Le malware Nymaim s’attaque aux institutions financières du Brésil

Après avoir contaminé l’Europe et l’Amérique du Nord en 2013, le malware Nymaim refait surface 3 ans plus tard et se propage désormais via une campagne de spearphising intensive, en utilisant comme pièce jointe un document Microsoft Word infecté

En 2013, lors de la découverte de la souche originale de Nymaim  notamment avec ses techniques de code modulaire (chaîne d’abattage et d’évasion), on avait remarqué que plus de 2,8 millions d’infections s’étaient propagées. Au premier semestre de 2016, ESET a de nouveau observé une augmentation significative de détections du malware Nymaim.

Infectant principalement la Pologne (54%), l’Allemagne (16%) et les Etats-Unis (12%), cette mutation du malware Nymaim a été détectée comme appartenant à la catégorie Win32/TrojanDownloader.Nymaim.BA. Elle utilise le spearphishing et une pièce jointe (type Word.doc) contenant une macro malveillante. Utilisée pour contourner les paramètres de sécurité par défaut de Microsoft Word via les techniques d’ingénierie sociale, l’approche est très dangereuse dans les versions anglaises de MS Word.

« Grâce à des techniques d’évasion sophistiquées, l’anti-VM, l’anti-débogage et les flux de contrôle, cette fusée à deux étages sert à livrer le ransomware comme charge utile finale. Ce code que l’on peut nommer « Trojan modulaire » est impressionnant par sa capacité à voler les informations d’authentification de sites de banque électroniques dans les formulaires typiques en contournant la protection SSL. Ce code malveillant a évolué afin de fournir des logiciels espions », explique Cassius de Oliveira Puodzius, Security Researcher chez ESET en Amérique Latine.

En avril 2016, la version précitée a été rejointe par une variante hybride de Nymaim (Gozi) qui avait pour cible les institutions financières d’Amérique du Nord, mais également d'Amérique latine et principalement du Brésil. Cette variante permet aux cybercriminels de contrôler à distance des ordinateurs infectés plutôt que de chiffrer les fichiers ou de bloquer la machine - comme c'est généralement le cas. En raison des similitudes entre les cibles visées dans chaque pays et les taux de détection, nous pouvons affirmer que les institutions financières restent au centre de cette campagne.

« L’étude complète de cette menace est toujours en cours. Toutefois, si vous pensez que votre ordinateur ou votre réseau a été compromis, nous vous recommandons de vérifier que les adresses IP et les URL que nous avons partagées dans l’article complet de WeLiveSecurity ne se trouvent pas dans votre pare-feu et dans le journal de votre proxy. Nous vous conseillons d'installer une stratégie de prévention en ajoutant une liste noire des des adresses IP contactées par ce malware au pare-feu et les URL à un proxy, aussi longtemps que votre réseau prendra en charge ce type de filtrage », conclut Cassius de Oliveira Puodzius.

