Sécurité Web

DNSSEC et Sécurité DNS

DNSSEC et Sécurité DNS

Croyez-le ou non, la structure fondatrice d’Internet a à peine 50 ans. Quant au DNS, il a été créé en 1983 et est devenu une norme Internet en 1986.

Le courrier électronique est un peu plus ancien puisque la première personne à utiliser le signe @ pour relier un nom d’utilisateur à un serveur de destination pour communiquer a eu lieu en 1971.

Ces deux normes ont été créées à une époque d’innocence. À notre connaissance, il n’y avait pas de pirates informatiques à l’époque. Il n’y avait certainement pas d’organisations criminelles qui diffusaient des ransomwares ou d’acteurs de la menace d’État qui faisaient du cyberespionnage. Vous pouviez faire confiance à la communauté Internet dont vous faisiez partie.

Les inventeurs de ces technologies n’ont probablement même pas pensé à la sécurité à l’époque. En raison des risques et des dangers persistants qui sont toujours présents dans la nature numérique d’aujourd’hui, nous nous retrouvons à devoir ajouter des mécanismes de sécurité à une technologie qui n’a pas été conçue pour être sécurisée à l’origine.

Le DNS faisant partie intégrante du réseau de base et du trafic Internet, il est essentiel de le sécuriser. Cela implique l’utilisation du DNSSEC (Domain Name System Security Extensions) et du DNS (Domain Name System). Ces deux éléments peuvent parfois être confondus comme étant une seule et même chose, mais ce n’est pas le cas.

Sécurité du DNS

La sécurité DNS implique le concept général de sécurisation de votre infrastructure DNS. Le DNSSEC est en fait un aspect de ce processus.

La sécurité DNS implique non seulement la mise en œuvre du DNSSEC en tant que meilleure pratique, mais aussi des choses telles que le maintien de vos serveurs DNS corrigés et à jour, leur sécurisation par un pare-feu périmétrique et local et l’utilisation d’autres protocoles de sécurité DNS spécifiques tels que DoH (DNS over http).

Pour référence, DoH est connu comme les requêtes DNS par le biais de sessions HTTPS afin de chiffrer la communication DNS par l’utilisation de clés négociées, tout comme un site web sécurisé.

La nature confiante du DNS

Avant d’expliquer ce que fait le DNSSEC, il est important de comprendre la nature de confiance du DNS natif.

Lorsqu’un ordinateur émet une requête DNS afin de diriger correctement un utilisateur vers le site Web qu’il souhaite, il envoie une demande d’assistance à un serveur DNS. Cette demande est appelée « requête DNS ». Il existe une hiérarchie DNS dans le monde entier. Au sommet se trouvent treize serveurs DNS « racine ».

Ces serveurs représentent la première étape de la résolution d’un nom de domaine. Les serveurs racine renvoient les demandes vers le serveur de domaine de premier niveau (TLD) approprié. Ces serveurs DNS font office d’autorité pour .COM, .NET, .ORG, etc.

Ces serveurs transmettent ensuite les demandes aux serveurs DNS de domaines spécifiques ou éventuellement de sous-domaines si nécessaire. À la fin de ce processus, le client reçoit l’adresse IP demandée pour le nom d’hôte en question. Ce qui est fascinant dans tout cela, c’est la rapidité incroyable avec laquelle tout se déroule.

La validité de l’adresse IP renvoyée repose sur l’hypothèse que seules les autorités DNS appropriées ont été impliquées. Mais ce n’est pas toujours le cas.

La nature non sécurisée du DNS le rend sensible aux attaques de type « man-in-the-middle ». Un pirate informatique pourrait injecter un serveur malveillant dans le processus, qui pourrait ensuite renvoyer les clients vers des sites non légitimes.

Ces sites pourraient être utilisés pour imiter un site Web afin de voler les informations d’identification des utilisateurs ou de télécharger un code malveillant ou un cheval de Troie.

Comment fonctionne le DNSSEC ?

Le DNSSEC est utilisé pour éliminer cette vulnérabilité inhérente du DNS aux attaques de type « man-in-the-middle ». Pour ce faire, il fournit une couche supplémentaire d’authentification à la réponse du DNS qui utilise la cryptographie à clé publique.

L’utilisation de ces clés permet de vérifier les enregistrements DNS associés à un domaine. Lorsque plusieurs serveurs DNS sont impliqués dans un processus de requête, chacun d’eux est validé, ce qui garantit au client que chaque étape est légitime.

Les treize serveurs DNS racine sont déjà protégés par le DNSSEC. Une fois qu’une réponse d’un serveur racine est validée, le serveur fournit les clés publiques du serveur situé en dessous de lui dans la chaîne. Cette clé publique est ensuite authentifiée par la clé privée du serveur. Et ainsi de suite jusqu’en bas de la chaîne.

