.:[ d4 n3wS ]:.

Via F-Secure :

Lors de l’Oslo Freedom Forum (conférences contre l’autoritarisme qui rassemble de nombreux activistes), une nouvelle backdoor destinée à la plateforme Mac OSX a été découverte sur la machine d’un activiste africain.

Une des particularité de la backdoor c’est quelle est signée via un Developer ID chez Apple (donc son auteur a un compte sur le site d’Apple).
Or on retrouve la même signature dans d’autres attaques qui ont été rapportées récemment par la boîte antivirale Norman dans un rapport traitant de cyberattaques en provenance d’Inde (ça nous change des chinois).

Rien de bien perfectionné cependant dernière ces attaques : programmes codés en VB, pas d’exploit 0-day (juste l’utilisation de quelques exploits largement répandus) et utilisation de social engineering très simple (fichiers à double extension style .doc.exe)

Vu sur Slashdot :

D’après une info récupérée par le site Heise.de, le ministère chargé de l’éducation en Allemagne a trouvé une façon peu écologique et économique de se débarrasser du virus Conficker qui a infecté 170 de ses machines : la mise aux ordures des postes informatiques concernés…

Peut-être faudrait-il que quelqu’un se charge de les éduquer sur ce point…

Via V3 et KrebsOnSecurity :

Ici pas d’histoire extraordinaire dans cette arrestation de l’auteur du Phoenix Kit.
En effet, la nouvelle de son arrestation vient de… lui-même. Remonter sa piste n’a pas du être une difficulté pour le FSB puisque ce pirate dissimulait peu sa véritable identité et était enregistré dans les réseaux sociaux.

Sur un forum underground il a expliqué à ses clients la raison de son absence sur le web (arrestation et saisie du matos par le FSB).
Andrey Alexandrov, 23 ans, avait monté son affaire sur le web comme s’il n’imaginait pas pouvoir être inquiété un jour pour ses activités…

Via ZDNet :

Une opération conjointe des services ukrainiens et russes a permis d’arrêter les auteurs du botnet Carberp et sa variante Eurograbber spécialisé dans le vol d’informations bancaires européennes.
Vers mi-2012 une opération avait déjà mené à l’arrestation d’un groupe important se servant de ce bot.

L’article de ZDNet fait référence à des équipes de développement dans ce dernier groupe, laissant supposer que les auteurs originaux en font partie.

Vu sur /r/ReverseEngineering :

Le site MalShare permet de récupérer des samples de malwares trouvés sur les sites connus comme étant néfastes.

Vu sur TheRegister :

Un nouveau malware a fait son apparition. Une fois lancé chez sa victime (campagne de SE via Skype), il utilise presque 100% de votre CPU puisqu’il installe un “miner” Bitcoin de cette façon :

bitcoin-miner.exe -a 60 -l no -o http://suppp.cantvenlinea.biz:1942/ -u bigbob0000001@gmail.com -p password

Bref l’auteur du malware ne fait pas dans la délicatesse pourtant d’après le site exposedbotnets, ce n’est pas le premier coup d’essai de ce botherder.

A lire sur KrebsOnSecurity :

Brian Krebs s’est penché sur les origines du malware FlashBack qui a touché les systèmes Apple il y a environ un an (grosso modo à sa découverte).

Il a pu remonter le probable auteur du malware qui réside en Mordovie et qui est aussi potentiellement l’auteur du malware QHost.

Article à lire chez SpiderLabs : instructif et amusant, l’auteur explique le bot qu’il a écrit pour une compétition de sécurisation pour des étudiants.

Un article intéressant de Symantec indique comment certains malwares font pour exporter les certificats et leurs clés privées associées.

Symantec ainsi que 9b+ ont trouvé de faux rapports de Mandiant, par exemple un baptisé APT2.
Ces rapports exploitent une vulnérabilité dans Adobe Reader. L’un semble viser les internautes japonais et l’autre les ligues des droits de l’homme et activistes.