Planète Warez

Microsoft vient de lever le voile sur un truc assez cool qui s’appelle Project IRE !

C’est un agent IA qui analyse et détecte les malwares en parfait autonomie. Plus besoin d’un expert humain pour décortiquer chaque fichier suspect, c’est l’IA qui s’en charge et elle le fait plutôt bien avec 98% de précision et seulement 2% de faux positifs sur un dataset de drivers Windows.

C’est du lourd car au lieu de se contenter d’une simple analyse par signatures comme les antivirus classiques, Project IRE fait de la vraie reverse engineering. L’agent décompile le code, reconstruit le graphe de flux de contrôle (control flow graph pour les intimes), analyse chaque fonction et génère un rapport détaillé expliquant pourquoi le fichier est malveillant ou non.

Pour faire tout ça, Microsoft s’appuie sur Azure AI Foundry et des outils de reverse engineering bien connus comme angr et Ghidra. Le processus commence ainsi par un triage automatique pour identifier le type de fichier et sa structure. Ensuite, l’IA reconstruit comment le programme s’exécute, analyse chaque fonction avec des modèles de langage spécialisés et compile tout dans une “chaîne de preuves” (chain of evidence).

Cette transparence est cruciale car elle permet aux équipes de sécurité de vérifier le raisonnement de l’IA et comprendre comment elle est arrivée à ses conclusions. Et surtout, les tests en conditions réelles sont prometteurs car sur 4000 fichiers que les systèmes automatisés de Microsoft n’arrivaient pas à classifier, Project IRE a correctement identifié 89% des fichiers malveillants avec seulement 4% de faux positifs.

Le seul bémol c’est le taux de détection global qui n’est que de 26%, ce qui signifie que l’IA rate encore pas mal de malwares. Mais comme le soulignent les chercheurs, cette combinaison de haute précision et faible taux d’erreur montre un vrai potentiel pour un déploiement futur.

Mike Walker, Research Manager chez Microsoft, raconte que dans plusieurs cas où l’IA et l’humain n’étaient pas d’accord, c’est l’IA qui avait raison. Ça montre bien que les forces complémentaires de l’humain et de l’IA peuvent vraiment améliorer la protection. Pour valider ses trouvailles, Project IRE utilise un outil de validation qui vérifie les affirmations du rapport contre la chaîne de preuves.

Cet outil s’appuie sur des déclarations d’experts en reverse engineering de l’équipe Project IRE et en combinant ces preuves et son modèle interne, le système produit un rapport final et classe le fichier comme malveillant ou bénin. L’objectif à terme est ambitieux puisqu’il s’agit de détecter automatiquement de nouveaux malwares directement en mémoire, à grande échelle.

Ce serait vraiment cool d’identifier des menaces avancées (APT) sans qu’un humain ait besoin d’intervenir. D’ailleurs, Project IRE a déjà réussi à créer le premier cas de conviction pour un malware APT chez Microsoft, sans aide humaine.

Pour l’instant, ça reste un prototype qui sera intégré plus tard dans Microsoft Defender comme outil d’analyse binaire mais les implications sont déjà énormes car les malwares deviennent de plus en plus sophistiqués et nombreux, et avoir une IA capable de les analyser automatiquement pourrait changer pas mal la lutte contre ces saloperies.

Alors oui, on n’est pas encore au point où l’IA remplace complètement les experts en sécurité mais on s’en rapproche et vu la pénurie de talents en cybersécurité et l’explosion du nombre de menaces, c’est plutôt une bonne nouvelle.

– Sources :

https://www.helpnetsecurity.com/2025/08/05/project-ire-microsoft-autonomous-malware-detection-ai-agent/

https://korben.info/project-ire-agent-microsoft-detecte-malwares.html

@Psyckofox a dit dans Koske : quand des images de pandas cachent un malware Linux :

@Violence

J’avais mis en place un plan infaillible mais t’es entrain de me griller 😁

https://planete-warez.net/post/99100

Je t’ai vu mettre ça dans le topic des fragiles @Psyckofox 🤣

Trois paquets malveillants ont été déposés sur le dépôt communautaire utilisé par Arch Linux : l’Arch User Repository. Ces paquets installaient en réalité le logiciel malveillant Chaos, un Cheval de Troie capable de donner un accès distant à la machine infectée. Faisons le point.

Des malwares dans le dépôt communautaire d’Arch Linux

L’Arch User Repository (AUR) est un dépôt de paquets sur lequel les utilisateurs d’Arch Linux peuvent trouver des applications et paquets en tout genre non disponibles dans les dépôts officiels. En effet, il s’agit d’un dépôt communautaire. Cependant, il repose sur la confiance et la vigilance des utilisateurs, car il n’y a pas de réel processus de validation : n’importe qui peut déposer un paquet.

