CORONAVIRUS et informatique (Pour rappel le terme COVID-19, c'est la maladie : "Coronavirus disease 2019")
Je ne vais évidemment pas aborder le sujet de l'infection virale dont il est question actuellement et qui affecte l'être humain, mais des variantes informatiques qui émanent de personnes malveillantes qui profitent de ce qui se passe pour infecter votre ordinateur
Cela a déjà commencé en février, mais le sujet n'avait pas été abordé car ces personnes ciblent en priorité les pays touchées par l'infection
En France en ce mois de mars 2020, nous avons franchi un cap avec l'infection (celle du virus biologique) donc la France est et sera une cible obligatoirement
Ils suivent les réseaux d'actualité, les forums, réseaux sociaux, analysent les craintes, les besoins et s'adaptent
Ces personnes cherchent à exploiter les craintes des gens, mais aussi la naîveté et méconnaissance en propageant des logiciels malveillants
En général, l'infection se propage par le biais de courriers électroniques frauduleux (phishing)
Ce n'est pas nouveau car il est toujours recommandé de se méfier des e-mails qui sont directement liés à des événements actuels
Concernant la naîveté et méconnaissance juste pour l'exemple :
Se rappeler que 16% des gens se demandent si le virus coronavirus est diffusé par... la bière Corona (voir 2ème partie à ce sujet)
D'autres appellent le samu parce qu'ils ont mangé Chinois ou reçu un colis Amazon de Chine ou via Wish, ...
Il a même été vu des appels de chirurgien dentiste qui après avoir soigné des Chinois a appelé le 15 alors que pour la petite histoire ces Chinois n'avaient pas été en Chine depuis plus de 10 ans ni en contact avec des gens revenant des pays à risque.
Vu à Strasbourg (chaîne TV) : "Avant on buvait du Schnaps et on n’avait jamais rien !", assure une personne âgée dans la file d'une pharmacie
Pour les craintes, cela est difficilement gérable car la peur et les actes qui en découlent dominent le raisonnement
A petite échelle on voit l'effet dans les supermarchés avec le papier toilette (mimétisme doublé d'égocentrisme, ...)
Les sujets peuvent être divers et variés :
- Comment se protéger du Coronavirus ?
- Des conseils et recommandations présentés comme émanant d'un site "officiel" comme celui du Ministère de la santé, de l'OMS,
Ex des cibles américaines et britanniques en, Asie, où il a été usurpé l'identité de responsables et de virologues des "Centers for Disease Control and Prevention (CDC) "des États-Unis, en alertant leurs victimes
potentielles d'infections dans leur région et en fournissant des "mesures de sécurité".
- Des alertes de confinement, suite à une épidémie qui se transforme en pandémie
- Des liens de site vendant des protections (masques par ex) pas chers (vu que les prix ont augmenté d'un facteur X10 et plus par ex sur Amazon)
- Des "recettes" de protection médicamenteuses
- Faux sites d'informations (carte mondiale de propagation par ex)
- Faux site flirtant sur les fake news et théories du complot (Logo du labo P4 de Wu han, Raccoon City, Umbrella Corporation)
- Des liens sur des sites pharmaceutiques "douteux" (le lien en lui même "peut" n'être pas obligatoirement infectieux mais l'arnaque peut se situer au moment du paiement)
etc (liste non exhaustive, car ces gens ont toujours de l'imagination pour appâter leurs cibles)
Par exemple les auteurs d'EMOTET
https://fr.malwarebytes.com/emotet/
https://www.malekal.com/trojan-banker-b ... -bancaire/
utilisent la crise sanitaire liée à l’épidémie de coronavirus en Chine et comme le coronavirus de Wuhan (2019-nCoV) domine l’actualité, il n’est pas surprenant que les cybercriminels cherchent à s’y greffer pour propager leurs logiciels malveillants (malware).
Les chercheurs en sécurité ont découvert une campagne d’e-mails active fournissant des pièces jointes Word compromises, qui contiennent soi-disant des informations sur l’épidémie et diverses mesures à prendre pour s’en prévenir.
Emotet est apparu tout d’abord en tant que trojan (cheval de Troie) bancaire, mais ses capacités ont été améliorées au fil du temps.