Gardez à l’esprit que le DNSSEC ne chiffre pas le trafic lui-même, c’est le travail du DoH. Notez également que le DNSSEC nécessitera plus de puissance de traitement pour votre serveur DNS que la normale.

DNSSEC et sécurité DNS : Optez pour TitanHQ

TitanHQ a pour mission de sécuriser votre trafic Internet basé sur le DNS et vos communications par e-mail grâce à ses solutions de sécurité avancées.

WebTitan offre une sécurité DNS et un filtrage du contenu DNS afin d’empêcher vos utilisateurs d’accéder à des sites malveillants et de télécharger du code malveillant sur Internet.

La sécurité du courrier électronique de SpamTitan vous protège en bloquant les attaques de phishing, les ransomwares et bien d’autres menaces basées sur des malwares.

Si le DNS et la messagerie ont été créés à une époque d’innocence, TitanHQ dispose actuellement des outils nécessaires pour les sécuriser à une époque de « confiance zéro ».

Parlez à un expert en sécurité de TitanHQ pour découvrir comment protéger votre couche DNS avec une approche de sécurité multicouche. Contactez-nous dès aujourd’hui.

Zoom sur le filtrage DNS Azure AD

Zoom sur le filtrage DNS Azure AD

L’informatique dans le cloud et le travail à distance ont donné lieu à des cyberattaques en ligne apparemment sans fin. Mais selon un rapport de Thycotic, près des trois quarts des pirates informatiques « black hat » ont déclaré que les pare-feu et les antivirus traditionnels ne pouvaient pas les arrêter.

Alors que les mesures de sécurité traditionnelles s’adaptent pour déjouer les cyberattaques, les tactiques de piratage éprouvées, telles que le phishing et le téléchargement de malwares, échappent à toute détection.

Une méthode alternative pour stopper à la source les cyberattaques véhiculées par le web est le filtrage DNS. Il peut être profondément intégré à Microsoft Azure Active Directory (AD) pour offrir un filtrage DNS Azure basé sur l’accès au niveau de l’utilisateur.

Dans ce dossier spécial, nous allons vous expliquer ce qu’est le filtrage DNS Azure AD : comment fonctionne-t-il et quels avantages procure-t-il à votre entreprise par rapport aux mesures de sécurité traditionnelles ?

Qu’est-ce qu’un DNS, et quel rôle joue Microsoft Azure dans ce concept ?

Un DNS (Domain Name System) est en quelque sorte la base de l’Internet. Il permet de faire correspondre un nom de domaine lisible par l’homme à une adresse IP lisible par les machines (IP signifie Internet Protocol).

https://wtc1.webtitancloud.com:8443 correspond par exemple à l’adresse IP 52.32.39.15

Lorsqu’un utilisateur tape une adresse web dans un navigateur, un « résolveur DNS » fait correspondre ce domaine à une adresse IP en utilisant les serveurs DNS. En d’autres termes, le système DNS résout l’adresse et la mappe à l’adresse IP. Cette adresse IP est ensuite utilisée pour établir la connexion entre l’appareil et l’adresse IP avant de charger le contenu.

Les objets, comme l’appareil mobile d’un travailleur distant, ont également une adresse IP. Les milliards d’objets, de personnes et de sites web dépendent tous d’un DNS en état de marche pour fournir du contenu et des données.

Un DNS est hautement distribué et ne dépend pas d’un seul serveur. Les domaines dans Azure sont hébergés sur un réseau mondial de serveurs de noms DNS qui sont gérés par l’infrastructure dans le cloud d’Azure. L’ensemble du système est configuré pour optimiser la vitesse et la haute disponibilité pour un domaine donné.

Les administrateurs d’Azure utilisent Azure DNS pour des services tels que l’hébergement de sites web, d’applications, d’API et de services dans le cloud, ainsi que la gestion des zones DNS.

Qu’est-ce que le filtrage DNS Azure AD ?

Le filtrage DNS est une méthode utilisée pour empêcher les utilisateurs d’accéder à certains sites web ou adresses IP. Ceci est important, car des tactiques telles que le phishing et l’infection par des malwares via des sites web malveillants sont des méthodes de cyberattaque les plus couramment utilisées par les cybercriminels.

Le filtrage DNS fonctionne en parallèle avec le système DNS. Lorsqu’un résolveur DNS est configuré pour bloquer une certaine adresse IP, en l’ajoutant à une « liste de blocage », l’utilisateur est empêché de naviguer vers cette adresse IP.

Généralement, la liste de blocage contient des sites web malveillants. De la même manière, un filtre DNS peut également autoriser la visite de certains sites web, en les plaçant sur une « liste blanche » de sites considérés comme sûrs.

Le filtrage DNS peut également être appliqué sur la base d’un appareil, par exemple en appliquant des politiques de filtrage aux utilisateurs de Chromebook du secteur de l’éducation.

