Les acteurs de la menace Gitgub ont ajouté quatre cercles Unicode verts à leur README.md qui prétendent afficher un statut à côté d'une date actuelle et donnent un sentiment de légitimité et de récence. "

Les logiciels concernés (avec le "crack" pour attirer)

Code : Tout sélectionner

AOMEI-Backupper
AOMEI-Partition-Assistant
AVAST
Daemon-Tools
Droidkit
EaseUS-Partition-Master
IObit-Smart-Defrag-Crack
ManyCam
SOOTHE-2
Sound-Booster
TOON-BOOM-HARMONY
Tenorshare-Reiboot
Tenorshare-iCareFone
Voicemod
VueScan-Crack
ccleaner
fabfilter
L'archive RAR, qui demande aux victimes de fournir un mot de passe mentionné dans le fichier README.md du référentiel, contient un fichier d'installation qui décompresse la charge utile de l'étape suivante, un fichier exécutable gonflé à 699 Mo dans le but de faire planter des outils d'analyse

Le contenu réel du fichier – qui ne représente que 3,43 Mo – agit comme un chargeur pour injecter RisePro (version 1.6) dans AppLaunch.exe ou RegAsm.exe.


il est conçu pour collecter des informations sensibles sur les hôtes infectés et les exfiltrer vers deux canaux Telegram, qui sont souvent utilisés par les acteurs malveillants pour extraire les données des victimes. Fait intéressant, des recherches récentes de Checkmarx ont montré qu'il est possible d'infiltrer et de transférer des messages du robot d'un attaquant vers un autre compte Telegram.

Ce développement intervient alors que Splunk détaille les tactiques et techniques adoptées par Snake Keylogger , le décrivant comme un malware voleur qui "utilise une approche multiforme pour l'exfiltration de données".

"L'utilisation de FTP facilite le transfert sécurisé de fichiers, tandis que SMTP permet l'envoi d'e-mails contenant des informations sensibles", a déclaré Splunk . "De plus, l'intégration avec Telegram offre une plateforme de communication en temps réel, permettant la transmission immédiate des données volées."

La combinaison des noms de chaînes Telegram et des adresses IP C2 indique une opération basée en Russie.


Ce qui est volé :
2024-03-28_132225.jpg

Source : https://www.gdatasoftware.com/blog/2024 ... ign-github
et
GitHub assiégé par des millions de référentiels malveillants lors d'une attaque en cours
https://arstechnica.com/security/2024/0 ... ng-attack/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Un cheat (logiciel de triche) = Un stealer !

par Parisien_entraide »

2024-03-30_194938.jpg



UN LOGICIEL DE TRICHE ACHETÉ, UN STEALER OFFERT



C'est l'offre à laquelle ont eu droit les tricheurs de CALL OF DUTY, mais aussi pour d'autres jeux comme

- Overwatch,
- Diablo IV,
- WOW (World of Wardcraft) par ex

Possiblement, la liste risque de s'allonger
































Important :

Cela touche les logiciels de triche "PAYANTS" du moins c'est l'arbre qui cache la forêt, pour indiquer le nombre de personnes touchées, car les stats sont effectuées avec le fait que les utilisateurs de programmes de triche payants sont obligés d'ouvrir un compte et de payer
Cela a affecté les 2 sociétés les plus connues, mais QUID des autres ?

MAIS sont touchés également des programmes "d'aide" au jeu (Euphémisme)
Je ne vais pas faire dans le détail, mais si on des macros prêtes à l'emploi pour certaines souris, qui permettent par ex d'éviter le "no recoil" il y a tout lieu de se méfier (j'ai vu des .ps1 sur lesquels il suffit de cliquer du moins à activer via PowerShell, mais également des scripts python puisque ces scripts sont maintenant installés non plus dans une zone mémoire de la souris, mais dans des fichiers .db sur le PC)

Explication du "no recoil"
En jeu, "normalement" votre arme relève du nez si vous tirez de longues rafales, et cela se fait souvent suivant un axe vertical au début et finit par partir sur les côtés.
S' y ajoute également la dispersion des balles puisque si vous visez la tête, les 3 premières balles vont l'atteindre, et les autres vont passer au dessus et sur le côté (différent de la dispersion propre à l'arme et la distance)
C'est plus visible si on tire avec une lunette
Donc avec un "no recoil" il n'y a plus de recul, plus de dispersion donc.. Votre arme devient un laser lors de longues rafales quelque soit la distance

C'est utilisé par les tricheurs lâches qui ont peur de se faire attraper avec un "vrai" programme de triche, car les anti cheats s'en occupent rarement (mais lors de campagne d'éradications de tricheurs, cela peut etre activé)
Voici donc ce qu'est une "aide au jeu". Je ne détaillerai pas les autres je laisse la surprise aux tricheurs, mais il y en a pour les manettes, des VPN (souvent utilisés par les cheaters) etc

Ex avec le programme reWASD détecté maintenant par de nombreux programmes anti triche
viewtopic.php?p=554525#p554525