Désormais, il fonctionne également comme téléchargeur et peut également déployer d’autres charges utiles ou transformer des systèmes infectés en composant de botnet (réseau d’appareils zombies).
De tels réseaux de botnet peuvent être loués à d’autres cybercriminels, pour des ransomwares ou des attaques DDoS, par exemple.
L’ouverture du document Word dans un environnement où les macros sont activées déclenche un script PowerShell qui récupère un téléchargeur Emotet.
Même avec les macros désactivées, les utilisateurs recevraient toujours une notification pour permettre aux macros de voir correctement le document.
https://www.malekal.com/virus-office-word-excel/
Dans les infections ont donc été détectés Emotet et le voleur d'informations (stealer) AZORult, mais aussi le Keylogger agentTesla et le NanoCore RAT (cheval de trois d'accès à distance), qui peuvent tous voler des informations personnelles,
y compris des informations financières.
Un RAT (Cheval de Troie d'accès à distance) pour rappel est utilisé pour voler des frappes clavier
A été détecté par ex le fichier vérolé : CoronaVirusSafetyMeasures_pdf.exe
Le malware gagnera également en persistance sur le périphérique infecté en ajoutant une clé de registre de démarrage dans HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce qui lui permet de
se redémarrer après le redémarrage de l'ordinateur.
Après avoir configuré tout ce dont il a besoin à des fins malveillantes, le RAT commencera à enregistrer les frappes de l'utilisateur et à les stocker dans un fichier log.dat dans le dossier %AppData%\Local\Temp\onedriv .
Exemple de ce mois de mars avec un ransomware :
Le rançongiciel concerné était Netwalker, aussi connu sous le nom MailTo, découvert l’an dernier. Contrairement à d’autres rançongiciels populaires, comme Maze ou Ryuk, qui restent en sommeil dans le système
jusqu’au moment le plus opportun, Netwalker chiffre les données dès qu’il est déployé.
une invitation à ouvrir un document, détaillant en l'occurrence la réponse des autorités du pays face à la pandémie.
Découvert par la MalwareHunterTeam la semaine dernière et détaillé par Shai Alfasi, chercheur en cybersécurité chez Reason Labs, ce virus vise spécifiquement les internautes qui recherchent des données
cartographiques sur l'épidémie Covid-19 sur Internet. Lorsqu'ils tombent sur la page vérolée, via un moteur de recherche, les personnes sont invitées à télécharger une carte pour la lancer depuis Windows.
Effectivement, un double-clic sur le fichier affiche bel et bien une carte en temps réel des infections et des décès à travers la planète, sauf que dans le même temps, cela lance l'installation du malware, capable de collecter les informations stockées dans le navigateur, comme les cookies, l'historique de navigation, mais aussi les identifiants et les mots de passe. Fort de ces données, les hackers peuvent
ensuite se connecter à votre place à votre banque, Facebook ou encore votre boîte e-mail.
https://blog.reasonsecurity.com/2020/03 ... is-report/
Et ce ne serait qu'une partie des dommages causés par ce malware puisqu'il modifie des fichiers systèmes et peut servir de porte d'entrée pour d'autres logiciels malveillants.
La bonne nouvelle, c'est que depuis sa découverte le 9 mars, de nombreux éditeurs d'antivirus l'ont intégré dans leur base virale et sont capables de l'éliminer. Pourquoi ? Tout simplement parce qu'il se base sur un malware apparu en 2016.
https://www.virustotal.com/gui/file/2b3 ... /detection
Pour rappel, le VRAI site est : https://coronavirus.jhu.edu/map.html
mais on peut le retrouver ici également (derrière on a arcgis.com)
https://gisanddata.maps.arcgis.com/apps ... 7b48e9ecf6
ou ici
https://ncov2019.live/data
Ce dernier lien est le site d'un étudiant américain qui donne des informations sur l’évolution du Covid-19 en s’appuyant sur des données provenant de différentes sources telles que l’OMS, les Centres pour le contrôle et la prévention des maladies, de même que les services de santé locaux. Il peut ainsi donner l’évolution du nombre de personnes touchées par la maladie toutes les 10 minutes (ce site lui prend 6h par jour)
On peut également voir le nombre de personnes qui sont guéries du coronavirus, ce qui permet d’avoir un tableau plus nuancé de la situation.