De plus, le filtrage DNS Azure peut être appliqué aux services hébergés spécifiques d’Azure pour créer des zones sûres auxquelles les utilisateurs peuvent accéder.

Filtrage DNS basé sur Azure Active Directory (AD)

Azure AD est un annuaire qui peut être utilisé pour appliquer un contrôle d’accès basé sur les rôles. Le filtrage DNS d’Azure utilise des politiques qui couvrent l’ensemble d’une organisation, appliquant et surveillant le filtrage à l’aide de ces politiques appliquées à l’appartenance à un groupe AD.

WebTitan, par exemple, est profondément intégré à Azure AD, utilisant une application d’entreprise Azure AD pour analyser toute ouverture de session Azure afin de trouver de nouveaux utilisateurs. Ces utilisateurs sont ensuite associés à l’adresse IP de toute machine virtuelle utilisée pour se connecter et les politiques de sécurité et d’accès sont appliquées en conséquence.

Avantages de l’utilisation du filtrage DNS d’Azure

Une solution de filtrage DNS pilotée par l’Intelligence artificielle, telle que WebTitan, utilise des techniques avancées comme l’apprentissage automatique pour s’assurer que même les menaces du type « zero day » sont protégées.

Lorsqu’elle est intégrée à Azure AD, les politiques de sécurité nécessaires pour gérer et contrôler l’accès des employés à votre réseau peuvent être automatiquement appliquées et gérées à distance.

Une solution de filtrage DNS, en particulier celle qui peut s’adapter de manière sélective aux menaces du type « zero day », offre des avantages majeurs pour protéger votre organisation contre les cyberattaques véhiculées par le Web.

Bloquer dynamiquement l’accès à des sites Web inappropriés ou malveillants

Les sites web infectés par des malwares servent d’appât pour attirer les utilisateurs et infecter tout appareil se connectant à l’adresse IP du domaine malveillant. D’autres sites peuvent aussi contenir du matériel inapproprié.

Les utilisateurs sont encouragés à ouvrir de tels sites en utilisant des techniques d’ingénierie sociale. Si un utilisateur navigue sur un site malveillant, le code malveillant profite des vulnérabilités des navigateurs mal corrigés ou mal configurés pour infecter son appareil avec des malwares.

Il peut être difficile pour les solutions antivirus ou antispam traditionnelles d’empêcher l’impact de la visite de ces sites, car de nouvelles variantes apparaissent. Celles-ci sont conçues pour échapper à la détection par les mesures de sécurité traditionnelles.

L’une des dernières tactiques utilisées par les pirates consiste à utiliser les applications Azure comme vecteur d’infection par des malwares et de vol d’identifiants de connexion. Les pirates utilisent des applications Azure réalistes, mais malveillantes, pour encourager les utilisateurs à se rendre sur un site Web contrôlé par l’attaquant afin d’exécuter l’attaque complète.

L’utilisation d’un filtre DNS permet de stopper ce type d’attaque en coupant la route vers le site web malveillant. En utilisant un filtre DNS basé sur l’adhésion à Azure AD, votre administrateur système peut rapidement et dynamiquement mapper un utilisateur ou un rôle de l’Active Directory pour bloquer l’accès aux sites web mmalveillantsdéjà établis et couveaux.

Bloquer les sites de phishing

En 2020, 75 % des organisations dans les quatre coins du globe ont subi une attaque de phishing. Ces attaques commencent souvent par l’incitation d’un utilisateur à se rendre sur un site de phishing. Une fois que l’utilisateur entre sur le site malveillant, ses identifiants de connexion, ses données et/ou son accès aux ressources de l’entreprise sont en danger.

La technologie intelligente pilotée par l’Intelligence artificielle permet d’atténuer les menaces, même celles qui ne sont pas encore connues.

Empêcher l’infection par les ransomwares et le vol de données

Les ransomwares sont des malwares très populaires. Auparavant, le principal objectif d’une attaque de ransomware était de chiffrer des données et d’extorquer de l’argent aux victimes – sous la forme d’une rançon – en échange de la clé de déchiffrement.

Désormais, selon IBM X-Force, 59 % des incidents liés aux ransomwares incluent également l’exfiltration de données, les données volées étant ensuite utilisées pour faire pression sur les organisations afin qu’elles paient. Cependant, même si la rançon est payée, rien ne garantit que les données volées ne seront pas vendues et utilisées à des fins de fraude.

Les ransomwares infectent souvent une entreprise par le biais d’e-mails de phishing et de sites web infectés. Le Verizon Data Breach Investigation Report (DBIR) indique que dans 85 % des cas de violation de données, un être humain est impliqué, généralement en naviguant sur un site web infecté ou en cliquant sur un lien dans un e-mail de phishing.

Le filtrage DNS d’Azure empêche les membres d’Azure AD de faire partie des 85 % d’utilisateurs qui aident les infections par des ransomwares à se propager.