Et, pour preuve, le 16 juillet dernier, un utilisateur avec le pseudo “danikpapas” a mis en ligne trois paquets sur l’AUR : librewolf-fix-bin, firefox-patch-bin et zen-browser-patched-bin. Ces derniers dissimulaient un script d’installation malveillant.

“Le 16 juillet, vers 20 heures UTC+2, un paquet AUR malveillant a été téléchargé sur le site AUR.”, peut-on lire sur le site d’Arch Linux. Ce paquet n’était pas seul, puisqu’il y a eu deux autres paquets chargés par le même utilisateur.

Deux autres paquets malveillants ont été téléchargés par le même utilisateur quelques heures plus tard. Ces paquets installaient un script provenant du même dépôt GitHub qui a été identifié comme un cheval de Troie d’accès à distance (RAT).

La méthode était simple, mais efficace : le fichier de construction PKGBUILD de chaque paquet contenait une instruction pour cloner un dépôt GitHub (par exemple : https[:]//github.com/danikpapas/zenbrowser-patch.git). Ce qui signifie que le système téléchargeait et exécutait le code du malware durant le processus de construction du paquet. L’utilisation de scripts de construction de paquets, appelés PKGBUILD, est tout à fait normal dans le contexte d’Arch Linux.

Qu’est-ce que le malware Chaos RAT ?

Le logiciel malveillant Chaos est un RAT, c’est-à-dire un cheval de Troie d’accès à distance (Remote Access Trojan). Une fois installé sur une machine, il se connecte à un serveur C2 (commande et contrôle), ici localisé à l’adresse 130[.]162.225.47:8080, et attend les ordres des cybercriminels !

L’attaquant dispose alors d’un accès distant sur le système compromis: il peut télécharger et envoyer des fichiers, exécuter des commandes arbitraires ou encore ouvrir un reverse shell. Ceci ouvre la porte à des actions malveillantes, comme le vol d’identifiants ou de données.

La bonne nouvelle, c’est que le nettoyage a été fait suite aux signalements de certains utilisateurs qui ont pris la peine d’analyser les paquets sur VirusTotal :

Les dépôts GitHub associés à cette campagne ont été supprimés. Les trois paquets malveillants ont été supprimés par l’équipe d’Arch Linux le 18 juillet.

Pour les utilisateurs qui auraient pu installer l’un de ces paquets, vous devez vérifier votre machine. Recherchez la présence d’un exécutable suspect nommé systemd-initd, potentiellement situé dans le dossier /tmp.

– Source :

https://www.it-connect.fr/arch-linux-trois-paquets-aur-malveillants-destines-a-installer-le-malware-chaos-rat/

Une faille dans Windows, corrigée en novembre, a permis à des pirates de déployer un malware. Nommé Phemedrone Stealer, il est capable de dérober de nombreuses informations et de réaliser des captures d’écran.

L’actualité sur la sécurité évoque souvent les rançongiciels, mais les malwares plus classiques sont encore bien présents. En témoigne Phemedrone, que Trend Micro a révélé la semaine dernière. Ce logiciel malveillant a profité au cours des derniers mois d’une diffusion massive, via des ordinateurs qui n’avaient pas appliqué les dernières mises à jour de sécurité présentes dans Windows Update.

La faille exploitée, numérotée CVE-2023-36025, résidait en effet dans Windows 10 et 11. Toutes les versions Server depuis 2008 étaient également touchées. Dans son bulletin, Microsoft n’évoque pas Windows 7 et 8.1, car ces versions n’ont plus de support technique. Toutefois, il semble logique qu’elles soient aussi concernées, au vu des moutures Server.

D’un score de sévérité CVSS de 8,8, cette vulnérabilité permet le contournement de la protection Windows SmartScreen. Elle peut être exploitée via une URL spécialement conçue, désactivant alors la protection et ses messages d’avertissements. Ces derniers alertent, en temps normal, du caractère douteux du lien que l’on clique. Il s’agit d’un mécanisme équivalent à Safe Browsing chez Google, par exemple.

Le fonctionnement du malware

La simplicité d’exploitation de la faille a fait le succès de Phemedrone. Selon Trend Micro, elle a pu se faire au travers de fichiers de raccourcis Internet malveillants, hébergés sur des services comme Discord, Steam ou encore Telegram. Des services d’hébergement ont également été utilisés, comme FileTransfer.io. Dans tous les cas, les liens étaient masqués par des raccourcisseurs d’URL tels que Short URL.