Autre variante :
L'application Corona-virus-Map.com.exe affole les moteurs antivirus sur VirusTotal et pour un malware ciblant les ordinateurs Windows. Un chercheur en cybersécurité de Reason Labs a analysé une menace AZORult.
"Breaking: New malware weaponizes coronavirus map applications to steal user credentials.
Full ReasonLabs threat analysis report >> https://t.co/009oWe4udV#coronavirus #CyberSecurity #CoronavirusOutbreak #Corona
— Reason Labs (@LabsReason) March 9, 2020"
AZORult circule depuis plusieurs années.
Ce malware est notamment en vente sur des forums cybercriminels russes. Il appartient à une famille de malwares pour le vol de données des utilisateurs, parmi d'autres choses.
Reason Labs écrit qu'il existe également une variante de AZORult afin de créer un nouveau compte administrateur caché sur une machine infectée dans le but d'autoriser des connexions RDP (Remote Desktop Protocol).
Malwarebytes Labs avait déjà alerté au sujet de AZORult et un site prétextant montrer les cas de coronavirus Covid-19 sur une carte.
Pour tromper leur monde, les cybercriminels surfent sur la carte légitime - et " saine " - proposée en ligne par l'université Johns-Hopkins (lien évoqué ci-dessus).
Dans "la vraie vie" les escrocs profitent également de l'actualité :
Le mercredi 4 mars, les gendarmes de la brigade de VILLEGOUGE sont intervenus à LUGON ET L'ILE DU CARNAY pour du démarchage à domicile d'un faux employé communal proposant de désinfecter les habitations
suite à l'épidémie de Coronavirus.
Ce type de démarchage permet à ces escrocs de rentrer dans votre domicile, de vérifier la présence d'objets de valeurs ou la présence d'un système d'alarme et/ou de réaliser, s'ils en ont l'occasion, "un vol par ruse".
Le ou les auteurs sont généralement vêtus de manière soignée et adaptée à la fonction qu'ils prétendent détenir.
Le phénomène n'est pas nouveau, car la cible est souvent les personnes agées, et ces faux démarcheurs avant l'apparition du virus étaient les mêmes qui se faisaient passer pour de faux policiers, employés du gaz etc
Ils se sont juste adaptés
https://www.facebook.com/gendarmerie.de ... =3&theater
Je ne vais évidemment pas aborder le sujet de l'infection virale dont il est question actuellement et qui affecte l'être humain, mais des variantes informatiques qui émanent de personnes malveillantes qui profitent de ce qui se passe pour infecter votre ordinateur
Cela a déjà commencé en février, mais le sujet n'avait pas été abordé car ces personnes ciblent en priorité les pays touchées par l'infection
En France en ce mois de mars 2020, nous avons franchi un cap avec l'infection (celle du virus biologique) donc la France est et sera une cible obligatoirement
Ils suivent les réseaux d'actualité, les forums, réseaux sociaux, analysent les craintes, les besoins et s'adaptent
Ces personnes cherchent à exploiter les craintes des gens, mais aussi la naîveté et méconnaissance en propageant des logiciels malveillants
En général, l'infection se propage par le biais de courriers électroniques frauduleux (phishing)
Ce n'est pas nouveau car il est toujours recommandé de se méfier des e-mails qui sont directement liés à des événements actuels
Concernant la naîveté et méconnaissance juste pour l'exemple :
Se rappeler que 16% des gens se demandent si le virus coronavirus est diffusé par... la bière Corona (voir 2ème partie à ce sujet)
D'autres appellent le samu parce qu'ils ont mangé Chinois ou reçu un colis Amazon de Chine ou via Wish, ...
Il a même été vu des appels de chirurgien dentiste qui après avoir soigné des Chinois a appelé le 15 alors que pour la petite histoire ces Chinois n'avaient pas été en Chine depuis plus de 10 ans ni en contact avec des gens revenant des pays à risque.
Vu à Strasbourg (chaîne TV) : "Avant on buvait du Schnaps et on n’avait jamais rien !", assure une personne âgée dans la file d'une pharmacie
Pour les craintes, cela est difficilement gérable car la peur et les actes qui en découlent dominent le raisonnement
A petite échelle on voit l'effet dans les supermarchés avec le papier toilette (mimétisme doublé d'égocentrisme, ...)
