hermus – HERMUS

Mise à jour vers un faux navigateur Chrome

Cheval de Troie sur les côtes de La Manche, le Calvados et l’Ille-et-Vilaine

Trojan MoqHao sur iPhone — *Photo Thom Bradley pour Unsplash*

Comment se débarrasser d’un trojan MoqHao ?

L’analyse de McAfee démontre la sophistication croissante des attaques malveillantes avec ici des pages de Phishing hébergées par un serveur local pour capturer les identifiants, lancer des demandes d’autorisations etc. Et bien sûr envoyer tout cela vers les hackers.

Ce Trojan semble vouloir persister, au moins en partie, après un nettoyage antivirus. Seule la sauvegarde locale de données pourra vous permettre de ne pas perdre vos fichiers puisque la sauvegarde Google Cloud risque d’être compromise, la seconde cible des pirates étant, après les applications bancaires, le compte Google. Certainement pour préparer d’autres attaques.

Granville et La Manche sont bien loin de la Corée du Sud et on pourrait se croire à l’abri des virus des pirates chinois. Pourtant, il semble bien que la France soit touchée par une nouvelle attaque de hackers sur les smartphones Android et iPhone.

La campagne d’infection initiale a débuté mi-2017 en Corée du sud mais fait maintenant des victimes jusque dans la Manche comme le confirme une demande de dépannage que l’on a traité cette semaine ( Saint Valentin 2023).

Tout commencer par la réception d’un SMS, principalement sous la forme d’un Phishing au faux colis. Si vous avez le mauvais réflexe et ouvrez le lien, le processus d’infection débute.

Sans être trop technique informatique, le lien conduit vers un serveur qui déclenche la demande de mise à jour du navigateur Chrome. La fausse mise à jour du logiciel sollicite ensuite les autorisations vers les contacts, les appels téléphoniques…
Une speudo icone Chrome est visible puis, dans la majorité des cas, elle est cachée.

Cette application nommée MoqHao, va ainsi pouvoir accéder à des serveurs distants pour récupérer les charges les virales et envoyer les données de vos appareils. En particulier les applications bancaires que vous utilisez et vos identifiants de compte Google.

Ces informations vont servir à installé, toujours selon le même schéma, des mises à jour de votre application bancaire afin d’accéder à votre compte, avec tous les risques que l’on peut imaginer.

MoqHao va aussi utilisé votre smartphone pour envoyer des SMS piégés vers vos contacts et se propager.

Les ingénieurs sécurité informatique de McAfee ont détaillé les différents processus mise en oeuvre lors de cette attaque. Les plus accrocs au développement peuvent suivre ce lien :

Android banking trojan south korea

Quels sont les ménaces actuelles en Cyber sécurité ?

Nous rencontrons hélas beaucoup trop de victimes qui ne prennent pas au sérieux ce type d’attaque. Enfin jusqu’au moment où les comptes bancaires sont vidés et que le conseiller annonce que la banque ne remboursera pas par faute de négligence du client.

Le remplacement des mots de passe hackés devient d’autant plus problèmatique que les mails sont interceptés par le pirate.

Nous recommandons toujours :

des mots de passe forts et uniques, pas le même mot avec une variance en ajoutant un chiffre à la fin comme cela devient courant,
de NE PAS enregistrer ses mots de passe,
de vrais logiciels de gestion des mails en protocole POP,
l’abandon des mails généralistes où tout à chacun peut créer en 5 minutes une adresse mails.

Avec une augmentation de + 140%, le piratage des comptes en ligne et en particulier des comptes mails a connu une folle progression et se place désormais en tête des actions des hackers.

La mauvaise habitude qui consiste à laisser tous les mails reçus sur le serveur de mail en protocole IMAP comme les webmails Orange, Gmail, SFR … s’est généralisée avec les smartphones.

Ainsi la lecture des mails et autres messages de ces comptes permet d’avoir accès à une large majorité d’informations personnelles. Non seulement la victime risque le piratage de ses informations bancaires mais aussi l’usurpation d’identité, un fléau dramatique pour ceux qui y sont confrontés.

Google Drive et autres Cloud piratés par des hackers chinois !

Les équipes de TRend Micro au Japon, auraient découvert que le groupe de pirates « Earth Preta » utilise les services en ligne de Google Drive et Dropbox pour diffuser leurs virus et voler vos données.

Tout commence classiquement par un mail de phishing. Celui-ci contient un lien vers les services en ligne et en cliquant, vous vous retrouvez à charger en tache de fond, sans le voir, la charge virale qui aspirer vos documents et vos données.

