Articles

Proxybox : un réseau de proxy au service des cybercriminels

Selon les chercheurs en sécurité de Symantec, des cybercriminels utilisent des ordinateurs infectés par un logiciel malveillant pour alimenter un service commercial de proxy.

Il ya trois mois, les chercheurs de Symantec ont ouvert une enquête sur un malware appelé Backdoor.Proxybox qui était connu depuis 2010 mais dont l’augmentation de l’activité les interpellé.

«Notre enquête a révélé une opération malveillante, nous donnant des informations intéressantes sur le fonctionnement et la taille de ce botnet » a déclaré Joseph Bingham, chercheur chez Symantec.

Le programme malveillant est de type cheval de Troie avec des fonctionnalités rootkit qui transforment l’ordinateur en un serveur proxy. Les opérateurs du réseau de zombies vont donc l’utiliser pour alimenter un service de proxy commercial appelé Proxybox.name.

Parce qu’on ne peut pas cacher l’IP réelle d’un utilisateur, les serveurs proxy sont couramment utilisés pour échapper aux tentatives de censure en ligne, contourner les restrictions fondées sur la région d’accès au contenu, ou dans de nombreux cas, procéder à diverses activités illégales.

Entièrement anonymes et transparents, les serveurs proxy SOCKS peuvent acheminer le trafic pour n’importe quelle application, et non pas seulement les connexions par navigateur. Ils sont aussi difficiles à localiser, et c’est exactement ce que propose le service Proxybox.

Selon le site Proxybox, pour 25 $ par mois, les clients peuvent avoir accès à 150 serveurs proxy à partir des pays qu’ils désirent, et pour 40 $, ils peuvent avoir accès à un nombre illimité de proxy. Les opérateurs de services promettent de ne pas conserver les logs d’accès, ce qui rend ces serveurs parfait pour une utilisation criminelle car il n’y aura pas de journaux pour les autorités qui souhaiteraient enquêter.

Après avoir étudié les serveurs de commande et de contrôle du Botnet, les chercheurs de Symantec pensent  qu’il y a environ 40.000 machines actives contre 2000 selon le site de ProxyBox

Le malware Proxybox est distribué par divers moyens, y compris par des attaques de type drive-by download lancées à partir de sites Web compromis via des exploits commerciaux comme Blackhole.

Les risques pour les utilisateurs dont les ordinateurs sont infectés par Backdoor.Proxybox sont importants. Car si des serveurs proxy non autorisées sont en cours d’exécution sur leurs systèmes, leurs adresses IP pourrait être impliquée dans diverses activités illégales à leurs insu et reconnus comme responsable des dommages causés à des tiers.

[Source]

ZeroAccess : un botnet pouvant générer 100 000 $ / jour

Le laboratoire Sophos vient de publier un rapport d’étude portant sur le Malware ZeroAccess.

ZeroAccess est un Malware extrêmement répandue qui tourmente les individus et les entreprises depuis des années. Il a évolué au fil du temps pour répondre aux nouvelles architectures et aux nouvelles versions de Windows.

Les chercheurs de Sophos avaient étudiés et décries les versions précédentes de ZeroAccess. Les PC des victimes prenaient part un botnet peer-to-peer qui permettait de recevoir des instructions de la part de leur Centre de Commande et de Contrôle afin de pouvoir télécharger d’autres malwares.

Plus récemment, ils ont analysé la façon dont ZeroAccess a pris un tournant majeur dans sa stratégie en fonctionnant entièrement en mémoire. De ce fait, le laboratoire Sophos a décortiqué la dernière version de ZeroAccess et l’ensemble de son réseau de botnet.

ZeroAccess s’appuie sur un réseau peer-to-peer pour télécharger des fichiers qui effectuent des tâches variées destinées à générer des revenus pour les propriétaires de botnets. Les chercheurs ont surveillé ce réseau pendant une période de deux mois pour découvrir où étaient localisés les Centres de Commandes et quel type de fichiers, le botnet était chargé de récupérer.

La version actuelle du Malware  a été installée plus de 9 millions de fois et il est actuellement présent sur un million de machines à travers le monde. Le plus grand nombre de machines infectées a été trouvé aux USA, au Canada et en Europe occidentale.

Le Botnet est utilisé pour deux objectifs principaux : faire de la fraude aux clics (cliquer automatiquement sur des annonces publicitaires génératrices de revenus) et exploiter de la monnaie électronique Bitcoin.

Théoriquement si le Botnet ZeroAccess est utilisé avec toutes ses capacités, il peut générer 100 000 dollars par jour.