Il faut savoir aussi que l'anti cheat, ne balance des bans rarement de suite lors d'un signalement.
Ceux qui sont derrière vont essayer d'analyser si un nouveau cheat est apparu, vont essayer de repérer d'autres "joueurs" qui l'utilisent, et cela peut aller jusqu'à 3 mois d'attente, avec un ban massif et conséquent
Le but étant que le cheater qui souvent utilise plusieurs cheats ne sache pas avec quoi il s'est fait avoir ni.. quand

Je ne détaillerai pas les autres méthodes :-)

Cela ne parle pas non plus des programmes de cheats "gratuits" souvent vérolés que l'on trouve soit sur les forums de triche, soit ailleurs comme sur Github par ex (voir actualité précédente)


Ce n'est pas la première fois que cela arrive
viewtopic.php?p=529160#p529160




COMBIEN DE PERSONNES ? (Je n'utilise pas le terme de "joueurs" car les tricheurs ne sont pas des joueurs)

On atteint près de 5 millions de comptes, dont 3,7 millions de comptes Battle.net, plus de 560 000 comptes Activision et environ 117 000 comptes ElitePVPers


En détails (premiers relevés)
divers.png



Cela n'affecte AUCUNEMENT les joueurs, les vrais (Sauf ceux qui utilisent des jeux crackés mais c'est un autre problème)
J'appelle cela le Karma :-)
Oui je n'ai AUCUNE empathie pour les tricheurs. Qu'ils se soient fait voler leurs bitcoins, qu'ils aient eu leurs données volées et compte bancaire compromis, cela m'indiffère complètement. C'est le juste retour de bâton vu qu'ils nous emmerdent depuis des décennies dans les jeux multi joueurs






D'OU VIENT L'INFO ?

Ce sont les fournisseurs de triche de Call of Duty qui ont été alerté d'une activité frauduleuse lorsque les comptes d'utilisateurs ont commencé à effectuer des achats non autorisés.

Si j'entre dans les détails, c'est par le biais d un internaute qui crée et vend des logiciels de triche pour les jeux de tir
Ses "clients" (Les sociétés qui vendent des programmes de triche) avaient remarqué que leurs identifiants étaient corrompus, et que cela s’étendait même aux joueurs qui utilisent d’autres systèmes de triche que les siens.

Activision Blizzard s'est coordonné avec ces sociétés qui fournissent les logiciels de triche (un comble !) pour aider les utilisateurs touchés par la campagne massive de voleurs d'informations pour récupérer leur compte
Activision a nié que la société ait aidé à supprimer le malware et le porte-parole a déclaré que le problème concernait les fournisseurs de logiciels tiers et non les logiciels ou les plates-formes Activision.

J'espère que Blizzard et les autres Stés de jeux vont en profiter pour récupérer la liste des tricheurs et les bannir
Vu les campagnes précédentes contre la triche sur Call of Duty, il y aura obligatoirement une sanction

On note déjà dans les forums de .. grosses inquiétudes, de certains "joueurs" qui ont peur de se faire bannir, et surtout pour leur réputation auprès de leurs "potes" de jeux si jamais il venait à se savoir qu'ils utilisent des programmes de triche (Ce n'est pas nouveau, car on le voyait déjà sur les anciens forums EA maintenant fermés)
Ils ne posent pas évidemment directement la question, mais créent de nouveaux comptes juste pour poser la question avec un
Ce n'est pas pour moi mais pour un ami....
:-) (L'exemple est réel et tiré du forum de Steam. Et là pour le bonheur des yeux il y a un semblant de phrase et pas de "fôtes" d'orthographe)




QU'ESTCE QUI A ÉTÉ VOLÉ ?


A la base le malware s’attaque au portefeuille Bitcoin Electrum pour siphonner les cryptomonnaies

Il vole aussi les comptes des joueurs et tout ce qu'il peut trouver sur le PC d'intéressant (divers comptes - login et mots de passe - documents, photos etc Les trucs habituels des stealer en fait (Lire ou relier les autres sujets de cette thématique sur les stealers)


MAIS

Le malware a compromis également les comptes des 2 Stés de cheats (Que je nommerais pas) bien connues
Avec 572 831 comptes compromis pour l'une et 1 365 comptes pour l'autre recensés à ce jour, puisque ne sont comptabilisés QUE les comptes qui ont été exploités
Sont volées les données bancaires...


Les serveurs d'Activision ne sont pas compromis. C'est le malware qui vole les données et qui a compromis les comptes des tricheurs

En fait les malveillants se sont surtout attaqués ensuite avec les comptés volés à .. DISCORD, puisqu'il a été relevé .. 14 millions de comptes volés
On est donc loin des seuls 5 millions initiaux
On peut relativiser avec le fait que les tricheurs utilisent plusieurs comptes de jeux (j'en ai vu par le passé qui en avait une vingtaine) , et plusieurs comptes Discord, mais quand même...