Software AG biedt webMethods 180 dagen gratis aan

Proefversie bevat Hybrid Integration en BPMS; ook Apama Streaming Analytics gratis te downloaden Software AG stelt een gratis proefversie beschikbaar van het webMethods-platform, bestaande uit voorzieningen voor Hybrid Integration en Business Process Management. Met Hybrid Integration kunnen toepassingen op het gebied van cloud, mobiel, big data en IoT met elkaar worden verbonden. De Business Process Management Suite (BPMS) biedt de mogelijkheid om snel procesgedreven applicaties te ontwikkelen voor zakelijke flexibiliteit. De proefversie van webMethods is 180 dagen geldig en bevat ook het gepatenteerde CloudStreams, waardoor ontwikkelaars hun cloudapplicaties kunnen integreren. Daarnaast zijn de webMethods B2B-gateway en de Managed File Transfer (MFT) opgenomen in de proefversie.   De proefversie van webMethods BPMS bevat alle mogelijkheden voor het samenstellen, beheren en monitoren van flexibele zakelijke applicaties – of ze nu procesgestuurd of taakgestuurd zijn, of gebouwd als case management-applicatie. De moderne mogelijkheden voor applicatieontwikkeling resulteren in intuïtieve gebruikersinterfaces voor een betere klanttevredenheid en hoge betrokkenheid van de gebruiker.   De proeflicentie is beschikbaar via de Software AG TECHcommunity. Het webMethods team deelt hier best-practises, FAQ’s en tips, maar ook advies hoe uiteenlopende zakelijke problemen kunnen worden opgelost en het optimale uit het webMethods-portolio kan worden gehaald. Partijen die gebruik maken van de proefversie krijgen ook direct toegang tot deze rijke bron aan kennis en ervaring. “Ons webMethods-platform is een complete integratieoplossing die een netwerk creëert van apps, data en devices – zowel on-premises als in de cloud. Dankzij de nieuwste versie van het webMethods-platform kunnen onze klanten gebruikmaken van API-gebaseerde connectiviteit en DevOps. Met deze gratis proefversie helpen we IT-professionals te ontdekken hoe hun bedrijf hiervan kan profiteren”, aldus Fabrice Van de Putte, verantwoordelijke Software AG Belux. Apama Community Edition webMethods is niet de enige software die Software AG gratis aanbiedt. De nieuwe Apama Community Edition van Software AG is een gratis versie van het Apama Streaming Analytics-platform. Hiermee kunnen ontwikkelaars streaming analytics-applicaties bouwen en deze applicaties in productie nemen, voor real-time analyse van big data. “Mede door de opkomst van het Internet of Things zien we een toenemende relevantie van en behoefte aan streaming analytics”, zegt Van de Putte. “Onze klanten zetten Apama in om gegevens in beweging te analyseren, daarin patronen te herkennen en tijdig actie te nemen om kansen te grijpen en risico’s te vermijden. Denk daarbij aan logistieke coördinatie, preventief onderhoud van machines en infrastructuur, en gepersonaliseerde klantbediening.” Apama Community Edition bevat de meeste functionaliteiten en mogelijkheden van de premium-versie en maakt het voor ontwikkelaars mogelijk om kleinschalige projecten te draaien. De gratis proefversie van webMethods is beschikbaar in de download-sectie van TECHcommunity. De gratis proefversie van Apama is beschikbaar op www.apamacommunity.com.

Over Software AG Software AG helpt bedrijven en overheidsinstellingen bij het innoveren en differentiëren in de digitale wereld. Software AG en haar partners digitaliseren, integreren en optimaliseren bestaande on-premise en cloud-applicaties efficiënt en effectief. Het Digital Business Platform van Software AG is gebaseerd op open standaarden. De combinatie van procesmanagement, data- en applicatie-integratie, real-time analytics en enterprise architectuur management in één platform stelt klanten in staat de operationele efficiëntie te vergroten, hun systemen te moderniseren en bedrijfsprocessen te optimaliseren voor een betere besluitvorming. Software AG bouwt voort op 45 jaar klantgerichte innovatie en is leider in veel innovatieve marktcategorieën volgens toonaangevende IT-analisten. Ruim 4.300 medewerkers zijn werkzaam bij Software AG in 70 landen. In 2015 bedroeg de omzet 873 miljoen euro. Kijk voor meer informatie op www.softwareAG.com

Were you planning on downloading the Pokémon GO APK? Beware fake versions!

By Sabrina Pagnotta

Since 2015, thousands of aspiring Pokémon trainers have been waiting for the release of Pokémon GO, the augmented reality game that will allow players to catch hidden Pokémon’s in the real world and conquer “gyms” through the internet, traveling both physically as well as within the app itself.

For the first time, we will be able to experience what it feels like to walk through a meadow and meet a Nidoran, or find a Gengar in a cemetery, or spot a Magneton near a modern building, all of them in the wild and waiting to be caught and trained.

Niantic Inc., the game’s developer, with the support of Nintendo and The Pokémon Company, has so far only made it freely available to users in the US, Australia and New Zealand. The rest of the world will unfortunately have to wait for a global release date, which is expected to be sooner rather than later.

However, this hasn’t stopped fans of Pokémon from getting access to the game. Many have resorted to downloading the Pokémon GO APK from a link available via online forums and Facebook groups.

This is problematic. As excited as you may be in getting your hand on the game early, bypassing traditional routes is not without its shortcomings. You have to always remember that downloading apps from nonofficial repositories – such as Google Play and the App Store – entails security risks.