Protéger les appareils

Avec le télétravail et le travail à domicile, les entreprises peuvent autoriser leurs employés à utiliser leurs appareils personnels pour réaliser des tâches professionnelles. Cependant, les appareils personnels sont beaucoup plus difficiles à protéger, car les politiques sont plus difficiles à appliquer et à gérer à distance.

Grâce à un filtrage DNS d’Azure AD, qui utilise des agents basés sur les appareils et gérés à distance, même les appareils personnels peuvent être protégés contre les infections par des malwares.

Simple à configurer et à utiliser

Enfin, tout filtre DNS doit être facile à mettre en place et doit pouvoir être configuré à distance pour une main-d’œuvre basée dans le cloud ou à distance.

Les environnements cloud changent constamment. De nouvelles applications et de nouveaux points d’extrémité sont ajoutés constamment, ce qui nécessite des politiques appropriées pour différents environnements.

Les filtres DNS doivent être faciles à mettre en place, à configurer et à modifier. Les filtres de contenu basés sur l’API permettent une configuration et une surveillance à distance. La mise en correspondance d’Azure AD avec l’accès au site web offre un moyen simple de créer des politiques de sécurité par utilisateur et par rôle.

En appliquant le contrôle puissant du filtrage DNS intégré d’Azure AD à l’accès au web, votre entreprise peut améliorer sa posture de sécurité et réduire les risques liés au web.

Un filtre DNS offre à votre organisation un moyen d’améliorer la sécurité de la navigation web de votre personnel, en prévenant le vol de données et d’identifiants, les attaques de ransomwares et d’autres cyberattaques, ainsi que l’utilisation inappropriée du web.

Commencez avec la solution de filtrage DNS de WebTitan et découvrez comment elle s’intègre directement à Azure AD. Commencez votre essai gratuit dès aujourd’hui.

Les compagnies aériennes frappées par les cyberattaques

Les compagnies aériennes frappées par les cyberattaques

Les douze derniers mois ont été terribles pour les compagnies aériennes du monde entier. La pandémie du Covid-19 a cloué les avions au sol et provoqué un impact économique considérable. Selon une étude de KPMG, les pertes mondiales du secteur aérien devraient atteindre plus de 252 milliards de dollars en 2020.

Cependant, les cybercriminels ont décidé de frapper les compagnies aériennes même pendant qu’elles sont à terre, avec des fraudes et des cyberattaques qui continuent de sévir dans le secteur de l’aviation.

Parmi ces attaques, citons la violation de données « sophistiquée » de la part de SITA Passenger Service System Inc. en février 2021, entraînant le vol de données personnelles de passagers et affectant plusieurs compagnies aériennes.

Indépendamment de cette violation, SITA a déclaré précédemment que seuls environ 35 % des compagnies aériennes et 30 % des aéroports sont correctement préparés aux cyberattaques.

Les types de cyberattaques visant le secteur de l’aviation sont variés et comprennent les attaques de ransomwares, les attaques par déni de service distribué (DDoS) sur les sites web et les menaces persistantes avancées (APT). Une récente attaque du groupe APT LazyScripter démontre la sophistication et les méthodes très ciblées que les cybercriminels utilisent contre les compagnies aériennes.

Une menace persistante avancée (APT) pour les compagnies aériennes

L’attaque APT de LazyScripter contre l’industrie aéronautique montre à quel point les attaques sont devenues insidieuses et complexes.

LazyScripter est un groupe de pirates informatiques qui a été récemment identifié bien qu’il soit probablement actif depuis 2018. Le groupe a récemment été détecté par Malwarebytes, utilisant un cheval de Troie d’accès à distance ou RAT pour cibler spécifiquement les demandeurs d’emploi des compagnies aériennes.

Les cibles comprennent l’Association internationale du transport aérien (IATA) et diverses compagnies aériennes. Le lien commun entre ces différentes menaces semble être l’utilisation d’un logiciel appelé « BSPLink », utilisé par l’IATA comme application de facturation et de règlement.

Le RAT a été découvert par les chercheurs de Malwarebytes, qui ont identifié des tactiques et des mises à jour de boîtes à outils à distance permettant d’échapper à la détection. Par exemple, les pirates ont récemment modifié la façon dont ils trompent les utilisateurs en imitant une nouvelle fonctionnalité de la pile logicielle de l’IATA, connue sous le nom de « IATA ONE ID ». Il s’agit d’un outil de traitement des passagers sans contact.

Les chercheurs ont remarqué que certaines tactiques étaient utilisées pour déployer le RAT

Des emails de phishing ont été utilisés pour diffuser des téléchargeurs de malwares sous la forme de fichiers batch, de VBScript et de fichiers de registre, cachés dans des zips ou des documents. Ce type de mécanisme de diffusion est appelé « maldocs » ou « documents Office malveillants », c’est-à-dire les fichiers malveillants qui se font passer pour des icônes PDF, Word ou Excel.