Retrouvez le rapport complet de Sophos [ici]

La moitié des sociétés françaises s’attendent à une cyber-attaque dans les six prochains mois

LONDRES, 23 avril 2012 /PRNewswire/ — Dans une étude réalisée auprès des responsables européens de la technologie informatique, 50% des entreprises françaises interrogées ont déclaré qu’elles s’attendent à une cyber-attaque dans les six prochains mois.  Contrairement aux autres régions interrogées, les concurrents commerciaux sont considérés en France comme les premiers coupables (45 pour cent), en  comparaison au Royaume-Uni (35 pour cent), l’Espagne (31 pour cent) et l’Allemagne (31 pour cent).   Les autres menaces identifiées sont les hacktivistes / les organisations anonymes (35 pour cent), les pirates électroniques (31 pour  cent) et les employés mécontents (29 pour cent).

L’étude menée par Opinion Matters pour Bit9, le leader dans la protection avancée contre les menaces, indique qu’il existe une menace réelle à travers l’Europe, et la plupart des spécialistes de la technologie de l’informatique et de la sécurité sont bien conscients de l’ampleur de plus en plus complexe des menaces virtuelles et des types des attaquants auxquels ils font face.

Des 1 020 responsables informatiques questionnés en France, Allemagne, Espagne et au Royaume-Uni, 58 pour cent pensent qu’il existe aujourd’hui plus d’attaques organisées par des hackeurs, groupes criminels organisés et des états-nations qu’auparavant.  Seul 11 pour cent pensent qu’il n’existe aucune menace et qu’il ne s’agit que de sensation médiatique.

Les serveurs de fichiers et les bases de données des entreprises sont considérés comme les plus vulnérables aux attaques (34 pour cent).  Cependant, seuls 31 pour cent des personnes interrogées affirment que leurs mesures de sécurité offrent une protection efficace à ces technologies.

S’agissant de ce qui est vraiment exposé aux risques, les informations personnelles des clients et leurs informations financières sont les valeurs les plus importantes que détient une entreprise (respectivement 60 pour cent et 50 pour cent). Cependant pour près de trois sur dix répondants (29 pour cent), la propriété intellectuelle, telle que la recherche, les brevets et les concepts constituent la priorité.

Les logiciels malveillants, tels que les chevaux de Troie, rootkits, vers, virus etc. constituent les méthodes d’attaques informatiques qui inquiètent le plus les spécialistes de sécurité européens (36 pour cent). Viennent ensuite les infections par téléchargement, les sites malveillants (16 pour cent) ; le harponnage (15 pour cent) ; les USB et terminaux malveillants (15 pour cent) et les dénis de services distribués, DDoS, (14 pour cent) sont aussi d’autres sources inquiétantes.

L’étude démontre clairement que les professionnels de l’informatique et de la sécurité prennent très au sérieux leur devoir de signaler toute violation de sécurité.  La vaste majorité des entreprises européennes interrogée (88 pour cent) est de l’avis que les violations de la sécurité informatique doivent être immédiatement indiquées aux clients et au public. En outre, presque deux tiers (63 pour cent) pensent qu’il faut aussi fournir des informations additionnelles, telles que ce qui a fait l’objet de la violation et même comment celle-ci a été commise (25 pour cent). Seuls 12 pour cent pensent qu’il ne faut absolument rien dévoiler.

La plupart des participants européens à l’enquête pensent que l’industrie de la sécurité aura le plus grand impact sur l’amélioration de l’état de la sécurité informatique grâce à une technologie améliorée (46 pour cent), contrairement au gouvernement et aux services juridiques (13 pour cent).  Seuls huit pour cent de ceux qui ont été interrogés pensent que les individus ou les employés au sein d’une organisation auront le plus grand impact sur cette amélioration, alors que 34 pour cent affirment que seules les entreprises elles-mêmes le pourront par le biais des meilleures pratiques et de l’implémentation.

« Cette enquête prend en compte la véritable menace à laquelle les professionnels de l’informatique et de sécurité font face », a déclaré Patrick Morley, PDG de Bit9.  « Nous sommes témoins du plus large transfert de propriété intellectuelle que le monde n’ait jamais vu. Il n’y a pas que les cyber-criminels traditionnels qui cherchent à voler des informations financières, mais il y a aussi le nombre croissant des groupes organisés tels que les hacktivistes, les états-nations qui intentionnellement violent la sécurité de l’entreprise pour accéder aux informations de la clientèle ou à la propriété intellectuelle.  À un moment où, il est plus facile de voler que de créer des informations en partant de rien, il est vital que les organisations possèdent sur place des systèmes appropriés pour détecter et se protéger contre la croissance des attaques ciblées et personnalisées. »

A propos de l’enquête L’étude menée pour Bit9 a été réalisée le 30/03/2012 et le 10/04/2012 sur un échantillon de 1 020 responsables informatiques provenant du Royaume-Uni, de la France, l’Allemagne et l’Espagne.

L’étude menée par Opinion Matters adhère aux Codes de conduite MRS (2010) du Royaume-Uni. Il existe des directives au sein de ces paramètres qui garantissent que toute l’étude est menée de façon professionnelle et éthique. En outre, en tant que membre d’ESOMAR et d’AIMRI, Opinion Matters respecte le Code international de la CCI/ESOMAR sur les études de marché et sociales.