En utilisant un lien Google ou dropbox, les pirates passent sous les radars des antivirus.

Pour le moment, les attaques semblent viser les organisations de l’Asie / Pacifique mais on peut imaginer que la technique se généralise aux autres continents.

Panorama de la menace informatique

2021-repartition — État de la répartition des menaces par type de structures en 2021

Le 9 mars 2022, est certes le jour de l’ouverture de la pêche à la truite mais, et surtout pour nous, il s’agit de la date de publication du dernier rapport de l’Agence Nationale de la Sécurité des Systèmes d’Information.

On y fait le point sur les offensifs, les méthodes et les faiblesses des systèmes. Rien de très réjouissant en particulier lorsque l’on arrive sur ces deux graphiques.

Les TPE / PME sont les principales victimes du rançonnage.

Graphiques du rapport consultable et téléchargeable dans son intégralité ici :

Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR)

Tensions Cyber suite au conflit en Ukraine

Photo Marvin Meyer pour Unspalash

Pas de volonté de créer la panique, mais comme le dit le proverbe : mieux vaut prévenir que guérir.

L’ANSSI communique donc un bulletin avec 5 (cinq) mesures préventives qui valent même en dehors du contexte actuel en ce début mars 2022.

Le bulletin de l’ANSSI

Le bulletin en PDF

Photo Marvin Meyer pour Unspalash

Suis-je protègé en utilisant un VPN

Lors d’une réunion, j’ai entendu un intervenant dire qu’il n’avait rien à craindre pour son identification sur l’Internet car il utilisait un VPN (virtual Private Network).

Il est vrai qu’un réseau privé virtuel permet une certaine confidentialité de l’IP de votre connexion. Votre géolocalisation étant cachée, vous pouvez voir des sites non autorisés et faire du streaming sur Netflix, HBO et autres pour voir vos séries favorites en avance.

Le télétravail et la téléconférence sont devenus des actes quotidiens avec la crise Covid. Pour être « protégé », on utilise des VPN. Idem pour se connecter au réseau interne de l’entreprise.

La fausse confidentialité des VPN purs

Cependant, croire que l’on n’est pas identifiable par l’usage d’un VPN est une erreur. Votre fournisseur de VPN peut vous identifier.

Les « fingerprint », les empreintes numériques.

Conscient que les IP ne permettent pas une identification précise des internautes, les régies publicitaires et autres utilisent ce petit bout de code.

On le génère par un savant calcul de données provenant des numéros de serie de vos logiciels et matériels comme votre adresse MAC.

Les « fingerprint » fonctionnent même si vous refusez les cookies.

C’est le discret business-plan des sites fonctionnant grace au régies publicitaires et des VPN gratuits.

C’est grâce aux empreintes numériques que s’affiche un message vous demandant si vous êtes bien l’auteur d’une connexion à un compte client lorsque vous n’utilisez pas votre ordinateur habituel.

Attention, cela ne signifie pas qu’un VPN ne sert à rien, sinon les autorités chinoises ne les interdiraient pas. Mais ne pensez pas être anonyme sur Internet.

Suis-je infecté par Pegasus ?

Robin-worrall par Unsplash.com

Personne tenant un smartphone par Robin-worrall

Le sujet est à la pointe de l’actualité avec la possible compromission des iPhones de notre Président.

Soyez rassuré, à moins d’être un(e) personnalité du monde politique, des affaires, du journalisme d’investigation, ou trouble fête de toute nature, votre téléphone favori n’est pas infecté par Pegasus.

Si vous faites partie des catégories mentionnées ci-dessus ou pas du tout rassuré par toutes ces histoires, nous pouvons analyser votre « précieux » et vous donner le résultat des tests, pour Pegasus et autres infections <humour>sauf Covid</humour>.

Vol en visioconférence

Visio conference télétravail et sécurisation

Avec la crise sanitaire télétravail et visioconférence sont devenus la norme. Pourtant dans bien des cas, cela c’est fait avec les moyens du bord et dans l’urgence.

Beaucoup d’entreprises n’ont pas pensé aux risques en matière de sécurité que ces solutions (trop simple ?) faisait courir à leur réseau informatique.

La Cnil fait paraître une recommandation demandant aux services de l’État d’éviter ces logiciels qui font transiter les données par des serveurs hébergés hors Europe.

La crainte est de voir ces données utilisées par les Etats-Unis. Et lorsque l’on connait le soutien commercial du pays à ses entreprises, la peur est réelle.