Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Avis d’expert Avira : le bar des malwares, décryptage

février 2019 par Avira

Si des tendances ressortent dans les attaques de logiciels malveillants d’un pays à un autre, les frontières n’y sont pas pour autant imperméables. « Ce que vous pourrez trouver dépend vraiment des campagnes spécifiques de logiciels malveillants, des normes de sécurité locales sur le Web et même des comportements individuels des consommateurs (…) Il y a des tendances et des moyennes, mais vous pourriez tout de même tomber sur le même malware – distribué par un autre groupe de cybercriminels. Vous devez être préparé à tout. » Alexander Vukcevic, directeur du Laboratoire de protection Avira.

Décryptage des malwares

Parfois, les malwares sont comme aller au restaurant, aussi vous pourriez vous poser les mêmes questions : pourquoi mon serveur est-il aussi lent (cryptominage), pourquoi le repas était mauvais alors qu’il était délicieux la semaine dernière (infections HTML) et est-il si important que ça de faire la vidange de la voiture avant de prendre la route (CVE-2015-2426) ?

Le bar des malwares

Problème Nom Activité Moyen de défense

Pourquoi mon serveur est-il si lent ? PUA/CryptoMiner.Gen (Allemagne) Utilise la puissance de calcul de votre appareil pour miner des crypto-monnaies. Faites attention aux avertissements sur les applications potentiellement indésirables (PUA) provenant de votre solution de sécurité. Cet endroit était génial la dernière fois ! HTML/Infected.WebPage.Gen2 (USA)

Masqué dans un site de confiance, il injecte une variété de logiciels malveillants sur votre appareil Avoir installé une solution de sécurité qui analyse les sites Internet pour détecter les infections

Pourquoi ai-je autant d’annonces bizarres ? PUA/OpenCandy (Royaume-Uni)

Diffuse un flux agaçant de publicités Soyez prudent lorsque vous téléchargez des applications. Attention aux avertissements sur les PUA.

Bien trop beau pour être vrai TR/Dropper.Gen (Italie)

Souvent utilisé dans des tentatives d’hameçonnage pour télécharger d’autres malwares. Soyez prudent lorsque vous ouvrez des e-mails suspects et leurs pièces jointes.

Avez-vous fait la vidange avant de partir ? EXP/CVE-2015-2426

(France) Prend le contrôle des appareils non protégés via une vulnérabilité de Windows. Mettez à jour votre machine. Pour vous faciliter la vie, utilisez un programme automatique de mise à jour de logiciels.

Pourquoi cela prend-il aussi longtemps ? –PUA/CryptoMiner.Gen

Le cryptominage est en plein essor dans le monde entier, en raison de l’augmentation phénoménale de la valeur des crypto-monnaies sur le marché. C’est également la principale menace en Allemagne.

Pour créer des crypto-monnaies, il faut utiliser un processus appelé « minage », dans lequel la puissance de calcul d’un ordinateur est utilisée pour résoudre des équations mathématiques complexes. Ce processus a besoin de deux ressources très coûteuses : de l’énergie électrique et du matériel. Les pirates cherchant des moyens d’innover ont réalisé qu’en intégrant furtivement des logiciels de minage au sein d’applications, ils pouvaient le faire gratuitement. De plus, il est plus facile de monétiser leurs gains en crypto-monnaies que ceux des logiciels malveillants traditionnels.

Les machines sont généralement infectées par un programme CryptoMiner lorsque l’utilisateur télécharge un logiciel sur Internet et l’exécute ou qu’il consulte des sites Internet qui exécutent secrètement des logiciels de cryptominage en arrière-plan sans l’en informer. En tant qu’application potentiellement indésirable, CryptoMiner n’endommage pas directement l’appareil, mais le rend extrêmement lent lors des tâches quotidiennes et vous fera perdre un temps précieux.

Pas si terrible que ça finalement –HTML/Infected.WebPage.Gen2 (États-Unis)

Les infections HTML sont comme la façade d’un bar huppé, elles peuvent paraître superbes à premier abord, mais cachent tout de même des choses pas très nettes. Contrairement à un restaurant, vous ne pouvez pas vous rendre sur votre site Internet favori et vérifier que leur WordPress est à jour et protégé ou que leur serveur hôte est net.

