Post Populaire

  • Source Blackshades RAT
    Source Blackshades RAT Le code source de Blackshades Fusion RAT a fuité sur le net et se retrouve en téléchargement libre. Ce RAT de ty...
  • Géo-localiser vos Contacts
    Géo-localiser vos Contacts Aujourd’hui nous allons voir comment géolocaliser les adresses d’une liste de contacts et les projeter sur un...
  • Meziamus.com ou le forum de l'arnaque !
    Nous savions tous déjà que ce forum administrer par Méziane Allali dit "Méziamus" n'a été créer que dans un seul but, pi...
  • Tuto jbonblanc
    Jbonblanc c'est quoi ? C'est un logiciel qui vous permet d'envoyer des mails par un serveur smtp. Un serveur smtp c'est ...
  • Temps de chargement de votre blog
    Visualiser le temps de chargement de votre blog - Pingdom Tools Google prend en compte le temps de chargement de votre site web comme gage...
  • Cracker mot de passe pour macro VBA Excel
    Comment ouvrir une macro VBA Excel protegee par un mot de passe Sebdelkil vous présenter un petit "tuto" de "dessous les fag...
  • Mail-bombing
    Voici une petite collection de bomber sélectionner par SEBDELKIL,  certain sont vieux d'autres pas très efficace, d'autres très bo...
  • Listing d'adresse mail
    Listing d'adresse mail Voila un type de listing de 10 000 adresse mail, j'ai dégoter cette mail-liste employer par des spam...
  • Clé d'activation TuneUp Utilities 2014
    Clé d'activation TuneUp Utilities 2014 Ce logiciel est reconnu meilleur logiciel de l'année 2013 a titre d'optimisation...

Attaques sur les utilisateurs de Mac


Attaques sur les utilisateurs de Mac
Voici dans la série "je ne pirate pas que du Windows"des pirates qui on taper fort!
Une série d'attaques ciblées sur les ONG au Tibet, les assaillants visent non seulement des systèmes Windows, mais aussi Mac. Les pirates ont envoyé des emails à des ONG contenant soit des fichiers Office contaminés ou des liens vers un site web malveillant.

Certains des fichiers Office pourraient infecter Mac en exploitant une faille de sécurité dans Office pour Mac. Cette vulnérabilité a été corrigée il y a trois ans mais ne peut bien sûr être efficace que si le patch est bien installé.
Les liens dans les emails ciblent des pages qui contiennent un exploit Java qui a profité d'un "gap" (CVE-2011-3544) qui a été corrigé en Novembre dernier.

La particularité de cette attaque est qu'elle utilise un dropper* sur le site web qui pourrait infecter à la fois Windows et Mac (en supposant qu'un système de mise à jour de Java n'a pas été installé). Selon le système d'exploitation qui a été utilisé pour charger la page (détecté en analysant le useragent), un malware approprié a été sélectionné qui ouvrirait une backdoor dans le système pour les pirates.


Lors de l'installation sur un système Windows, le malware déployé était une variante de Gh0st RAT (un trojan d'accès à distance). Sur Mac par contre, c'était un nouveau malware nommé OSX / Lamadai.A qui a été utilisé. Eset a analysé ce malware et a constaté qu'il se copiait dans /Library/Audio/Plug-Ins/AudioServer qui, pour les utilisateurs sous OS X 10.7.2 semble signifier qu'il n'est pas persistant. Une fois installé, il tente d'appeler un serveur C&C avec une connexion chiffrée. Eset a observé qu'un pirate s'est connecté sur une de leur machine de test pour parcourir le système de fichier et récupérer le fichier keychain (gestionnaire de mots de passe sous Mac) et les cookies de Safari. La vulnérabilité dans le système Mac Java a été patché dans Java pour Mac OS X 10.7 Update 1 et la 10.6 en Novembre 2011. Pensez donc à vous maintenir à jour.


Droper*
Parasite chargé d'introduire, décompresser et installer un autre parasite.
Forme minimaliste de trojan juste chargée d'introduire, décompresser et installer une malveillance. Forme typique de l'installation d'un virus. Peut même s'autodétruire une fois sa tâche accomplie. Il existe une quantité incroyable de droppers, plusieurs milliers probablement, chacun étant une déclinaison de quelques matrices de droppers.
Le problème est triple :
  • Le fait que le dropper soit présent sur une machine signifie qu'elle a été pénétrée. Il y a donc une faille de sécurité à chercher.
  • Le dropper en lui-même qui est une malveillance à éradiquer
  • La ou les malveillances qu'il a pu installer. Il convient de scanner intégralement la machine ou le réseau.

Rechercher dans ce blog

Nombre d'articles

Hé bein ... déjà 871 articles publiés sur le site sebdelkil...

Fouiller dedans...

Un Nuage en Flash par Le Blogger

Formulaire de contact

Nom

E-mail *

Message *

/* Contains the "Load More Posts" functionality */ jQuery( document ).ready( function( $ ) { var next_page = parseInt( ronalfy_load_more.current_page ) + 1; var max_pages = parseInt( ronalfy_load_more.max_pages ); if ( next_page <= max_pages ) { $navi = $( '#content .paging-navigation' ); $navi .html( '
' +'' ); } else{ console.log(next_page+';'+max_pages) } var mt_ajax_load_posts = function() { //Begin Ajax data = { action: 'load_posts', next_page: next_page }; if( typeof $globalcat != 'undefined' ){ data.cat = $globalcat; } $.post( ronalfy_load_more.ajaxurl, data, function( response ) { next_page = response.next_page; max_pages = response.max_pages; //Append the HTML var html = $.parseHTML( response.html ); //html = $( html ).filter( '.type-post' ); //console.log('dodajemo gore'); $('#content section.post-item:last').after(html); //If the next page exceeds the number of pages available, get rid of the navigation if ( next_page > max_pages ) { $( '.paging-navigation' ).html( '' ); } //Fade out loading img and fade in loading text $( '.load_more' ).html('Load More'); }, 'json' ); }; //Clicking the load more button $( '.paging-navigation' ).on( 'click', '.load_more', function( e ) { e.preventDefault(); $( '.load_more' ).html('Loading...'); mt_ajax_load_posts(); } ); } );

- sebdelkil 2009-2015 - Aucun droit réservé -