Quand on double-clique sur le lien, ce dernier renvoie à un serveur contrôlé par les pirates. De là, un fichier de panneau de contrôle (.CPL) est récupéré pour contourner Windows SmartScreen avec l’aide de la faille mentionnée.

« Lorsque le fichier .CPL malveillant est exécuté par le biais du processus binaire du Panneau de configuration de Windows, il appelle à son tour rundll32.exe pour exécuter la DLL. Cette DLL malveillante agit comme un chargeur qui fait ensuite appel à Windows PowerShell pour télécharger et exécuter l’étape suivante de l’attaque, hébergée sur GitHub », expliquent les chercheurs de Trend Micro.

La charge utile consiste en un loader PowerShell obfusqué (nommé DATA3.txt). Il sert d’appui à Donut, un loader connu et open source de shellcode. C’est ce dernier qui va déchiffrer et exécuter Phemedrone Stealer.

La persistance est obtenue en créant un dossier nommé C:\NUsers\NPublic\NLibraries\NBooks, dans lequel sont stockés les fichiers du malware (wer.dll, secure.pdf et WerFaultSecure.exe). Les pirates utilisent ensuite la commande schtasks.exe avec certains arguments pour s’assurer que l’exécutable WerFaultSecure.exe est bien lancé toutes les 90 minutes.

Les informations volées par Phemedrone Stealer

Une fois le malware en place, il peut pratiquement tout faire. Il est ainsi capable de récupérer la totalité des informations en mémoire, de faire des captures d’écran, de recueillir les informations sur le matériel, des données techniques sur le système d’exploitation et sa configuration, etc. Voilà pour ses attributions générales.

Mais il peut également récupérer des informations plus spécifiques, selon les applications visées. Dans Chrome par exemple, il peut récolter les mots de passe, cookies et informations de remplissage automatique présentées par les gestionnaires de mots de passe. Il sait aussi extraire les fichiers d’une multitude d’applications de portefeuille de cryptomonnaies (Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus, Guarda…).

Les exemples ne manquent pas : les jetons d’authentification de Discord pour accéder au compte de la victime, les identifiants des connexions paramétrées dans FileZilla, les fichiers échangés sur Telegram, certaines informations présentes dans Steam, les données des navigateurs Gecko (dont Firefox), etc.

Le malware se sert aussi du service FileGravver pour collecter des fichiers de la victime dans ses dossiers courants, comme Documents, Bureau et Téléchargements.

Toutes ces tâches sont effectuées dans des threads séparés et peuvent être conduites parallèlement. Les informations recueillies passent entre les mains de MemoryStream et ZipStorage pour être compressées et placées dans un tampon en mémoire. Les opérations peuvent ainsi être traitées rapidement, sans déclencher d’entrées/sorties sur le disque.

Transmission des informations

La communication des informations volées se fait en plusieurs étapes. Le malware va d’abord valider un jeton d’API Telegram (via TokenIsValid).

Si l’opération renvoie un résultat négatif, tout s’arrête. S’il est positif, Phemedrone commence par envoyer aux pirates diverses informations techniques et statistiques sur le système contaminé. Le malware se sert de la méthode Collect, qui rassemble des données telles que la géolocalisation (IP, pays, ville, code postal…), le nom d’utilisateur, le nom de la machine, le processeur, le GPU, la mémoire et des informations sur les antivirus éventuellement présents (Windows Defender quand aucun produit tiers n’est installé).

La suite consiste à envoyer les données ainsi collectées au serveur de contrôle et commande. La méthode SendZip est utilisée pour compresser ces informations, via une requête HTTP POST. Celle-ci communique avec l’API Telegram pour créer un message accompagné d’une pièce-jointe, ayant la valeur de « document ». L’ensemble du processus intègre la gestion des erreurs et des tentatives, garantissant le succès de la transmission, selon les chercheurs.

Un malware open source

La vulnérabilité CVE-2023-36025 a beau avoir été corrigée en novembre, son exploitation est très active et a fait l’objet de plusieurs campagnes. Aux États-Unis, la CISA (l’Agence pour la cybersécurité et la sécurité des infrastructures) l’a donc ajouté à sa liste des failles exploitées connues (KEV). Sur les réseaux sociaux notamment, de nombreuses publications se sont penchées sur l’exploitation de la faille.

L’élément surprenant de l’histoire est que Phemedrone Stealer n’est pas une création des pirates. Il s’agit d’un programme open source ayant son propre dépôt sur GitHub. Il est activement développé et possède également un canal sur Telegram.