C’est pour cette raison précise que les pages Internet infectées sont une source majeure d’infections. Les utilisateurs pensent que les pages infectées sont sans risque car ils les ont déjà visitées plusieurs fois auparavant. Ils tentent donc d’ignorer les avertissements de leur solution de sécurité, et finissent par se retrouver avec des malwares injectés sur leur machine.

La bataille pour un site Internet propre et sûr est un jeu interminable du chat et de la souris : les pirates cherchent constamment des pages vulnérables où ils peuvent injecter leur code malveillant et les administrateurs systèmes eux, recherchent les vulnérabilités et les signes d’une attaque. Peut-être est-ce en raison de la taille des États-Unis ou du plus grand nombre d’entreprises et de particuliers qui ont leur propre site Internet, mais ces infections sont bien plus répandues dans ce pays qu’ailleurs.

Oubliez le spectacle, regardez simplement les publicités –PUA/OpenCandy

PUA/OpenCandy est une PUA traditionnelle – et évolutive. C’est une PUA car il est presque sûr que vous n’en vouliez pas, mais les logiciels de sécurité ne peuvent pas la bloquer complètement car elle n’est pas directement malveillante. Elle tentera souvent de s’immiscer sur un appareil à l’insu de l’utilisateur ou se cachera derrière une fausse description dans un package avec un autre logiciel téléchargé. InstallCore était à l’origine connu pour prendre le contrôle des barres d’adresse des navigateurs et ralentir radicalement les appareils. Dans sa dernière incarnation, il distribue des publicités – et pas qu’un peu.

La meilleure défense est d’être prudent lorsque vous téléchargez des applications, particulièrement sur des sources hors marchés conventionnels et soyez prudent en lisant les conditions générales avant de les accepter. Une bonne solution de sécurité vous alertera si vous téléchargez des PUA ou si vous êtes sur le point de les installer.

Bien habillé mais avec de mauvaises intentions –TR/Dropper.Gen (Italie).

TR/Dropper.Gen est l’un des malwares les mieux présentés, qui apparaît souvent sous la forme d’un e-mail provenant de FedEx, PayPal ou d’une autre campagne d’hameçonnage en vogue. En tant que dropper, il est conçu pour s’immiscer et exécuter une variété de codes malveillants sur votre appareil. Le code malveillant est soit contenu dans le dropper, soit téléchargé à la demande sur Internet, lorsque le dropper est exécuté. En téléchargeant ce qu’ils veulent à la demande, les pirates sont en mesure de mettre facilement à jour ou de modifier le code malveillant selon leurs besoins. Le code TR/Dropper.Gen est connu pour télécharger et installer d’autres malwares, enregistrer les touches enfoncées sur le clavier, capturer les identifiants d’utilisateur et les mots de passe, pirater les navigateurs et donner aux pirates un accès à distance à votre appareil.

Chéri, tu as fait la vidange ? – EXP/CVE-2015-2426

Le nom CVE-2015-2426 semble aussi inoffensif que le nom du système de fichiers d’une bibliothèque – mais cet exploit est la source de bien des problèmes. Le sigle CVE signifie « Common Vulnerabilities and Exposures » (Vulnérabilités et expositions courantes) – une façon standardisée de classer les vulnérabilités, et la date – 2015 – indique qu’il ne date pas d’hier. Plus connu sous le nom de « Vulnérabilité du pilote d’OpenType Font », il permet aux pirates dotés d’une police OpenType spéciale d’exécuter du code à distance et de prendre le contrôle d’un appareil. À moins que l’ordinateur ne soit à jour et protégé, cet exploit reste un vecteur d’attaque potentiel pour de nombreuses variantes du système d’exploitation Windows. C’est pourquoi il est crucial de mettre à jour votre appareil et de veiller à ce qu’il soit protégé.




Voir les articles précédents

    

Voir les articles suivants