Depuis le 24 juin, il y a des modifications et mises à jour à apporter à votre système s'il est dans cette liste en commentaires :
Subscribe to Eclypsium’s Threat Report
BIOS Disconnect – Vendor Update Tools Pose Significant Risks to the Integrity of Dell Devices
Join Eclypsium’s John Loucaides for a webinar on June 30th discussing the risks these vulnerabilities pose to enterprise security and steps for mitigation.
INTRODUCTION
Eclypsium researchers have identified multiple vulnerabilities affecting the BIOSConnect feature within Dell Client BIOS. This chain of vulnerabilities has a cumulative CVSS score of 8.3 (High) because it allows a privileged network adversary to impersonate Dell.com and gain arbitrary code execution at the BIOS/UEFI level of the affected device. Such an attack would enable adversaries to control the device’s boot process and subvert the operating system and higher-layer security controls. The issue affects 129 Dell models of consumer and business laptops, desktops, and tablets, including devices protected by Secure Boot and Dell Secured-core PCs.
The Eclypsium team has coordinated with Dell PSIRT throughout the disclosure process. Dell has issued a Dell Security Advisory and is scheduling BIOS/UEFI updates for affected systems and updates to affected executables from Dell.com. Please reference the Mitigations section for the latest information on how to protect affected devices.
These vulnerabilities enable an attacker to remotely execute code in the pre-boot environment. Such code may alter the initial state of an operating system, violating common assumptions on the hardware/firmware layers and breaking OS-level security controls. As attackers increasingly shift their focus to vendor supply chains and system firmware, it is more important than ever that organizations have independent visibility and control over the integrity of their devices.
Editors Note: After the publication of this blog post, Dell notified Eclypsium that the number of models impacted was 129 rather than 128 and that updates for all platforms are available as of June 24, 2021. The blog post has been revised accordingly.
BACKGROUND
Dell SupportAssist is an overarching support solution that comes preinstalled on most Windows-based Dell machines. SupportAssist covers a range of support functions such as monitoring for hardware and software problems and assisting with troubleshooting and recovery when issues are found.
BIOSConnect is a feature of SupportAssist that allows users to perform a remote OS recovery or update the firmware on the device. In either case (firmware update or OS recovery), BIOSConnect enables the system’s BIOS to reach out to Dell backend services over the Internet and then coordinate the update or recovery process. Dell describes BIOSConnect as follows:
“BIOSConnect provides a foundation platform allowing BIOS to connect to a Dell HTTPs backend and load an image via https method. This foundation expands the Serviceability feature set to enhance the on-box reliability experience by adding cloud-based Service OS (SOS) support.
BIOSConnect feature offers network-based SOS boot recovery capability by performing HTTP(s) download from the cloud to a local RAMDisk and transfers control to the downloaded Service OS image to perform the necessary corrective action. This enables the user to recover when the local HDD image is corrupted, replaced, or absent.”
The details vary between the firmware update and OS recovery processes, but the high-level operation is the same — BIOSConnect connects to Dell’s update infrastructure, and Dell delivers content needed to update or recover some of the most sensitive code on the device.
VULNERABILITY OVERVIEW AND ATTACK SCENARIO
Our research has identified a series of four vulnerabilities that would enable a privileged network attacker to gain arbitrary code execution within the BIOS of vulnerable machines. The vulnerabilities were originally discovered on a Dell Secured-core PC Latitude 5310 using Secure Boot, and we later confirmed the issue on other models of desktops and laptops.
- Insecure TLS Connection from BIOS to Dell – CVE-2021-21571. When attempting to connect to the backend Dell HTTP server, the TLS connection from BIOSConnect will accept any valid wildcard certificate. This allows an attacker with a privileged network position to impersonate Dell and deliver attacker-controlled content back to the victim device.
The process of verifying the certificate for dell.com is done by first retrieving the DNS record from the hard-coded server 8.8.8.8 (Google) then establishing a connection to https://downloads.dell.com. However, any valid wildcard certificate issued by any of the built-in CA’s contained within the BIOSConnect feature in BIOS will satisfy the secure connection condition, and BIOSConnect will proceed to retrieve the relevant files. The bundle of CA root certificates in the BIOS image was sourced from Mozilla’s root certificate file (certdata.txt)
When UEFI Secure Boot is disabled, this vulnerability can be used to gain arbitrary remote code execution in the UEFI/pre-boot environment on the client device without needing to take advantage of the additional buffer overflow vulnerabilities.
- Vulnerable HTTPS Boot configurations – Some HTTPS Boot configurations may also be exploitable due to using the same underlying verification code. When configuring HTTPS Boot, the user is required to provision a Certificate Authority (CA) certificate, which is intended to be used to verify connections to the remote boot server before allowing the HTTP Boot process to proceed. However, when this verification is performed, any valid certificate for any domain acquired from the same CA will be accepted, not just those for the configured remote boot server. Due to this limitation, CAs that issue certificates broadly (commercial, non-profit, cloud, web hosting etc.) should not be used for this role.