Les emails de phishing utilisaient des thèmes liés à l’IATA ou à l’emploi pour faire croire aux utilisateurs que les messages étaient légitimes. Ils avaient également des thèmes associés aux mises à jour de Microsoft et au Covid-19.

Des documents ou des fichiers zip en pièces jointes des emails étaient utilisés comme vecteur d’infection initial. Ce sont ces fichiers qui contenaient le téléchargeur du malware.

Certains emails de spam contenaient un lien raccourci. En cliquant sur le lien, l’utilisateur était redirigé vers un téléchargeur de malware nommé « KOCTOPUS ». Ou bien, un document contenait une version intégrée de KOCTOPUS.

On peut par exemple citer l’utilisation du fichier téléchargeur de script PowerShell qui était utilisé pour exposer les ports locaux du système victime sur Internet. Au total, sept exécutables ont été trouvés associés à KOCTOPUS. Les signaux émis par ces fichiers indiquaient que des mises à jour à distance avaient été effectuées.

GitHub a été utilisé par LazyScripter pour héberger ses boîtes à outils, qui comprenaient des boîtes à outils de sécurité open source, mais les comptes ont été supprimés par la suite.

Comment prévenir une cyberattaque ciblée ?

Il est important de retenir de l’exemple de LazyScripter que les cybercriminels réfléchissent soigneusement à la manière dont ils mènent une attaque. Ces groupes de pirates sont des criminels dévoués, déterminés à semer le chaos et la destruction, et leur objectif est souvent financier : voler des données pour les revendre ou pour commettre une fraude financière.

Il n’existe pas d’approche unique pour faire face aux cybermenaces qui visent des secteurs spécifiques. Les pirates à l’origine des attaques prennent le temps de comprendre leurs cibles pour trouver les meilleurs moyens pour faire en sorte que leurs scénarios d’attaques réussissent.

Le gang derrière l’attaque contre LazyScripter a utilisé des logiciels reconnus comme légitimes et des emails de marque pour faire croire aux utilisateurs qu’ils étaient en sécurité. La détection et la prévention de ces types de cybermenaces très ciblées nécessitent une position proactive en matière de sécurité et des outils adaptés.

Outre la protection des données des clients, il est essentiel de veiller à ce que le personnel soit sensibilisé à la cybersécurité. Cependant, même les employés les plus conscients peuvent encore être dupés en cliquant sur un lien lorsque des tactiques astucieuses telles que les maldocs sont utilisées.

Les emails de phishing — en particulier les emails de spear-phishing — sont très difficiles à repérer, même pour les employés les plus avertis en matière de sécurité. Une prévention robuste contre le phishing et les liens vers des sites malveillants est nécessaire pour servir de « premier filet de capture ». Ces outils empêchent les emails malveillants d’entrer dans la boîte de réception d’un employé et — s’ils parviennent à passer – empêchent l’employé d’accéder à un site web dangereux.

Protection contre les sites web malveillants

Les outils de filtrage de contenu intelligents empêchent les employés de consulter des sites malveillants en cliquant sur un lien dans un email de phishing, même s’il s’agit de liens habilement déguisés comme dans les emails de phishing de LazyScripter. Ces outils d’apprentissage automatique vérifient un site web pour s’assurer qu’il ne contient aucun malware et qu’il ne s’agit pas d’un site de phishing.

Protection contre le phishing

Le phishing peut être évité grâce à une solution de protection des emails. Ces outils analysent tous les emails entrants à la recherche de signaux indiquant qu’un email est un spam ou contient des pièces jointes malveillantes ou des liens dangereux.

Certains outils, comme SpamTitan, protègent les organisations contre les vulnérabilités de type « Zero-Day » grâce à des technologies intelligentes. Cette dernière capacité est importante, car les cybercriminels continuent d’utiliser les failles de type « zero-day » pour contourner vos systèmes de protection tels que les correctifs et les logiciels antimalware pour les points d’accès.

Les cybercriminels se moquent de savoir si un secteur a été gravement touché par une mauvaise économie ou une catastrophe telle que la pandémie du Covid-19. Tout ce qui les intéresse, c’est de créer des chaînes d’attaques complexes et sophistiquées qui sont difficiles à détecter et à prévenir. Heureusement, les professionnels de la sécurité cherchent constamment des solutions pour contrer les cybermenaces avec leurs propres outils sophistiqués.

TitanHQ fournit une protection contre les menaces avancées pour protéger votre organisation des attaques de phishing. Apprenez-en davantage sur la protection multicouche de TitanHQ dès aujourd’hui. Contactez-nous.

