Lastpass, ChatGPT...Actualité IT

Mot 2 Passe

il y a 2 ans

Catégorie

🤖

Technologie

Transcription

Afficher la transcription complète de la vidéo

00:00 J'espère que tu vas bien, dans cette vidéo, je vais te partager dans les détails l'actualité

00:03 cyber décalée des derniers jours, comme d'habitude je parlerai uniquement des principaux éléments.

00:08 La semaine dernière, j'ai parlé de la cyberattaque de LastPass et j'avais dit que le pirate avait

00:16 exploité une faille de sécurité sur Plex, un logiciel multimédia qui permet d'accéder à

00:21 des vidéos, de la musique et des photos. Le pirate de LastPass a exploité la vulnérabilité CVE-2020-5741

00:28 sur l'ordinateur personnel de l'ingénieur de LastPass. Globalement, cette vulnérabilité

00:33 permet à un attaquant via le compte Plex de télécharger et exécuter un fichier malveillant

00:38 à travers la fonction Camera Upload. Cette vulnérabilité sur Plex date de 2020 et elle a

00:44 été exploitée en 2023 alors qu'encore un type de sécurité était disponible. Ça faisait donc trois

00:49 ans que cette personne n'avait pas mis à jour sa version de Plex. Et l'autre question à se poser

00:54 est pourquoi LastPass autorise ses employés à utiliser leur ordinateur personnel sans effectuer

00:59 un minimum de vérification. Microsoft a publié cet article intéressant sur un ITM dont le nom

01:07 d'occupant est DEV1101. Pour résumer l'article, Microsoft a identifié plusieurs campagnes ITM

01:14 avec des outils gratuits. Dans une campagne de hameçonnage ITM, le pirate est généralement

01:18 entre le client et le serveur et va intercepter certaines informations sensibles. Les outils

01:23 ITM sont généralement vendus à 100$ la licence mensuelle et le hameçonnage commence généralement

01:28 par la réception de cette email où certains utilisateurs vont cliquer à gauche de la flèche

01:33 rouge. Puis l'utilisateur est redirigé sur le site du pirate où il doit fournir à des

01:38 identifiants. Au milieu on a le site du pirate qui va jouer le rôle de proxy ou serveur mandataire.

01:43 Il va donc transférer les identifiants saisis précédemment pour se connecter au vrai site web.

01:49 Ce site web demande l'authentification multifacteur ou MFA, ce que le site du pirate va transférer à

01:55 la victime. La victime va fournir les codes pour l'authentification multifacteur. Le serveur web

02:02 va retourner un cookie de cession que le pirate va intercepter et il va rediriger la victime vers

02:08 une autre page. A partir de cet instant, le pirate a l'identifiant, le mot de passe et le

02:12 cookie de cession d'un utilisateur légitime. Il peut donc se faire passer pour cet utilisateur

02:17 et voler des données. Avant de te présenter la prochaine actu, n'oublie pas de t'abonner si tu

02:21 aimes ce contenu, ça me permet de voir si cette vidéo t'apporte de la valeur et t'aide dans ton

02:25 parcours. Isentir a publié un rapport sur le malware Badloader qui est utilisé dans les publicités

02:33 Google afin de déployer d'autres malwares comme Vidar ou Ursni. Par exemple sur cet extrait,

02:39 l'utilisateur recherche YouTube. Le premier résultat contient "Ad" pour annonce et quand

02:44 l'utilisateur clique, il est redirigé vers un autre site. L'utilisateur s'est retrouvé sur ce

02:49 faux site d'Adobe lorsqu'il a fait une recherche sur Google. Quand l'utilisateur clique sur le

02:54 bouton bleu, il va en fait télécharger un malware. Le malware va ensuite télécharger un autre fichier

03:00 sur le serveur du pirate. L'URL appelée est dans la deuxième ligne. J'ai masqué cette adresse car

03:06 elle est dangereuse. Les quatre lignes suivantes permettent d'exclure certains répertoires du scan

03:11 de l'antivirus Windows Defender et la ligne 3 permet de déchiffrer le fichier téléchargé

03:17 précédemment. Puis le malware continue en désactivant le scan d'antivirus sur plusieurs

03:22 types de fichiers par exemple Exe, PS1, BAT, DLL. Dans les résultats Google, ce malware se fait

03:28 passer pour ChatGPT, Zoom, Spotify, Adobe. Ce sont les applications qui sont généralement

03:34 utilisées dans les entreprises. Certaines vidéos sur YouTube font la promotion d'outils de vol

03:42 d'information. Ceci est par exemple une vidéo générée grâce à l'intelligence artificielle.