Selon Trend Micro cependant, la version diffusée dans la campagne malveillante a été modifiée. Dans le descriptif du dépôt original, on peut lire que ce développement est réalisé pour des raisons éducatives uniquement. Nous avons interrogé Microsoft sur l’existence de ce dépôt et mettrons cette actualité à jour quand nous aurons la réponse.

La campagne continue

Comme on peut s’en douter, les chercheurs de Trend Micro recommandent de vérifier que tous les ordinateurs sous Windows 10 et 11 ont été mis à jour. En théorie, ce doit être le cas de l’immense majorité des machines concernées, car la récupération des mises à jour est automatique, tout comme leur application.

La mise en garde s’adresse davantage aux entreprises et autres organisations. Dans ce cas, la gestion des mises à jour est souvent centralisée pour éviter les coupures intempestives dans le travail. Les services de gestion permettant de reporter presque indéfiniment l’installation des correctifs, il peut arriver qu’une entreprise se fasse « avoir » dans ce genre de campagne. En particulier quand l’exploitation de la faille est triviale, comme ici.

Un peu plus étonnant, les chercheurs ajoutent qu’en dépit de la correction de la faille il y a plusieurs mois déjà, la campagne continue. D’autres méthodes d’exploitation auraient été trouvées. Elles permettent, elles aussi, de contourner la protection Windows SmartScreen. Trend Micro ne fournit cependant pas d’informations supplémentaires.

Selon la société de sécurité, la situation est intéressante à plus d’un titre. Elle évoque la forte émulation existant « entre les logiciels malveillants à code source ouvert et les exploits de démonstration publique ». Elle met également en avant « la nature évolutive des menaces de logiciels malveillants sophistiqués et la capacité des acteurs malveillants à améliorer rapidement leurs chaînes d’infection en ajoutant de nouveaux exploits pour des vulnérabilités critiques dans les logiciels courants ».

Source : next.ink

@Violence On est bien d’accord, d’autres sont plus malins avec un système de demandes et donc échanges de liens en privé.

Pas mal, pas mal 🙂

Des chercheurs ont découvert une nouvelle campagne Lazarus Operation DreamJob ciblant les utilisateurs de Linux. Operation DreamJob est le nom d’une série de campagnes où le groupe utilise des techniques d’ingénierie sociale pour compromettre ses cibles avec de fausses offres d’emploi comme leurre.

Des chercheurs d’ESET ont reconstitué la chaîne complète, depuis le fichier ZIP qui délivre une fausse offre d’emploi de HSBC comme leurre jusqu’à la charge utile finale : la porte dérobée SimplexTea Linux, distribuée via OpenDrive, un compte de stockage cloud. C’est la première fois que cet important acteur de menace, aligné sur la Corée du Nord, utilise un maliciel Linux dans le cadre de cette opération. Les similitudes avec ce malware Linux récemment découvert corroborent la théorie selon laquelle le tristement célèbre groupe aligné sur la Corée du Nord est à l’origine de l’attaque de la chaîne d’approvisionnement 3CX

L’attaque en question

Les chercheurs de l’éditeur ESET ont reconstruit la chaîne complète, depuis le fichier ZIP qui fournit une fausse offre d’emploi de HSBC comme leurre jusqu’à la charge utile finale de la porte dérobée. Des similitudes avec cette nouvelle porte dérobée Linux la lient avec grande certitude à l’attaque de la chaîne d’approvisionnement 3CX. 3CX est un développeur et distributeur international de logiciels VoIP qui fournit des systèmes de téléphonie.

3CX a été compromis et son logiciel a été utilisé dans une attaque de la chaîne d’approvisionnement menée par les auteurs de menaces externes pour distribuer des logiciels malveillants supplémentaires à des clients 3CX spécifiques. L’attaque était planifiée depuis décembre 2022, longtemps d’avance.

Fin mars 2023, on a découvert que l’appli de bureau pour Windows et macOS contenait un code malveillant qui permettait à un groupe d’attaquants de télécharger et d’exécuter du code arbitraire sur toutes les machines sur lesquelles l’appli était installée. 3CX a été compromis et son logiciel a été utilisé dans une attaque de la chaîne d’approvisionnement par des acteurs externes afin de distribuer des maliciels supplémentaires à des clients 3CX bien précis.

Le 20 mars dernier, un utilisateur de Géorgie a soumis à VirusTotal une archive ZIP intitulée HSBC job offer.pdf.zip. Compte tenu d’autres campagnes DreamJob de Lazarus, cette charge utile a probablement été distribuée par harponnage ou par messages directs sur LinkedIn. L’archive contient un seul fichier : un binaire Intel Linux natif 64 bits écrit en Go et nommé offre d’emploi HSBC․pdf.