Comment le CDN de Discord peut-il être une menace pour votre entreprise ?

cdn-discord-menace-entreprise

Les cybercriminels sont toujours à la recherche de moyens plus faciles de se faire un peu d’argent sur le dos des gens. De la même manière que les petits voleurs se tournent vers le vol à la tire dans les lieux touristiques bondés de voyageurs imprudents, ils ciblent les sites web qui attirent le plus d’utilisateurs peu méfiants.

L’un de ces sites est la plate-forme de chat Discord, très populaire auprès des aux joueurs de jeux vidéo en ligne, mais qui s’est également étendue à d’autres communautés. Elle permet aux utilisateurs d’interagir les uns avec les autres par le biais d’un large éventail de moyens tels que les appels vocaux, les appels vidéo ou les textos.

Le paradis perdu

Selon le magazine Forbes, Discord comptait 150 millions d’utilisateurs et sa valeur, estimée à 2 milliards de dollars en 2019, ne cesse d’augmenter. Forbes a révélé dans un article que des groupes Discord qui s’adonnaient à des activités cybercriminelles faisaient l’objet d’une enquête du FBI à l’époque.

La majeure partie de cette activité criminelle consistait en de petites escroqueries. Les cybercriminels utilisaient des chats en direct pour proposer des cartes-cadeaux à prix réduit ou des abonnements à vie à des Malware-as-a-Service (MaaS) – une version criminelle de Software as a service (SaaS) qui permet la location d’une application via Internet – pour une somme symbolique.

Dans d’autres cas, ils vendaient des cartes de paiement et des comptes PayPal volés. Certains de ces malfaiteurs ciblaient spécifiquement les enfants.

Alors qu’il était autrefois considéré comme un « paradis pour les joueurs », Discord semble être devenu un nouveau paradis pour la cybercriminalité, selon le magazine Cyware.

Le manque de supervision de Discord a des conséquences

L’une des caractéristiques et qui a rendu Discord si populaire auprès de ses utilisateurs est son accès ouvert et la flexibilité en matière de supervision. Mais ce manque de surveillance a un prix, car cela encourage la diffusion de contenus illicites et la cyberintimidation, tout en favorisant les comportements malveillants.

Le fait que les utilisateurs non inscrits puissent télécharger le contenu téléchargé rend difficile la recherche des responsables de la distribution de malwares ou de matériel illicite. Même si certaines personnes qualifient cela de liberté, d’autres le considèrent comme une pure erreur de gestion de la part de Discord.

Le CDN de Discord

Outre la compromission continue du service de chat Discord, la société de cybersécurité Zscaler a déclaré que les cybercriminels abusent du service cdn.discorapp.com pour diffuser des malwares. Zscaler a déclaré avoir capturé plus de 100 échantillons de codes malveillants uniques provenant de Discord sur une période de deux mois.

Les auteurs attirent d’abord l’intérêt des utilisateurs avec des emails de phishing qui encouragent le téléchargement de logiciels piratés ou d’applications de jeux.

Selon Bleeping Computer, les pirates profitent d’une vulnérabilité unique de Discord qui leur permet de supprimer un fichier malveillant après l’avoir téléchargé sur les serveurs de Discord, mais de le conserver dans le réseau de distribution de contenu (CDN) de la marque pour pouvoir le télécharger à nouveau.

Un large éventail de catégories de malwares, y compris des enregistreurs de frappe, sont facilement distribués à l’aide de ce CDN. Même si Discord avait émis des avertissements concernant certains téléchargements, des tests ont montré que de nombreux téléchargements malveillants connus n’étaient pas du tout signalés.

Webhook et ransomware dans Discord

Discord utilise une fonctionnalité appelée « Webhook ». Elle permet aux utilisateurs de poster un contenu via l’envoi d’un message même s’ils ne disposent pas de l’application Discord.

Bien que cette fonctionnalité ait ses mérites et son utilité, elle permet également aux pirates de sonder les sessions web et de voler des identifiants de connexion enregistrés dans certains des principaux navigateurs web, ainsi que les jetons d’utilisateur (token) de Discord.

TrendMicro a récemment découvert un nouveau ransomware qui utilise des webhooks comme plateforme de communication avec ses victimes. Une autre souche de ransomware appelée « Hog » présentait également une nouvelle tournure concernant le processus de déchiffrement.

Plutôt que d’émettre une clé, la machine de la victime n’est déchiffrée qu’une fois qu’elle a rejoint le serveur Discord. Une fois la machine connectée, l’utilisateur s’authentifie avec son jeton d’utilisateur qui fait office de clé intégrée à un malware.

Le remède aux cybermenaces liées à Discord

Alors comment empêcher vos utilisateurs de visiter un site tel que Discord ? La réponse est d’utiliser un filtrage DNS avancé et une solution de sécurité web telle que WebTitan.

Comme de nombreux filtres de sécurité web standard, vous pouvez créer des politiques qui refusent l’accès à des sites tels que Discord. Mais WebTitan va au-delà du simple filtrage d’URL.