Pour résumer

Code : Tout sélectionner

- Compte et Crypto volés (Bitcoin Electrum) 
- Comptes de jeux
- Autres comptes (Web, réseaux sociaux etc)
- Données diverses (Photos, pdf, documents etc)
- Données bancaires puisque le compte bancaire a été compromis

Maintenant, après avoir chouiner pendant des années dans les forums, parce que bannis "mais ils ne trichaient pas"', ils vont pouvoir le faire pour une bonne raison :-)

2024-04-06_181549.png



En Bonus

La complainte du tricheur
viewtopic.php?t=70788

----------------------------------

Source partielle de l'info : https://www.bleepingcomputer.com/news/s ... y-malware/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20587
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vous voulez des programmes, jeux piratés, des cracks ? Obtenez REDLINE et/ou ERBIUM, RISEPRO, RHADAMANTHYS, TYPHON

par Parisien_entraide »

2024-04-01_120018.png
Extrait de : viewtopic.php?p=554711


CAS CONCRET de délivrance d'un Stealer avec un programme qui n'est pas à jour : WINRAR

Si on ne cite qu'un exemple de l'utilité d'un programme de mise à jour logiciel, on peut citer le cas récent de de WinRar, qui apparait encore dans des versions 5.x installées (et souvent crackée au passage), dans les rapports FRST des personnes infectées sur le forum et ce même en 2024

L'explication est simple : WinRar ne dispose pas de mécanisme de mise à jour automatique
Comme il a été dit :
L'exploitation à grande échelle du bogue WinRAR montre que les exploits de vulnérabilités connues peuvent être très efficaces, même si un correctif est disponible.
Une faille était exploitée activement depuis au moins le mois de mars 2023, surtout par l' infostealer Rhadamanthys
( Trojan stealer : https://www.malekal.com/trojan-stealer/) et a été corrigée le 2 août 2023, avec la version 6.23


MAIS toutes les versions inférieures jusqu'à la version 6.22 sont faillibles ET exploitées



L'infection était facile, il suffisait d'ouvrir une archive .RAR ou .ZIP, même contenant une simple image, vérolée pour exécuter du code sur votre PC, à votre insu, et potentiellement en prendre le contrôle.

Dans le légal cela pouvait être une image, un fichier .pdf, .txt, pif, .com, .exe, .bat, .lnk, .cmd
Dans l'illégal cela se trouvait souvent dans l'archive crack.rar contenant un fichier .txt, ce qui rassurait l'utilisateur qui n'y voyait qu'un fichier inoffensif (ou plus rarement un .pdf)
On l'a retrouvé également dans les archives .iso de jeux, programmes, et.. logiciels de triche (crackés ou pas car certains sites légaux étaient compromis) et.. de Windows



Détails à
https://googleprojectzero.github.io/0da ... 38831.html
https://blog.google/threat-analysis-gro ... erability/

LNK Malware : ce qu’il faut savoir
https://www.malekal.com/lnk-malware/


--------------------

Edit du 8 mai 2024


Début 2024, des groupes de cybercriminels ayant dans le collimateur "de grandes cibles" ont exploité les vulnérabilités des logiciels d'accès à distance et de WinRAR.

Pour rappel l'une de ces vulnérabilités à la mi-2023 était - CVE-2023-38831.
Ensuite, les développeurs de WinRAR ont éliminé la possibilité d'exécuter du code malveillant sous Windows.

Quelques jours après la sortie des correctifs, CVE-2023-38831 il avait déjà été remarqué dans des attaques contre des traders .
Et le mois suivant, les attaquants ont publié un faux exploit pour une faille dans WinRAR , qui distribuait le cheval de Troie VenomRAT sur GitHub.

Les experts de Kaspersky Lab ont étudié les données sur les attaques des groupes APT pour la période 2023 - début 2024. Il s’est avéré qu’au premier trimestre 2024, les cybercriminels exploitaient le plus souvent des failles qui leur permettaient d’injecter des commandes et de contourner l’authentification.

Outre WinRAR et les outils de contrôle d'accès (par exemple, Windows SmartScreen), les attaquants se sont intéressés au logiciel Français Ivanti (https://www.ivanti.com/fr/) , où deux vulnérabilités ont été récemment découvertes : CVE-2024-21887 et CVE-2023-46805.
2024-05-13_002942.png
Les trous dans WinRAR ont pris la troisième place en termes de fréquence d'exploitation. L'efficacité de leur utilisation dans des cyberattaques ciblées s'explique par le fait que la victime sélectionnée ne peut pas toujours reconnaître les fichiers archivés suspects et le fait que celui ci ne propose pas de mises à jour automatique
(On le voit sur le forum avec des utilisateurs encore en version 5.x et en plus crackée)

En plus du CVE-2023-38831 déjà mentionné dans WinRAR, les attaquants sont tombés amoureux des failles CVE-2017-11882 et CVE-2017-0199 dans MS Office.
2024-05-13_003045.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »