Découverte de fausses alertes de mises à jour Windows.
Le nouveau rançongiciel “Big Head” affiche une fausse alerte de mise à jour Windows. Les chercheurs en sécurité ont étudié une souche de rançongiciel récemment apparue nommée “Big Head” qui pourrait se propager par le biais de publicités malveillantes faisant la promotion de fausses mises à jour Windows et de faux installateurs Microsoft Word. Deux échantillons du malware ont déjà été analysés par la société de cybersécurité Fortinet , qui a examiné le vecteur d’infection et la manière dont le malware s’exécute.
Selon Trend Micro, “Après un examen plus approfondi, nous avons découvert que les deux souches partageaient un e-mail de contact commun dans leurs notes de rançon, ce qui nous amène à soupçonner que les deux variantes différentes provenaient du même développeur de logiciels malveillants. En examinant ces variantes plus en détail, nous avons découvert un nombre important de versions de ce logiciel malveillant. Dans cette entrée, nous approfondissons les routines de ces variantes, leurs similitudes et leurs différences, et l’impact potentiel de ces infections en cas d’abus pour des attaques.”
Sur le principe, Tout d’abord, un fichier exécutable masque la fenêtre de la console en utilisant WinAPI ShowWindow. Ensuite le logiciel malveillant crée une clé de registre d’exécution automatique qui lui permet de se lancer au démarrage du système. Enfin, il se fait une auto copie qu’il enregistre sous le nom de discord.exe dans un dossier local de l’utilisateur.
Toujours selon Trend Micro, “L’analyse et le reporting des variantes permettent d’analyser les codes, les comportements et les vulnérabilités potentielles. Ces informations peuvent ensuite être utilisées pour développer des contre-mesures, corriger des vulnérabilités et améliorer les systèmes de sécurité afin d’atténuer les risques futurs. D’un point de vue technique, ces développeurs de logiciels malveillants ont laissé des chaînes reconnaissables, utilisé des méthodes de cryptage prévisibles ou mis en œuvre des techniques d’évasion faibles ou facilement détectables.”
Une cyberattaque est un acte malveillant envers un dispositif informatique via un réseau cybernétique. Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les origines des cyberattaques sont multiples et proviennent le plus souvent d'attaques par rançongiciels, par phishing, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.
Trend Micro est une société basée à Tokyo au Japon. La société développe des logiciels de sécurité pour les serveurs, les environnements de cloud computing, les particuliers et pour les petites et moyennes et entreprises. Trend Micro reçoit son intelligence de menace auprès de TrendLabs, le centre de recherche, de développement et de support de l'entreprise. TrendLabs compte dix laboratoires dans le monde entier et a son siège social aux Philippines et emploie 1 200 experts et ingénieurs en sécurité. Le laboratoire basé à Singapour de la société fournit des méthodes et des analyses de logiciels malveillants.
Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent mais sans véritable garantie. De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et de donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.
Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.
Nicolas Coolman est un expert en informatique et en sécurité informatique français bien connu. Il est spécialisé dans l'analyse et la désinfection de logiciels malveillants, notamment les adwares, les ransomwares, les chevaux de Troie et autres types de logiciels indésirables.
Nicolas Coolman est également le créateur de plusieurs outils de sécurité informatique, tels que "ZHPCleaner" et "ZHPDiag", qui sont largement utilisés par les utilisateurs pour analyser et nettoyer des logiciels malveillants de leurs systèmes d'exploitation Windows .
Nicolas Coolman est très actif dans la communauté de la sécurité informatique et partage régulièrement ses connaissances et ses découvertes sur son site Web et sur les forums dédiés à la sécurité. Son expertise est reconnue par de nombreux utilisateurs et professionnels de l'informatique, et il est considéré comme une référence dans le domaine de la lutte contre les logiciels malveillants.
