Semaine de la sécurité 08: retour des virus

Lorsque l'on parle de menaces informatiques, un "malware" est souvent appelé tout malware, mais ce n'est pas tout à fait correct. Le virus classique est un phénomène de l'ère pré-Internet, lorsque les informations étaient transférées entre ordinateurs principalement sur des disquettes, et pour la distribution de code malveillant, il était nécessaire de les "attacher" à des fichiers exécutables. La semaine dernière, les experts de Kaspersky Lab ont publié une étude sur le virus KBOT. Il se propage en infectant les fichiers exécutables et est le premier virus vivant observé à l'état sauvage au cours des dernières années.

Malgré la méthode d'infection éprouvée, la fonctionnalité de ce logiciel malveillant est assez à jour: vol de données de paiement et de mots de passe, puis téléchargement sur un serveur de commandes, offrant un accès à distance à l'ordinateur infecté à l'aide du protocole RDP standard. Si nécessaire, KBOT peut télécharger des modules supplémentaires à partir du serveur, en d'autres termes, il offre un contrôle total sur le système. Tout cela est un ensemble de gentleman standard de toute cyberattaque moderne, mais ici, nous traitons également d'une infection destructrice de fichiers exe.

Après avoir lancé le fichier infecté, KBOT est corrigé dans le système, s'enregistrant dans le démarrage et le planificateur de tâches. L'étude décrit en détail le processus d'infection des fichiers exécutables: le virus les modifie pour que la fonctionnalité d'origine du programme ne soit pas préservée. Pour cette raison, les fichiers sont modifiés uniquement sur les lecteurs logiques de plug-in: supports externes, lecteurs réseau, etc., mais pas sur la partition système, sinon, au lieu du vol de données, le système d'exploitation sera complètement inopérant. Entre autres choses, KBOT est un virus polymorphe, c'est-à-dire qu'il change de code à chaque fois qu'un fichier est infecté.

Le virus se trouve le plus souvent en Russie et en Allemagne, mais le nombre total d'attaques est relativement faible. KBOT et ses modules sont détectés par les solutions Kaspersky Lab telles que Virus.Win32.Kpot.a, Virus.Win64.Kpot.a, Virus.Win32.Kpot.b, Virus.Win64.Kpot.b et Trojan-PSW.Win32.Coins .nav. L'approche de distribution traditionnelle de ce malware est intéressante, mais pas nécessairement efficace. Premièrement, le stockage de fichiers exécutables sur des supports externes est désormais l'exception plutôt que la règle. Deuxièmement, si l'endommagement des données sur un disque dur était normal pour les virus il y a 30 ans, la tâche d'un cybercriminel est désormais d'accéder aux données personnelles sans être remarqué le plus longtemps possible. La rupture des exécutables ne contribue pas à la furtivité.

Que s'est-il passé d'autre

Une vulnérabilité critique a été découverte dans le plugin GDPR Cookie Consent pour Wordpress, un simple module complémentaire pour afficher un message comme «nous utilisons des cookies sur notre site Web». Le bogue permet à tout utilisateur enregistré dans Wordpress d'obtenir des droits d'administrateur. Le problème est particulièrement dangereux sur les sites à inscription ouverte, par exemple pour commenter des publications. Environ 700 000 sites sont exposés.

Publication d'une étude F-Secure sur le piratage des haut-parleurs intelligents Amazon Alexa. Les spécialistes se sont connectés à l'interface de débogage régulière de la colonne, démarré à partir d'un support externe (une carte SD connectée aux broches sur la même interface pour le débogage) et ont eu accès au système de fichiers sur l'appareil. Ce scénario vous permet d'installer des logiciels malveillants sur une colonne.

La version du navigateur Firefox 73 a fermé plusieurs vulnérabilités graves, dont au moins une avec la possibilité d'exécuter du code arbitraire lors de la visite d'un site Web «préparé».

Palo Alto Networks a étudié des exemples de configurations Docker non sécurisées . Grâce à Shodan, des exemples de serveurs Docker Registry non sécurisés ont été découverts. En conséquence, les images Docker elles-mêmes et les applications qui y étaient stockées étaient disponibles. Cinq cents logiciels malveillants ont été supprimés

du magasin d'extensions pour le navigateur Google Chrome : ils ont tous collecté des données utilisateur et redirigé les victimes vers des sites pour une infection ultérieure de l'ordinateur. Malwarebytes a dit

sur un exemple intéressant d'un programme malveillant pour Android, qui est restauré après une réinitialisation de l'appareil.