Pour en savoir plus, rendez-vous sur le blog WeLiveSecurity d’ESET (en anglais).

– Source

Le 25 janvier, le groupe de recherche ESET a découvert une nouvelle cyberattaque en Ukraine. Les attaquants du groupe Sandworm ont déployé un nouveau malware nommé SwiftSlicer, qui vise à détruire l’Active Directory.

Tribune – Dans ce contexte, voici le commentaire de Regis Alix, Senior Principal Solutions Architect de Quest Software – fournisseur mondial de logiciels de gestion des systèmes et de sécurité :

« Ce n’est pas le premier malware de type « wiper » (dont l’objectif principal est de détruire des données ou des systèmes) déployé par le groupe Sandworm. Pourtant, SwiftSlicer est le premier qui vise directement l’Active Directory en détruisant sa base de données via une attaque directe du fichier NTDS.DIT sur les contrôleurs de domaines.

SwiftSlicer a été détecté dans le cadre d’une cyberattaque que l’on pourrait qualifier de « géopolitique » dont le but est, évidemment, de perturber des organisations et pas de générer un revenu financier. Cependant, de nombreuses études récentes montrent que les attaques de type ransomware réussies sont de moins en moins nombreuses. Il est donc fort probable que les groupes cyber malveillants cherchent à diversifier leurs sources de revenu en se dirigeant vers la spéculation financière, en cherchant à détruire les systèmes principaux d’organisations influentes sur les marchés afin de les déstabiliser. Les ‘wipers’ pourraient donc progressivement remplacer, au moins en partie, les ransomwares.

La première leçon importante à tirer de l’attaque SwiftSlicer est le déploiement de la charge virale par les GPO de l’Active Directory. Le malware utilise ce processus de déploiement de configurations et d’applications natif de l’Active Directory pour le détruire. Malheureusement, de nombreuses organisations ne considèrent pas encore les GPO comme une part critique de la sécurisation de leurs environnements. La compromission d’une GPO permet à un attaquant de réduire drastiquement le niveau de sécurité de l’ensemble des systèmes attachés à l’AD ainsi que de l’AD lui-même ou encore, comme c’est le cas de SwiftSlicer, de déployer sa charge virale active sur les machines cibles par ce processus intégré à l’AD et donc peu ou pas surveillé par les différents systèmes de protection tels que les EDR, XDR etc.

Il est donc évident que la surveillance ainsi que la sécurisation de l’administration des GPO est critique pour la sécurité des environnements Microsoft.

Le second point mis en évidence par cette nouvelle attaque est que l’Active Directory est plus que jamais une cible et qu’en plus de sa compromission, c’est sa destruction [censored] et simple qui est recherchée. La mise en place d’un plan de reprise d’activité (PRA) spécifique à l’AD incluant des sauvegardes multiples et protégées, ainsi qu’une procédure de restauration la plus automatisée possible de l’AD, est indispensable pour préparer une éventuelle crise dont la probabilité ne cesse d’augmenter. »

– Source

https://christec.net/tuto-pour-installer-pi-hole-et-pi-vpn-sur-freebox-delta/
https://joyeku.run/adguard-home-comme-serveur-dns-local-sur-une-vm-freebox/

ouf y’a pas le cloud MEGA , je suis safe :ange:

Une nouvelle version d’Emotet a été détectée, alors que le botnet avait été démantelé en janvier par les forces de l’ordre.

Une nouvelle version de ce malware qualifié de «maliciel le plus dangereux du monde» est de retour. Selon le chercheur en sécurité Luca Ebach de la société allemande G Data, le fameux réseau d’ordinateurs zombies utilisés par les pirates pour mener des attaques est de nouveau actif et reconstruit son infrastructure en étant distribué via le cheval de Troie Trickbot sur des machines déjà infectées. Connu depuis 2016, ce dernier est principalement utilisé pour le vol de données bancaires.

Sources: https://www.20min.ch/fr/story/maliciel-le-plus-dangereux-du-monde-de-retour-291000680884
https://cyberguerre.numerama.com/13820-demantele-il-y-a-10-mois-le-logiciel-malveillant-emotet-est-deja-de-retour.html
Ou “emotet” sur votre moteur de recherche ou site favori pour beaucoup plus d’infos.

Un petit coup de OSarmor qui tourne en fond ca en bloquera déjà pas mal

mouai c’est du travail de sagouin, le truc est tout neuf et il est déjà repéré par 70 AV, il devrait pas aller bien loin c’est déjà ca