Son service de détection des malwares surveille et identifie activement les menaces en temps réel, bloquant ainsi l’accès des utilisateurs aux sites hébergeant des malwares, des menaces de phishing, des virus, des ransomwares et aux sites qui renferment des contenus malveillants.

En outre, la solution antimalware de WebTitan permet de s’assurer que les codes malveillants ne s’échappent pas d’un serveur web compromis.

TitanHQ propose aussi SpamTitan, une solution de sécurité de la messagerie électronique capable de bloquer les emails de phishing qui pourraient diriger les utilisateurs finaux vers Discord.

Le fait est qu’il existe de nombreux endroits périlleux sur Internet, et qu’il en existera probablement toujours. Mais si vous utilisez la combinaison de WebTitan et de SpamTitan, vous n’aurez plus à vous soucier de ces zones précaires.

Voulez-vous savoir comment protéger vos employés pour qu’ils n’atterrissent pas dans des endroits précaires comme Discord, quel que soit leur emplacement ? Contactez l’un de nos experts dès aujourd’hui.

Zoom sur le nouveau kit d’exploitation Spelevo

Zoom sur le nouveau kit d’exploitation Spelevo

Les ransomwares Sodinokibi et Bourane peuvent être diffusés via le kit d’exploitation RIG, mais un autre kit d’exploitation a récemment rejoint les rangs, bien que sa charge utile soit des chevaux de Troie bancaires.

Les kits d’exploitation sont des programmes utilitaires sur les sites web qui mènent des attaques automatisées contre les visiteurs.

Lorsqu’un internaute atterrit sur une page hébergeant le kit d’exploitation, son navigateur ainsi que les applications basées sur son navigateur sont analysés pour détecter certaines vulnérabilités.

Le trafic vers la page d’atterrissage est généré par des redirections ou des publicités malveillantes. Dans la plupart des cas, le code du kit d’exploitation est également ajouté à des sites web à fort trafic compromis.

Les kits d’exploitation contiennent des exploits pour plusieurs vulnérabilités. Une seule suffit pour permettre le téléchargement et l’exécution d’une charge utile malveillante sur l’appareil de la victime sans qu’elle le sache.

Les kits d’exploitation étaient autrefois le mécanisme de diffusion de malwares de choix, mais ils sont tombés en désuétude à la suite d’une répression des forces de l’ordre.

La menace que représentent les kits d’exploitation n’a jamais disparu, mais le nombre d’attaques a baissé. Au cours des derniers mois, cependant, l’activité d’exploitation a atteint un niveau élevé.

Le nouveau kit d’exploitation s’appelle Spelevo et son but est de livrer deux chevaux de Troie bancaires – Dridex et IceD – via un site web interentreprises. Il a été découvert par un chercheur en sécurité nommé Kafeine en mars 2019.

Spelevo héberge actuellement plusieurs exploits pour Adobe Flash et un pour Internet Explorer. Si un utilisateur visite une page web hébergeant le kit d’exploitation, il ne saurait pas probablement qu’il se passe quelque chose de malveillant.

En effet, un onglet s’ouvrira et le navigateur semblerait passer par une série de redirections avant d’atterrir sur Google.com.

L’ensemble du processus – depuis l’atterrissage de l’utilisateur sur une page hébergeant le kit d’exploitation, jusqu’à l’identification et l’exploitation de la vulnérabilité et la redirection de l’utilisateur vers Google.com – ne prend que quelques secondes.

Le kit d’exploitation peut être hébergé sur un domaine appartenant à un attaquant, mais il est facile de l’ajouter à n’importe quel site web. Une fois qu’un site web est compromis, il suffit d’y intégrer quatre lignes de code.

Les kits d’exploitation sont un moyen efficace et automatisé de fournir une charge utile de malwares, mais ils dépendent des utilisateurs qui n’ont pas mis de correctifs sur leur navigateur et leurs plugins.

Si les navigateurs et les plugins sont maintenus à jour, il ne devrait y avoir aucune vulnérabilité que les pirates pourront exploiter.

Le kit d’exploitation Spelevo semble être utilisé dans une campagne ciblant les entreprises. Les équipes informatiques ont souvent du mal à maîtriser les correctifs et ont une mauvaise visibilité sur les périphériques qui se connectent à leur réseau.

Pourtant, au cas où un périphérique serait compromis, un attaquant peut utiliser divers outils pour lancer des kits d’exploitations et compromettre d’autres périphériques et serveurs.

La principale défense contre les kits d’exploitation est le patch, mais des protections supplémentaires sont nécessaires.

Vous devriez mettre en place un filtre web pour vous protéger contre les attaques pendant l’application des correctifs ; pour empêcher les attaques de réussir en utilisant des exploits de type « zero day » et pour empêcher les utilisateurs de visiter les sites web hébergeant des kits d’exploitation.

