Sous le coude : Une analyse technique du spyware Pegasus.
Partie 2 : https://cybergeeks.tech/a-technical-analysis-of-pegasus-for-android-part-2/
Partie 3 : https://cybergeeks.tech/a-technical-analysis-of-pegasus-for-android-part-3/

Des publicités pour GIMP étaient affichées chez Google, mais menaient à des malwares.
Comme toujours, depuis le tout début et malgré ses annonces grandiloquentes sur toute l'attention que Google porte à votre sécurité, Google est bien content de toucher de l'argent de ces auteurs de malware via les publicités, et continue de le faire.
Et il ne semble avoir aucune volonté de mettre la moindre ressource pour lutter contre ces publicités malveillantes.

Depuis début 2002, le nombre de malware ciblant les systèmes Linux explose (même s'il reste bien en dessous du nombre de malwares ciblant Windows). On peut facilement s'attendre à une augmentation.

Woao la vache, ce malware est un belle saloperie.
Par exemple si l'administrateur d'une machine fait de la capture de paquet sur la machine infectée pour examiner le comportement réseau, le malware retire son propre trafic de libpcap. L'administrateur ne verra rien.

Alors ça, un malware qui utilise WindowsUpdate pour aller télécharger et installer le code malveillant, c'est du jamais vu.

Utiliser l'over-provisioning des SSD pour y planquer des malwares, et ensuite flasher le firmware du SSD pour en empêcher l'accès par les antivirus et l'OS.
Notez que ce n'est pas la première fois que des malwares sont capables d'aller se planquer dans le matériel. On a déjà vu des BIOS infectés, des aussi des cartes réseau.
Le problème avec ces attaques, c'est qu'en général il n'est pas possible de "désinfecter" un tel firmware: Vous êtes bon pour le remplacer.

Les ransomwares commencent progressivement à cibler Linux, et certains sont même conçus pour attaquer les machines virtuelles (VMWare et autres). Cela peut permettre d'attaquer plusieurs machines d'un coup (une machine physique pouvant héberger de multiples machines virtuelles).

Haha. Ces trolls. L'éditeur d'antivirus Kaspersky - proche du gouvernement russe - annonce avoir trouvé un cheval de Troie qu'ils pensent créé par la C.I.A.

Les backdoors, c'est pas nouveau, mais celui-là semble avoir été porté sous Windows *et* Linux, ce qui est assez rare.
Le vecteur d'infection sous Linux n'est pas encore identifié.

Regarder les machines Windows se faire infecter en temps réel et sourire sadiquement...

EDIT: Je crois que mon sarcasme est mal passé: https://mastodon.etalab.gouv.fr/users/ng/updates/7026

Si sur une machine Windows (de la famille, d'amis...) il n'y a que Windows Defender (l'antivirus gratuit de Microsoft), vous pouvez le configurer pour lui demander de détecter aussi les LPI (Logiciels Potentiellement Indésirables, tels qu'adwares et autres cochonneries).
C'est mieux que rien...
Il faut lancer regedit et créer une clé dans HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine\MpEnablePus de type DWORD (32-bit) avec la valeur 1.
Dans l'analyse de Windows Defender, ils apparaîtront sous la dénomiation "PUA:..."

Après l'archive de livres, musique, vidéos, pages web, logiciels, jeux... voici l'archive de virus !  Rassurez-vous, de vieux virus MS-Dos bien isolés dans une machine virtuelle.

Les logiciels bourrés de publicité dans les application sur Android, c'est courant. Pour s'en débarrasser, il suffit de dé-installer l'application. C'est l'avantage d'avoir les applications bien isolées entre elles.
Sauf que de récents logiciels malveillants exploitent des failles de sécurité pour obtenir les privilèges root (administrateur). Ces mêmes failles qui sont utilisées pour rooter son téléphone.
Ces adwares deviennent alors impossibles à supprimer, et introduisent des failles de sécurité.
Quand vous téléchargez une application d'un store un peu louche, passez le fichier apk par http://virustotal.com

Une appli pour uploader un fichier vers VirusTotal (pour tester un fichier avec tous les antivirus du marché).
(Je note car les applications similaires précédentes que j'avais testées étaient merdique. à tester...)
(via http://korben.info/virus-total-android.html)

Petit décorticage du spyware gouvernemental français, Babar.

💀💀💀 ATTENTION DANGER 💀💀💀
Cette URL (hxxp://androidsandbox.net/samples/, volontairement notée en hxxp: au lieu de http:) pointe sur une page contenant des fichiers APK (applications Android) sont certaines sont des malwares (logiciel malveillants).
N'INSTALLEZ AUCUNE DE CES APPLICATIONS SUR VOTRE TÉLÉPHONE ANDROID.
Je garde le lien car ça peut être intéressant pour voir comment se comportent certains antivirus.

Tout à fait. Un exemple de plus de l'intérêt des bloqueurs de pub... et du fait qu'il n'y a absolument aucune raison de faire confiance aux sites web en matière de sécurité, même les plus gros (ici: Google !).