Les sujets peuvent être divers et variés :
- Comment se protéger du Coronavirus ?
- Des conseils et recommandations présentés comme émanant d'un site "officiel" comme celui du Ministère de la santé, de l'OMS,
Ex des cibles américaines et britanniques en, Asie, où il a été usurpé l'identité de responsables et de virologues des "Centers for Disease Control and Prevention (CDC) "des États-Unis, en alertant leurs victimes
potentielles d'infections dans leur région et en fournissant des "mesures de sécurité".
- Des alertes de confinement, suite à une épidémie qui se transforme en pandémie
- Des liens de site vendant des protections (masques par ex) pas chers (vu que les prix ont augmenté d'un facteur X10 et plus par ex sur Amazon)
- Des "recettes" de protection médicamenteuses
- Faux sites d'informations (carte mondiale de propagation par ex)
- Faux site flirtant sur les fake news et théories du complot (Logo du labo P4 de Wu han, Raccoon City, Umbrella Corporation)
- Des liens sur des sites pharmaceutiques "douteux" (le lien en lui même "peut" n'être pas obligatoirement infectieux mais l'arnaque peut se situer au moment du paiement)
etc (liste non exhaustive, car ces gens ont toujours de l'imagination pour appâter leurs cibles)
Par exemple les auteurs d'EMOTET
https://fr.malwarebytes.com/emotet/
https://www.malekal.com/trojan-banker-b ... -bancaire/
utilisent la crise sanitaire liée à l’épidémie de coronavirus en Chine et comme le coronavirus de Wuhan (2019-nCoV) domine l’actualité, il n’est pas surprenant que les cybercriminels cherchent à s’y greffer pour propager leurs logiciels malveillants (malware).
Les chercheurs en sécurité ont découvert une campagne d’e-mails active fournissant des pièces jointes Word compromises, qui contiennent soi-disant des informations sur l’épidémie et diverses mesures à prendre pour s’en prévenir.
Désormais, il fonctionne également comme téléchargeur et peut également déployer d’autres charges utiles ou transformer des systèmes infectés en composant de botnet (réseau d’appareils zombies).
De tels réseaux de botnet peuvent être loués à d’autres cybercriminels, pour des ransomwares ou des attaques DDoS, par exemple.
L’ouverture du document Word dans un environnement où les macros sont activées déclenche un script PowerShell qui récupère un téléchargeur Emotet.
Même avec les macros désactivées, les utilisateurs recevraient toujours une notification pour permettre aux macros de voir correctement le document.
https://www.malekal.com/virus-office-word-excel/
Dans les infections ont donc été détectés Emotet et le voleur d'informations (stealer) AZORult, mais aussi le Keylogger agentTesla et le NanoCore RAT (cheval de trois d'accès à distance), qui peuvent tous voler des informations personnelles,
y compris des informations financières.
Un RAT (Cheval de Troie d'accès à distance) pour rappel est utilisé pour voler des frappes clavier
A été détecté par ex le fichier vérolé : CoronaVirusSafetyMeasures_pdf.exe
se redémarrer après le redémarrage de l'ordinateur.
Après avoir configuré tout ce dont il a besoin à des fins malveillantes, le RAT commencera à enregistrer les frappes de l'utilisateur et à les stocker dans un fichier log.dat dans le dossier %AppData%\Local\Temp\onedriv .
Exemple de ce mois de mars avec un ransomware :
Le rançongiciel concerné était Netwalker, aussi connu sous le nom MailTo, découvert l’an dernier. Contrairement à d’autres rançongiciels populaires, comme Maze ou Ryuk, qui restent en sommeil dans le système
jusqu’au moment le plus opportun, Netwalker chiffre les données dès qu’il est déployé.
une invitation à ouvrir un document, détaillant en l'occurrence la réponse des autorités du pays face à la pandémie.
Découvert par la MalwareHunterTeam la semaine dernière et détaillé par Shai Alfasi, chercheur en cybersécurité chez Reason Labs, ce virus vise spécifiquement les internautes qui recherchent des données
cartographiques sur l'épidémie Covid-19 sur Internet. Lorsqu'ils tombent sur la page vérolée, via un moteur de recherche, les personnes sont invitées à télécharger une carte pour la lancer depuis Windows.
