Category
🤖
TechnologieTranscription
00:00 J'espère que tu vas bien, dans cette vidéo, je vais te partager dans les détails l'actualité
00:03 cyber décalée des derniers jours, comme d'habitude je parlerai uniquement des principaux éléments.
00:08 La semaine dernière, j'ai parlé de la cyberattaque de LastPass et j'avais dit que le pirate avait
00:16 exploité une faille de sécurité sur Plex, un logiciel multimédia qui permet d'accéder à
00:21 des vidéos, de la musique et des photos. Le pirate de LastPass a exploité la vulnérabilité CVE-2020-5741
00:28 sur l'ordinateur personnel de l'ingénieur de LastPass. Globalement, cette vulnérabilité
00:33 permet à un attaquant via le compte Plex de télécharger et exécuter un fichier malveillant
00:38 à travers la fonction Camera Upload. Cette vulnérabilité sur Plex date de 2020 et elle a
00:44 été exploitée en 2023 alors qu'encore un type de sécurité était disponible. Ça faisait donc trois
00:49 ans que cette personne n'avait pas mis à jour sa version de Plex. Et l'autre question à se poser
00:54 est pourquoi LastPass autorise ses employés à utiliser leur ordinateur personnel sans effectuer
00:59 un minimum de vérification. Microsoft a publié cet article intéressant sur un ITM dont le nom
01:07 d'occupant est DEV1101. Pour résumer l'article, Microsoft a identifié plusieurs campagnes ITM
01:14 avec des outils gratuits. Dans une campagne de hameçonnage ITM, le pirate est généralement
01:18 entre le client et le serveur et va intercepter certaines informations sensibles. Les outils
01:23 ITM sont généralement vendus à 100$ la licence mensuelle et le hameçonnage commence généralement
01:28 par la réception de cette email où certains utilisateurs vont cliquer à gauche de la flèche
01:33 rouge. Puis l'utilisateur est redirigé sur le site du pirate où il doit fournir à des
01:38 identifiants. Au milieu on a le site du pirate qui va jouer le rôle de proxy ou serveur mandataire.
01:43 Il va donc transférer les identifiants saisis précédemment pour se connecter au vrai site web.
01:49 Ce site web demande l'authentification multifacteur ou MFA, ce que le site du pirate va transférer à
01:55 la victime. La victime va fournir les codes pour l'authentification multifacteur. Le serveur web
02:02 va retourner un cookie de cession que le pirate va intercepter et il va rediriger la victime vers
02:08 une autre page. A partir de cet instant, le pirate a l'identifiant, le mot de passe et le
02:12 cookie de cession d'un utilisateur légitime. Il peut donc se faire passer pour cet utilisateur
02:17 et voler des données. Avant de te présenter la prochaine actu, n'oublie pas de t'abonner si tu
02:21 aimes ce contenu, ça me permet de voir si cette vidéo t'apporte de la valeur et t'aide dans ton
02:25 parcours. Isentir a publié un rapport sur le malware Badloader qui est utilisé dans les publicités
02:33 Google afin de déployer d'autres malwares comme Vidar ou Ursni. Par exemple sur cet extrait,
02:39 l'utilisateur recherche YouTube. Le premier résultat contient "Ad" pour annonce et quand
02:44 l'utilisateur clique, il est redirigé vers un autre site. L'utilisateur s'est retrouvé sur ce
02:49 faux site d'Adobe lorsqu'il a fait une recherche sur Google. Quand l'utilisateur clique sur le
02:54 bouton bleu, il va en fait télécharger un malware. Le malware va ensuite télécharger un autre fichier
03:00 sur le serveur du pirate. L'URL appelée est dans la deuxième ligne. J'ai masqué cette adresse car
03:06 elle est dangereuse. Les quatre lignes suivantes permettent d'exclure certains répertoires du scan
03:11 de l'antivirus Windows Defender et la ligne 3 permet de déchiffrer le fichier téléchargé
03:17 précédemment. Puis le malware continue en désactivant le scan d'antivirus sur plusieurs
03:22 types de fichiers par exemple Exe, PS1, BAT, DLL. Dans les résultats Google, ce malware se fait
03:28 passer pour ChatGPT, Zoom, Spotify, Adobe. Ce sont les applications qui sont généralement
03:34 utilisées dans les entreprises. Certaines vidéos sur YouTube font la promotion d'outils de vol
03:42 d'information. Ceci est par exemple une vidéo générée grâce à l'intelligence artificielle.