Opinion Matters est enregistrée au Bureau du Commissaire à l’information et est totalement conforme à la Loi sur la protection des données confidentielles. La société est aussi certifiée sous le Système d’assurance qualité IS0 9001.

[Source – PR Newswire pour Bit9]

82% des sites Web malveillants sont hébergés sur des machines compromises

Websense vient de publier « Threat Report 2012 », l’année en revue concerne essentiellement trois thèmes : le vol de données, les attaques ciblées et les kits d’exploits.

Le monde du Web statique est révolu. Aujourd’hui, tous les contenus sont dynamiques. Ainsi les menaces circulent dynamiquement sur le Web (vidéos, téléchargement, communication avec les centres de commandes et de contrôle…).

Les attaques peuvent être divisées en six étapes :

  1. Leurre : sur un site web ou par mail
  2. Redirection : renvoi de la navigation vers un serveur malveillant
  3. Kit d’exploit : la machine de la victime est scannée afin de détecter des vulnérabilités
  4. Dropper : si une vulnérabilité existe, un dropper est installé sur la machine victime
  5. Appel vers la base : les malwares sont téléchargés afin d’infecter la machine
  6. Vol de données : les informations stockées par la machine victime sont exfiltrées

Quelques chiffres clés du rapport

  • 82% des sites Web malveillants sont hébergés sur des machines compromises
  • 55% des logiciels malveillants de vol de données sont basés sur le web.
  • 43% de l’activité de Facebook est catégorisée comme du média-streaming. Le pourcentage de flux média est important car l’escroquerie vise la curiosité humaine, on retrouve ainsi de nombreuses vidéos, des offres de (faux) cadeaux, des enquêtes…Toutes ces formes d’arnaques ont migré vers les réseaux sociaux.
  • 60% des sites de phishing sont hébergés aux Etats-Unis. Ce sont également les USA qui hébergent le plus de malware (36%), suivie par la Russie…

Le rapport souligne qu’il est inacceptable pour une Société que migre vers le Cloud d’avoir plus de 8 sites web malveillants sur 10 hébergés sur des machines compromises, surtout lorsqu’on sait que ces sites sont essentiels pour le commerce, les communications et la culture.

Charles Renert, Vice-Président R&D chez Websense, a déclaré que « les moyens de défense traditionnels ne fonctionnent plus. Les organisations ont besoin de points de défense fonctionnant en temps réel avec de multiples points de contrôle permettant de vérifier à la fois le trafic entrant et sortant du réseau ».

En ajoutant qu’aujourd’hui « presque tout les vols de données impliquent le web et/ou l’email. On utilise toujours plus l’ingénierie sociale afin de profiter de l’élément humain en tant que maillon faible. La génération actuelle d’attaquants combine plusieurs points d’entrée pour cibler les victimes ».

Retrouvez le rapport l’intégralité du rapport [ici]

 

BlackHole : kit d’exploits n°1 dans le monde

Le laboratoire M86 Security vient de publier son rapport pour le 2nd semestre 2011. L’analyse est faite sur l’activité des malwares et SPAM, l’utilisation des kits d’exploits, l’usage des faux certificats numériques et le détournement des réseaux sociaux.

Les points clés du rapport sont les suivants :

  • Les attaques ciblées sont devenues sophistiquées et visent une vaste gamme d’organismes : commerciales, infrastructures critiques, institutions publiques et militaires
  • L’usage de faux certificats et/ou de certificats d’authentification volés est devenu fréquent lors d’attaques ciblées
  • Les logiciels malveillants sont de plus en plus encastrés dans des sous-couches et dans différents formats, les logiciels de sécurité ont donc du mal à explorer en profondeur lors des analyses
  • Blackhole est devenu le kit d’exploits le plus répandu dans le monde, ses nouvelles versions ont été d’abord déployées en Europe de l’Est. Ses auteurs ont augmenté la fréquence des mises à jour et intègrent toujours plus de fonctionnalités
  • Les fausses notifications dans les réseaux sociaux deviennent un moyen courant, pour les spammeurs, pour duper les utilisateurs en cliquant sur des liens indésirables. Le réseau social le plus propice aux campagnes malveillantes reste Facebook, avec notamment de fausses annonces promettant de gagner des produits high-tech
  • Les sites web corrompus par injection de code malveillant jouent un rôle majeur dans la distribution de malwares et SPAM
  • Près de la moitié du contenu Web malveillant est hébergé aux USA
  • Les produits les plus couramment ciblés pour infecter les machines sont : Microsoft Internet Explorer, Oracle Java, Adobe Acrobat Reader, Adobe Flash et les produits Microsoft Office
  • Le volume global de SPAM continue de décroître, atteignant le plus bas volume depuis 4 ans

 

Retrouver le rapport M86 Security Labs [ici]