Voilà qui est intéressant: Dans le monde des logiciels malveillants, un "dropper" est un petit bout de code dont le but est d'aller télécharger un cheval de Troie pour l'installer.
On les repère généralement facilement sur le réseau car ils contactent des domaines connus pour distribuer des malwares, ou alors vont chercher des noms de fichiers connus, ou même des signatures de fichiers connus (MD5).
Certains dropper, pour éviter la détection par MD5, ajoutent le malware à la fin d'une image. Mais ce genre de chose peut aussi se détecter.

Lurk est un dropper un peu plus fûté: Il utilise la stéganographie. Le malware peut être incorporé aux pixels d'une image JPEG ou dans la musique d'un MP3. Ce n'est pas idiot: Cela rend la détection de ces malwares nettement plus difficile.
Il ne devient plus possible de les filtrer avec un firewall.
(Article source: http://www.secureworks.com/cyber-threat-intelligence/threats/malware-analysis-of-the-lurk-downloader/)

Vous vous souvenez de cette BD de xkcd ?  Le protagoniste a une ferme de virus (à la manière d'une ferme de fourmis).
Et bien un gars a mis ça en place. Vous pouvez même uploader vos exécutables:  http://wecan.hasthe.technology/

Ben tiens, un spyware (très probablement) créé par les services de renseignements français. Je me doutais bien que ça existait (on avait déjà vu celui des USA et de l'Allemagne), je me demandais juste quand il allait être mis au grand jour.
LOL: Le nom interne du spyware: "Babar".
Question bonus: Cette merde est-elle détectée par les antivirus du marché ?
(PUTAIN ARRÊTEZ AVEC SCRIBD. Un chaton meurt chaque fois que vous l'utilisez. Fofox sait afficher nativement les PDF maintenant.)

On entend beaucoup de choses à propos du virus BadBios, mais surtout BEAUCOUP DE CONNERIES.  La principale étant qu'il peut infecter un ordinateur sans liaison réseau, simplement par ondes sonores.
Disons-le clairement: NON. Il ne PEUT PAS infecter un autre ordinateur simplement avec des sons.
Pourquoi ? Parce que pour que l'ordinateur cible réagisse aux sons, il faut qu'il y ait déjà un programme qui tourne, qui écoute par le micro, décode les sons et exécute ce qui lui est envoyé.  Je ne connais aucun système d'exploitation qui ait ça activé par défaut.   Donc arrêtons de propager des conneries: L'infection par ondes sonores n'existe pas.

La seule chose qui existe - et qui a été prouvée par ce POC - c'est que deux programmes peuvent effectivement communiquer par ondes ultra-sonores (ce qui en soit n'a rien de techniquement exceptionnel. Après tout les bons vieux modems RTC ne font rien d'autre: Convertir des bits en sons, puis des sons en bits. Dans le cas de badbios, c'est juste la gamme de fréquences utilisées qui est dans l'ultra-son au lieu d'être dans la gammes des sons audibles par les humains.)

EDIT: Voir aussi: http://sebsauvage.net/links/?ICiulg

Une critique de l'analyse du malware badbios. Le gars a l'air de s'y connaître en code BIOS et affirme que badbios ne peut pas infecter les BIOS de machines différentes.

C'est très technique, mais je me note cet article de côté comme exemple de code polymorphique. (Un malware polymorphique modifie son code à chaque copie, ce qui rend sa détection plus compliquée par les antivirus: Il ne peut pas y avoir une signature "simple".) (via http://lamaredugof.fr/blog/2013/10/actus-securite-confirme-2013-s43/)

Je me souviens m'être amusé à faire un peu de running-line. C'est une technique anti-débugging qui consiste à décrypter le code machine au fur et à mesure de son exécution. Ainsi, à un instant donné, vous n'avez jamais l'intégralité du code machine en examinant la RAM, mais seulement une petite portion, ce qui rend l'analyse beaucoup plus difficile.

Ah les bons souvenirs de l'assembleur x86, avec SoftIce, les trainers que je programmais en assembleur, le site de Fravia, et tous les bricolages logiciels.  ^◡^
(Et pour ceux qui ne connaissent pas Fravia: http://sebsauvage.net/rhaa/?2009/05/06/12/05/13-adieu-fravia )

Oh joli !  Je viens de recevoir par email un dropper de cheval de Troie détecté par pratiquement aucun antivirus (2/47 chez VirusTotal). Pas mal.  (Il exploite une faille de Microsoft Office. De toute manière j'utilise LibreOffice pour ouvrir ces documents  :-D)

Des chercheurs en sécurité ont montré la possibilité de planquer logiciels malveillants dans des cartes graphiques.
Vous vous souvenez de ce que je disais en 2009 ?:  « Les auteurs de virus sont en train de réaliser qu'il y a un terrain inexploré à prendre pour l'infection: le matériel (routeur, BIOS, mémoire des cartes PCI, firmwares...). »
Certes, ça c'est moins répandu que ce que je pensais, mais on en voit poindre de temps en temps.