- Overflow Vulnerabilities Enabling Arbitrary Code Execution – With the ability to impersonate Dell, the attacker can deliver malicious content back to the victim machine. Through subsequent analysis, we have identified three overflow vulnerabilities. Two of these vulnerabilities affect the OS recovery process, while the other affects the firmware update process. All three vulnerabilities are independent, and each one could lead to arbitrary code execution in BIOS. Eclypsium will release additional detailed analyses of each vulnerability at DEFCON.
As noted above, an attack scenario would require an attacker to be able to redirect the victim’s traffic, such as via a Machine-in-the-Middle (MITM) attack. However, the virtually unlimited control over a device that this attack can provide makes it worth the effort by the attacker.
First, recent attacks have highlighted the great length that attackers will go to in order to compromise a vendor’s supply chain and support infrastructure. Machine-in-the-Middle attacks are a relatively low bar to sophisticated attackers, with techniques such as ARP spoofing and DNS cache poisoning being well-known and easily automated. Additionally, enterprise VPNs and other network devices have become a top target of attackers, and flawsin these devices can allow attackers to redirect traffic. And finally, end-users working from home are increasingly reliant on SOHO networking gear. Vulnerabilities are quite common in these types of consumer-grade networking devices and have been exploited in widespread campaigns.
Successfully compromising the BIOS of a device would give an attacker a high degree of control over a device. The attacker could control the process of loading the host operating system and disable protections in order to remain undetected. This would allow an attacker to establish ongoing persistence while controlling the highest privileges on the device.
SCOPE
The problem affects 129 different models of Dell laptops, tablets, and desktops, and at least 30 million individual devices. As described earlier, the issue has been found on Secured-core PCs even if Secure Boot is enabled.
Please see Dell’s advisory for the full list of affected models.
MITIGATIONS
The system BIOS/UEFI will need to be updated for all affected systems. However, we recommend that users not use BIOSConnect to perform this firmware update. Instead, it is advisable to run the BIOS update executable from the OS after manually checking the hashes against those published by Dell.
Dell will be updating the affected executables delivered during the BIOSConnect firmware update and OS recovery processes. According to Dell, two of the vulnerabilities have been remediated on the server side, with additional updates coming in July. We will update this blog as they become available.
Note: According to Dell, all vulnerabilities have been remediated effective June 24, 2021.
Dell has posted an advisory and provided the following recommended mitigations and workarounds:
“Affected Products and Remediation
CVE-2021-21573, CVE-2021-21574 were remediated on the server side on May 28, 2021 and require no additional customer action.
CVE-2021-21571, CVE-2021-21572 require Dell Client BIOS updates to address the vulnerabilities. Refer to the table under the Additional Information section to determine the version of the remediated Dell Client BIOS to apply to your system. There are multiple ways to update your Dell Client BIOS. If you typically use BIOSConnect to update your BIOS, Dell recommends using a different method to apply the BIOS updates, such as:
- Using one of the Dell notification solutions to be notified and download BIOS updates automatically once available.
- Visiting the Drivers and Downloads site for updates on the applicable products. To learn more, visit the Dell Knowledge Base article Dell BIOS Updates, and download the update for your Dell computer.
- Flashing the BIOS from the F12 One-Time Boot Menu.
For those that cannot apply BIOS updates immediately, Dell has also provided an interim mitigation to disable the BIOSConnect and HTTPS Boot features. See section below.
Workaround and Mitigations
Dell recommends all customers update to the latest Dell Client BIOS version at the earliest opportunity. Customers who choose not to apply BIOS updates immediately or who are otherwise unable to do so at this time should apply the below mitigation.
BIOSConnect:
Customers may disable the BIOSConnect feature using one of two options:
Option 1: Customers may disable BIOSConnect from the BIOS setup page (F2).
Note: Customers may find the BIOSConnect option under different BIOS setup menu interfaces depending on their platform model. These are referred below as BIOS Setup Menu Type A and BIOS Setup Menu Type B.
BIOS Setup Menu Type A: F2-> Update,Recovery -> BIOSConnect -> Switch to Off
BIOS Setup Menu Type B: F2 -> Settings -> SupportAssist System Resolution -> BIOSConnect -> Uncheck BIOSConnect option
Note: Dell recommends customers not to run “BIOS Flash Update – Remote” from F12 until the system is updated with a remediated version of the BIOS.
Option 2: Customers may leverage Dell Command | Configure (DCC)’s Remote System Management tool to disable the BIOSConnect and Firmware Over the Air (FOTA) BIOS settings.
HTTPS Boot
Customers may disable the HTTPS Boot feature using one of two options:
Option 1: Customers may disable BIOSConnect from the BIOS setup page (F2).
F2-> Connection -> HTTP(s) Boot -> Switch to Off
BIOS Setup Menu Type B: F2 -> Settings -> SupportAssist System Resolution -> BIOSConnect -> Uncheck BIOSConnect option
Option 2: Customers may leverage Dell Command | Configure (DCC)’s Remote System Management tool to disable HTTP Boot Support.