This game is no exception, as Proofpoint researchers recently revealed. In a company blog, they explained that they have discovered modified versions of the app that installs malware in order to spy on users and the content of their devices: “This specific APK was modified to include the malicious remote access tool (RAT) called DroidJack (also known as SandroRAT), which would virtually give an attacker full control over a victim’s phone.”

This malicious Pokémon GO APK is detected by ESET as a variant of Android/Spy.Kasandra.B.

The danger of following any piece of advice

You were probably surprised, just like us, to hear that many well-known and trusted media outlets have recommended evading the security provided by official stores by enabling application downloads from unknown sources and downloading the APK from third parties. This is not the kind of advice that a security expert would give.

Regardless of who the developer is, it is important to highlight that downloads from external sources are never a good idea because the apps have not go through the usual security controls.

These apps are often modified to include malware or remote access tools that allow anyone with malicious intentions to gain control over a victim’s device.

Cybercriminals will certainly take advantage of gamers who simply can’t wait to download the official Pokémon GO app in their region, and will hide their threats in apparently harmless archives.

Don’t fall into this trap. Instead, we recommend you wait for the official game to launch in your country. It’ll be hard, but it’s the safer option.

Meanwhile, keep your security software on your mobile device always updated; read reviews from people who have already installed the application you’re about to download; and pay careful attention to the permissions requested during installation.

Don’t forget – physical and digital – security

With regard to digital security, as stated above, always choose official sources and read the terms and privacy policies before installing the application. The game will try to collect different kinds of data from gamers, such as their Google account information, their GPS location and travel histories, as well their email addresses.

The often-collapsed servers (with only three countries playing officially) show how massive the Pokémon GO app will be when it starts to expand. The game has already captured the imagination of those who have started to play it.

Many are transfixed, walking down the street with eyes fixed on their screens as they look for Pokémon’s, trespassing, standing in front of churches, police stations, hospitals or private homes where they have found something interesting.

Naturally, you should make sure not to walk into dangerous places, not to have your smartphone stolen, and to always carry a portable charger – this app consumes quite a lot of battery!

Such is the concern over gamers, that a police force in northern Australia has issued a warning:

For those budding Pokemon Trainers out there using Pokemon Go - whilst the Darwin Police Station may feature as a Pokestop, please be advised that you don't actually have to step inside in order to gain the pokeballs.
It's also a good idea to look up, away from your phone and both ways before crossing the street. That Sandshrew isn't going anywhere fast.
Stay safe and catch 'em all!

http://www.welivesecurity.com/2016/07/13/planning-download-pokemon-go-apk-watch-fake-versions/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29

Eset identifie un malware "voleur de mots de passe" sous Mac OS X

Eset vient de découvrir un malware dont l'ambition est de voler les identifiants sur Mac OS X. 

Dénommé "Keydnap", ce malware cible Mac OS X et peut exfiltrer les mots de passe et les clés stockés dans le gestionnaire de mots de passe de l'OS (KeyChain) et créer ainsi une porte dérobée permanente. "Nous pensons qu’il pourrait se propager par des pièces jointes contenues dans les spams, des téléchargements à partir de sites non sécurisés ou d'autres vecteurs" expliquent les spécialistes d'Eset.

Le code malveillant Keydnap est distribué sous forme de fichier .zip avec un fichier exécutable qui imite l'icône Finder généralement appliqué aux fichiers texte ou JPEG. Ainsi, la probabilité que le destinataire double-clique sur le fichier augmente. Une fois démarré, une fenêtre de terminal s’ouvre et la fichier de malware est exécutée.

Le malware commence alors la collecte et l’exfiltration des informations de base qui figurent sur le Mac. Il obtient même les privilèges administratifs lorsqu’il ouvre la fenêtre dédiée d’OS X. Si la victime saisit ses identifiants, la porte dérobée fonctionne alors comme un root, avec le contenu exfiltré du porte-clés de la victime. "Bien qu'il existe des mécanismes de sécurité multiples en place au sein d’OS X pour réduire l’impact des logiciels malveillants, il est possible de tromper l'utilisateur" explique Marc-Etienne Léveillé, Malware Researcher chez ESET.

Ce dernier conseille aux utilisateurs d'OS X de rester vigilants car pour le moment l'entreprise ne sait toujours pas comment Keydnap est distribué, ni combien de victimes ont été touchées.