03:46 Pour générer ce type de vidéo, des plateformes comme DID ou Synthesia existent. Tu peux choisir

03:52 la personne qui va lire ton script. Ensuite, tu peux partager la vidéo. Le mode opératoire est

03:58 généralement le même pour distribuer ces outils de vol d'information. Une vidéo promet de craquer

04:03 des logiciels comme Photoshop, Premiere Pro, Autodesk 3DS, Max ou AutoCAD. Ensuite, le lien

04:10 pour télécharger cet outil magique et le mot de passe sont ajoutés dans la description de la

04:14 vidéo. Et il y a quelques faux commentaires pour faire croire à l'utilisateur que tout est sérieux.

04:18 La société Sequoia a publié un article intéressant sur l'écosystème des voleurs

04:23 d'informations. Pour résumer, voici cet écosystème constitué de plusieurs acteurs.

04:28 Je commence par les traffeurs ou ouvriers qui sont en contact avec les victimes. Ils vont

04:32 rediriger le trafic des utilisateurs vers des contenus malveillants. Dès que le malware est

04:38 installé, il va envoyer des données à l'administrateur des traffeurs. Cet administrateur

04:44 va vérifier et vendre des logs reçus, faire le recrutement des traffeurs, récupérer les licences

04:49 pour le voleur de données, partager les versions prêtes à être distribuées aux membres de l'équipe.

04:54 Parmi les options de partage, on retrouve par exemple les vidéos sur YouTube.

04:58 Paloalto a publié un article sur GoBrewedForcer, un malware basé sur le langage Go et qui cible

05:08 les serveurs web qui exécutent phpMyAdmin, MySQL, FTP et PostgreSQL. Ce schéma résume

05:15 très bien le fonctionnement de ce malware. GoBrewedForcer va scanner toutes les machines

05:20 sur un réseau spécifique et va chercher sur ces machines si les ports 80, 21, 3306 et 5432

05:27 sont ouverts. Si une machine est identifiée, le malware lance une attaque par force brute pour

05:33 accéder à la machine. En général, ce sont des machines qui ont des mots de passe faibles ou des

05:38 mots de passe par défaut. Dès qu'il accède à la machine et si cette machine exécute l'application

05:44 phpMyAdmin, le malware installe un robot IRC qui va permettre de communiquer avec le serveur du

05:51 pirate afin d'exfiltrer des données. Et si c'est une machine qui contient d'autres services,

05:57 le malware va utiliser un webshell php pour communiquer avec le serveur du pirate afin

06:03 d'exfiltrer aussi des données. Le fichier cache init sur ce serveur est le malware GoBrewedForcer.

06:08 Une fausse extension ChromeChatGpt était disponible sur le Chrome Store de Google.

06:16 Cette extension permet en réalité de voler des identifiants Facebook, précisément les

06:21 comptes Facebook Business qui permettent de créer des publicités sur Facebook.

06:25 Ce schéma résume très bien le fonctionnement de cette extension. Tout commence lorsque l'utilisateur

06:30 clique sur une publicité qui met en avant une extension qui promet de se connecter à

06:35 Chachepetit à partir d'un navigateur web. L'utilisateur installe l'extension sur le

06:40 navigateur. Ensuite, cette extension va collecter quelques données sur le navigateur, voler des

06:46 cookies de toutes les sessions ouvertes, par exemple YouTube, Google, Twitter, etc.

06:51 Ces données sont envoyées sur le serveur du pirate qui est hébergé dans Cloudfair.

06:56 En parallèle, l'utilisateur va faire quelques requêtes sur Chachepetit.

07:01 Ensuite, l'extension va aussi voler des identifiants Facebook et transmettre cela

07:06 au serveur du pirate. Une fausse application Facebook sera aussi installée. Lorsque l'utilisateur

07:12 va se connecter à travers cette application, ces identifiants seront utilisés pour lancer

07:17 des campagnes de publicité sur Facebook pour justement promouvoir cette extension.

07:21 Le cycle recommence. Le pirate peut ainsi lancer des publicités gratuitement sur

07:26 son extension Chachepetit. Ces publicités seront facturées par Facebook à la victime.

07:31 Voici un exemple de données envoyées vers le serveur du pirate. On a par exemple le cookie,

07:37 l'adresse IP, l'information sur le type de navigateur web, la latitude et la longitude

07:42 pour la géolocalisation de l'utilisateur, la ville, la région, etc. Voilà c'est tout pour

07:47 cette vidéo sur l'actu décalée sur la cybersécurité. J'espère que tu as aimé ce

07:52 contenu. En attendant la prochaine actu, je te recommande cette autre vidéo. A bientôt.

Écris le tout premier commentaire

Ajoute ton commentaire

Recommandations