BHOs et phishing

Ca devait bien arriver un jour : les pirates ont trouvé un autre moyen de voler les informations utilisées par les internautes sur les sites bancaires en ligne.

Les BHO (Browser Helper Object) sont des add-ons insérés dans I.E. et utilisés à l’origine pour ajouter des capacités à ce browser. Détournés de leur fonction première, ces BHO sont très utilisés par les spywares et autres “browser hijacker”. (détournement de page d’accueil , insertion de barres de recherche, etc…)


La nouveauté, c’est l’emploi de failles de I.E. (corrigées en Avril, dans ce cas particulier) pour installer silencieusement un BHO nommé Bankhook.A qui servira à espionner les informations expédiées sur les sites bancaires avant qu’elles ne soient cryptées. Ces informations sont ensuite envoyées par l’intermédiaire d’I.E. sur un site qui récolte ces précieuses données.


Les futurs utilisateurs du SP2 (date de sortie probable : fin juillet/début août) seront protégés par la nouvelle version d’Internet Explorer et son gestionnaire d’Add-on.


Pour l’instant, il convient d’être prudent, de mettre son antivirus à jour et d’utiliser quelques trucs comme les Kill Bits et autres astuces pour se protéger.


Un utilitaire qui permets de voir les BHO installés est dispo ici.


Mise à jour : Une étude de la méthode d’infection est disponible sur Bugtraq.


Sources :
ISC
NetCraft
SecurityFocus
SecurityPipeline

Alerte sur les SPAM-Bots, suite…

On se dirige vers un dénouement heureux : si il reste certainement quelques sites web infectés par le javascript dangereux, son exploitation sur les PCs des internautes n’est plus possible.

En effet, le site russe depuis lequel était téléchargé le trojan et keylogger est maintenant inaccessible : il a été fermé ou plutôt rendu inaccessible par les principaux équipements de routage suite à une demande de Microsoft.


Sources :
NetEconomie
Futura-Sciences

Alerte sur les SPAM-Bots

Plusieurs sites internet IIS de premier plan auraient été corrompus et serviraient actuellement à répandre un code malicieux (malware). Une alerte a été émise par Microsoft (http://www.microsoft.com/security/incident/download_ject.mspx), les IIS corrompus ne seraient pas à jour du patch MS04-11.

Ce code se répand sur les PC des internautes en exploitant 2 failles d’Internet Explorer non encore patchées par Microsoft.


Il serait néanmoins possible de se prémunir de cette attaque en positionnant un Kill Bit sur l’activeX ADODB.Stream :


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveX Compatibility\{00000566-0000-0010-8000-00AA006D2EA4}]
“Compatibility Flags”=dword:00000400


Une fois installé, ce malware utiliserait votre machine comme relais pour expédier du SPAM. Inutile de dire que vous risquez rapidement d’être blacklisté par quelques domaines, vous voir refuser vos propres mails ainsi que l’accès à certains sites web et même la cloture de votre compte auprès de votre FAI si vous hébergez un tel malware…


Mise à jour : D’après une analyse de LURHQ, le malware diffusé par ces serveurs IIS infectés servirait à récolter des informations bancaires. (N° de carte bleue, etc…)


Mise à jour : Une analyse est disponible chez K-Otik.


Sources :
Internet Storm Center
Cnet News.com
SecurityFocus
F-Secure

Spyware or not spyware ?

C’est, il me semble, une affaire déjà connue, mais qui mérite un petit rappel…

Il semblerait que certains CD musicaux installent, de manière totalement silencieuse, un logiciel de vérification de Droits Numériques lorsque qu’on les insère dans un PC.


C’est un procédé regrettable qui n’est pas sans rappeler les installations sauvages de spywares et autres dialers et qui n’incite pas à acheter des CDs…


Evidemment, la solution est simple : interdire l’autorun des CDs, soit de manière permanente à l’aide de TweakUI, soit à l’insertion du CD en maintenant la touche [Shift] enfoncée.


Source : SecurityFocus

Papier peint de sécurité pour réseau WiFi

Afin de protéger le périmètre physique des réseaux WiFi, une société Anglaise, BAE Systems, a développé un revêtement (épaisseur : 50 à 100 microns) filtrant les fréquences utilisées par le WiFi tout en étant perméable à celles de la radio et des téléphones portables.

Cette innovation existe en 2 déclinaisons : actives et… passives. L’actif peut être activé ou désactivé à volonté, tandis que le passif fourni un filtrage permanent. Toutes les surfaces peuvent être filtrées, y compris les fenêtres et autres baies vitrées.


Le fabricant annonce que son produit est économique… sans préciser ni prix, ni disponibilité de cette invention.


En tout cas, un produit innovant et prometteur !


Source : Silicon.com

Sabotage chez Noos

Les services de télévision et d’Internet du câblo-opérateur Noos ont été très perturbés voire interrompus jeudi soir dans les 6ème, 7ème, 9ème, 10ème, 13ème, 15ème, 18ème et 19ème arrondissements de Paris suite à plusieurs coupures de fibre optique. Sur 4 incidents, l’un d’entre eux semble tout le même lié aux travaux du Tramway alors que les 3 autres semblent être des actes de sabotage volontaire. Ce sont en fait des gaines de fibres optiques qui ont été coupées. (Lire l’article)

Serait-ce lié à la campagne anti-piratage du même opérateur ?