WebTitan est un filtre DNS qui permet de détecter et de bloquer les menaces en temps réel. De manière automatisée, il vous protège contre les kits d’exploitation et les attaques de phishing basées sur le web.

La base de données de WebTitan contient trois millions d’URL malveillantes qui sont bloquées lorsqu’un utilisateur tente de les visiter.

La base de données répertorie également plus de 300 000 sites web pouvant contenir des malwares et des ransomwares qui sont bloquées chaque jour pour protéger les utilisateurs finaux.

Si vous souhaitez améliorer la protection contre les menaces basées sur le web ; contrôler les contenus auxquels vos employés peuvent accéder et avoir une visibilité sur ce que vos employés font en ligne, WebTitan Cloud est la réponse.

Cette solution peut être mise en place en quelques minutes seulement.

Pour plus d’informations, contactez TitanHQ dès aujourd’hui.

Un scareware utilise Safari pour extorquer de l’argent

Un scareware utilise Safari pour extorquer de l’argent

Une faille dans le navigateur Safari mobile a été exploitée par des cybercriminels et utilisée pour extorquer de l’argent à des individus qui ont déjà utilisé leur appareil mobile pour regarder de la pornographie ou d’autres contenus illégaux.

Comment fonctionne le Scareware utilisé contre Safari ?

Le scareware empêche l’utilisateur du navigateur Safari d’accéder à Internet sur son appareil et charge une série de messages popup.

Un popup s’affiche pour informer l’utilisateur que Safari ne peut pas ouvrir la page demandée.

Cliquer sur « OK » pour fermer le message déclenche un autre avertissement popup.

Safari est alors verrouillé dans une boucle sans fin de messages popup qui ne peuvent pas être fermés.

Un message s’affiche en arrière-plan indiquant que l’appareil a été verrouillé, car il a été découvert que l’utilisateur avait consulté un contenu Web illégal.

Certains utilisateurs ont signalé des messages contenant des bannières d’Interpol, dont le but est de faire croire à l’utilisateur que la serrure a été placée sur son téléphone par les forces de l’ordre.

La seule façon de déverrouiller l’appareil, selon les messages, est de payer une amende.

L’un des domaines utilisés par les attaquants est police-pay.com.

Cependant, peu d’utilisateurs seraient probablement trompés en pensant que le verrouillage du navigateur avait été mis en place par un service de police, car l’amende devait être payée sous la forme de carte-cadeau iTunes.

D’autres messages ont menacé l’utilisateur d’une action de la police si le paiement n’est pas effectué.

Dans ce cas, les attaquants ont affirmé qu’ils enverront l’historique de navigation de l’utilisateur et les fichiers téléchargés à la Metropolitan Police.

Cette campagne de scareware sur Safari n’est pas nouvelle, bien que la vulnérabilité « zero day » qui a été exploitée pour afficher les messages l’était.

Les attaquants ont chargé du code sur un certain nombre de sites Web, exploitant ainsi une vulnérabilité dans la façon dont le navigateur Safari gère les fenêtres pop-up JavaScript. Le code visait les versions 10.2 et antérieures d’iOS.

La campagne scareware sur Safari a récemment été découverte par Lookout qui a transmis les détails du kit d’exploitation à Apple le mois dernier.

Apple vient de publier une mise à jour de son navigateur pour empêcher l’attaque de se produire.

Les utilisateurs peuvent donc protéger leurs appareils contre une telle menace en mettant à jour leurs navigateurs avec la version 10.3 d’iOS.

Quelle est la différence entre un scareware et un ransomware ?

Les scarewares sont différents des ransomwares, bien que les deux soient utilisés pour extorquer de l’argent.

Dans le cas d’un ransomware, l’accès à un dispositif est obtenu par l’attaquant et un malware de chiffrement de fichiers est téléchargé.

Ce malware verrouille alors les fichiers des utilisateurs à l’aide d’un chiffrement puissant.

Si une sauvegarde des fichiers chiffrés n’appartient pas à l’utilisateur, ce dernier risque de perdre des données, sauf s’il paie les attaquants pour qu’ils déchiffrent les fichiers verrouillés.

Les scarewares peuvent impliquer des malwares, bien que le plus souvent — comme ce fut le cas pour cette campagne sur Safari — il s’agit de codes malveillants sur des sites Web.

Le code est exécuté lorsqu’un utilisateur doté d’un navigateur vulnérable visite une page Web infectée.

L’idée derrière le scareware est d’effrayer l’utilisateur final pour qu’il paie la rançon demandée afin de déverrouiller son appareil.

Contrairement aux attaques par ransomwares, qui ne peuvent être déverrouillés sans une clé de déchiffrement, il est généralement possible de déverrouiller les navigateurs verrouillés par un scareware avec un peu de savoir-faire informatique.

Pour notre cas, le contrôle du téléphone pouvait être récupéré en vidant le cache du navigateur Safari.