03:46 Pour générer ce type de vidéo, des plateformes comme DID ou Synthesia existent. Tu peux choisir
03:52 la personne qui va lire ton script. Ensuite, tu peux partager la vidéo. Le mode opératoire est
03:58 généralement le même pour distribuer ces outils de vol d'information. Une vidéo promet de craquer
04:03 des logiciels comme Photoshop, Premiere Pro, Autodesk 3DS, Max ou AutoCAD. Ensuite, le lien
04:10 pour télécharger cet outil magique et le mot de passe sont ajoutés dans la description de la
04:14 vidéo. Et il y a quelques faux commentaires pour faire croire à l'utilisateur que tout est sérieux.
04:18 La société Sequoia a publié un article intéressant sur l'écosystème des voleurs
04:23 d'informations. Pour résumer, voici cet écosystème constitué de plusieurs acteurs.
04:28 Je commence par les traffeurs ou ouvriers qui sont en contact avec les victimes. Ils vont
04:32 rediriger le trafic des utilisateurs vers des contenus malveillants. Dès que le malware est
04:38 installé, il va envoyer des données à l'administrateur des traffeurs. Cet administrateur
04:44 va vérifier et vendre des logs reçus, faire le recrutement des traffeurs, récupérer les licences
04:49 pour le voleur de données, partager les versions prêtes à être distribuées aux membres de l'équipe.
04:54 Parmi les options de partage, on retrouve par exemple les vidéos sur YouTube.
04:58 Paloalto a publié un article sur GoBrewedForcer, un malware basé sur le langage Go et qui cible
05:08 les serveurs web qui exécutent phpMyAdmin, MySQL, FTP et PostgreSQL. Ce schéma résume
05:15 très bien le fonctionnement de ce malware. GoBrewedForcer va scanner toutes les machines
05:20 sur un réseau spécifique et va chercher sur ces machines si les ports 80, 21, 3306 et 5432
05:27 sont ouverts. Si une machine est identifiée, le malware lance une attaque par force brute pour
05:33 accéder à la machine. En général, ce sont des machines qui ont des mots de passe faibles ou des
05:38 mots de passe par défaut. Dès qu'il accède à la machine et si cette machine exécute l'application
05:44 phpMyAdmin, le malware installe un robot IRC qui va permettre de communiquer avec le serveur du
05:51 pirate afin d'exfiltrer des données. Et si c'est une machine qui contient d'autres services,
05:57 le malware va utiliser un webshell php pour communiquer avec le serveur du pirate afin
06:03 d'exfiltrer aussi des données. Le fichier cache init sur ce serveur est le malware GoBrewedForcer.
06:08 Une fausse extension ChromeChatGpt était disponible sur le Chrome Store de Google.
06:16 Cette extension permet en réalité de voler des identifiants Facebook, précisément les
06:21 comptes Facebook Business qui permettent de créer des publicités sur Facebook.
06:25 Ce schéma résume très bien le fonctionnement de cette extension. Tout commence lorsque l'utilisateur
06:30 clique sur une publicité qui met en avant une extension qui promet de se connecter à
06:35 Chachepetit à partir d'un navigateur web. L'utilisateur installe l'extension sur le
06:40 navigateur. Ensuite, cette extension va collecter quelques données sur le navigateur, voler des
06:46 cookies de toutes les sessions ouvertes, par exemple YouTube, Google, Twitter, etc.
06:51 Ces données sont envoyées sur le serveur du pirate qui est hébergé dans Cloudfair.
06:56 En parallèle, l'utilisateur va faire quelques requêtes sur Chachepetit.
07:01 Ensuite, l'extension va aussi voler des identifiants Facebook et transmettre cela
07:06 au serveur du pirate. Une fausse application Facebook sera aussi installée. Lorsque l'utilisateur
07:12 va se connecter à travers cette application, ces identifiants seront utilisés pour lancer
07:17 des campagnes de publicité sur Facebook pour justement promouvoir cette extension.
07:21 Le cycle recommence. Le pirate peut ainsi lancer des publicités gratuitement sur
07:26 son extension Chachepetit. Ces publicités seront facturées par Facebook à la victime.
07:31 Voici un exemple de données envoyées vers le serveur du pirate. On a par exemple le cookie,
07:37 l'adresse IP, l'information sur le type de navigateur web, la latitude et la longitude
07:42 pour la géolocalisation de l'utilisateur, la ville, la région, etc. Voilà c'est tout pour
07:47 cette vidéo sur l'actu décalée sur la cybersécurité. J'espère que tu as aimé ce
07:52 contenu. En attendant la prochaine actu, je te recommande cette autre vidéo. A bientôt.