Effectivement, un double-clic sur le fichier affiche bel et bien une carte en temps réel des infections et des décès à travers la planète, sauf que dans le même temps, cela lance l'installation du malware, capable de collecter les informations stockées dans le navigateur, comme les cookies, l'historique de navigation, mais aussi les identifiants et les mots de passe. Fort de ces données, les hackers peuvent
ensuite se connecter à votre place à votre banque, Facebook ou encore votre boîte e-mail.
https://blog.reasonsecurity.com/2020/03 ... is-report/
Et ce ne serait qu'une partie des dommages causés par ce malware puisqu'il modifie des fichiers systèmes et peut servir de porte d'entrée pour d'autres logiciels malveillants.
La bonne nouvelle, c'est que depuis sa découverte le 9 mars, de nombreux éditeurs d'antivirus l'ont intégré dans leur base virale et sont capables de l'éliminer. Pourquoi ? Tout simplement parce qu'il se base sur un malware apparu en 2016.
https://www.virustotal.com/gui/file/2b3 ... /detection
Pour rappel, le VRAI site est : https://coronavirus.jhu.edu/map.html
mais on peut le retrouver ici également (derrière on a arcgis.com)
https://gisanddata.maps.arcgis.com/apps ... 7b48e9ecf6
ou ici
https://ncov2019.live/data
Ce dernier lien est le site d'un étudiant américain qui donne des informations sur l’évolution du Covid-19 en s’appuyant sur des données provenant de différentes sources telles que l’OMS, les Centres pour le contrôle et la prévention des maladies, de même que les services de santé locaux. Il peut ainsi donner l’évolution du nombre de personnes touchées par la maladie toutes les 10 minutes (ce site lui prend 6h par jour)
On peut également voir le nombre de personnes qui sont guéries du coronavirus, ce qui permet d’avoir un tableau plus nuancé de la situation.
Autre variante :
L'application Corona-virus-Map.com.exe affole les moteurs antivirus sur VirusTotal et pour un malware ciblant les ordinateurs Windows. Un chercheur en cybersécurité de Reason Labs a analysé une menace AZORult.
"Breaking: New malware weaponizes coronavirus map applications to steal user credentials.
Full ReasonLabs threat analysis report >> https://t.co/009oWe4udV#coronavirus #CyberSecurity #CoronavirusOutbreak #Corona
— Reason Labs (@LabsReason) March 9, 2020"
AZORult circule depuis plusieurs années.
Ce malware est notamment en vente sur des forums cybercriminels russes. Il appartient à une famille de malwares pour le vol de données des utilisateurs, parmi d'autres choses.
Reason Labs écrit qu'il existe également une variante de AZORult afin de créer un nouveau compte administrateur caché sur une machine infectée dans le but d'autoriser des connexions RDP (Remote Desktop Protocol).
Malwarebytes Labs avait déjà alerté au sujet de AZORult et un site prétextant montrer les cas de coronavirus Covid-19 sur une carte.
Pour tromper leur monde, les cybercriminels surfent sur la carte légitime - et " saine " - proposée en ligne par l'université Johns-Hopkins (lien évoqué ci-dessus).
Dans "la vraie vie" les escrocs profitent également de l'actualité :
Le mercredi 4 mars, les gendarmes de la brigade de VILLEGOUGE sont intervenus à LUGON ET L'ILE DU CARNAY pour du démarchage à domicile d'un faux employé communal proposant de désinfecter les habitations
suite à l'épidémie de Coronavirus.
Ce type de démarchage permet à ces escrocs de rentrer dans votre domicile, de vérifier la présence d'objets de valeurs ou la présence d'un système d'alarme et/ou de réaliser, s'ils en ont l'occasion, "un vol par ruse".
Le ou les auteurs sont généralement vêtus de manière soignée et adaptée à la fonction qu'ils prétendent détenir.
Le phénomène n'est pas nouveau, car la cible est souvent les personnes agées, et ces faux démarcheurs avant l'apparition du virus étaient les mêmes qui se faisaient passer pour de faux policiers, employés du gaz etc
Ils se sont juste adaptés
https://www.facebook.com/gendarmerie.de ... =3&theater
Statistiques: Publié par Parisien_entraide — 14 mars 2020 11:57 — Réponses 3 — Vues 66