The Eclypsium platform has functionality to detect these vulnerabilities, allowing organizations to quickly and easily discover all affected devices in their environments. Additionally, Eclypsium can assist with the firmware update process to ensure that all firmware updates are valid.
CONCLUSION
Technology vendors of all types are increasingly implementing over-the-air update processes to make it as easy as possible for their customers to keep their firmware up to date and recover from system failures. And while this is a valuable option, any vulnerabilities in these processes, such as those we’ve seen here in Dell’s BIOSConnect can have serious consequences. The specific vulnerabilities covered here allow an attacker to remotely exploit the UEFI firmware of a host and gain control over the most privileged code on the device. This combination of remote exploitability and high privileges will likely make remote update functionality an alluring target for attackers in the future, and organizations should make sure to monitor and update their devices accordingly.
We will continue to update this blog with additional detailed analysis from the Eclypsium team and updates from Dell as they become available.
Ransomware et santé, fin de la trêve !
Santé, retour de Cl0p et de Lockbit, des dizaines d’entreprises francophones impactées par des prises d’otages numériques. Ca ne se calme pas dans le ransomware !
Les semaines se suivent et ne se ressemblent pas dans le monde des ransomwares… enfin presque. Il y a quelques semaines, la communication « Pandémie » touchait aussi les malveillants 2.0. Plusieurs groupes pirates, la main sur le cœur et la souris, annonçaient ne plus vouloir s’attaquer au monde de la santé. Autant dire que ce type d’annonce n’avait aucun sens, les pirates n’ayant qu’un seul but, faire chanter le plus d’entreprise possible.
Une trêve qui n’a jamais eu lieu, à l’image des attaques lancées par les sbires utilisateurs de Sodinokibi, Conti et compagnie.
Parmi les nouvelles victimes « officielles » santé de Sodinokibi : l’américain University Medical Center of Southern Nevada ou encore le brésilien Vic Pharma. La tendance est d’autant plus inquiétante que ces terroristes du numérique ont diffusé des dizaines de pièces d’identités (passeport, carte d’assurée, …)
De nouvelles victimes du groupe Cl0p !
Cl0p is back !
Mais qui se cache derrière le site du groupe Cl0p. Comme je vous le montrais début juin, la police ukrainienne arrêtait six individus présumés être des membres du groupe Cl0p. Des voitures de luxe et des dizaines de milliers de dollars en liquide saisis.
Etonnement, le site des pirates n’était pas fermé par la police. Une semaine plus tard, je vous révélais comment le blog du groupe Clop revenait à la vie avec la diffusion de données appartenant à l’architecte KSS Architects LLP. 15 jours plus tard, voici une nouvelle victime. Elle est apparue à la veille du mois de juillet.
Plusieurs possibilités à cette « renaissance ». Soit le vrai administrateur est toujours dans la nature ; soit un « partenaire » continue le business du groupe cl0p ; soit l’ensemble est automatisé et il s’agit de « vieilles » attaques qui apparaissent selon un compte à rebours précis.
Dans tous les cas, très déplaisant pour les personnes dont les données fuitent.
Conti, le parrain 2.0
Autre salle, même ambiance, le groupe CONTI devenu le « parrain » de ce monde du ransomware.
Plus de 400 victimes et une vague de cibles francophones en quelques jours.
D’abord, du côté de la santé, l’italien Pluripharma.
Ensuite, en France, Voltalia, Cerfrance, Groupe Traon, Maître Prunille, Groupe ISERBA, BRANGEON Groupe, Forum Du Batiment, DirickX, Stam.
Certaines entreprises infiltrées ont vu l’intégralité de leurs données exfiltrées diffusées.
Certaines autres entreprises se retrouvent malmenées depuis début juin. Par exemple, Stam se serait fait voler plus de 600GB. 50% des contenus internes ont été diffusés dans des espaces pirates.
Et des entreprises françaises, je ne cesse d’en recenser à l’image de la collecte pirate signée par les pirates du groupe Everest. En cinq jours, neuf victimes : CONFIANCE IMMOBILIER ; XEFI ; Alltech France ; ASSURANCES ET COURTAGES LYONNAIS; Always Group ; Epsilon Hydraulique ; Lamaziere ; Assurcopro ou encore un important cabinet d’avocats.
Ici aussi le monde de la santé est visé. J’ai pu constater des dossiers baptisés « Centre Hospitalier de Lens », « CH d’Arras », « CH Beziers » et plusieurs dizaines d’autres centre hospitaliers, cliniques, maternités et polycliniques. Des informations tirées d’un disque dur appartenant à un courtier en immobilier.
Les dossiers ne contiennent pas de données de santé et de patients mais… des centaines d’identités de médecins, les services pour qui ils officient, téléphones, lieux d’exercices et des commentaires sur ces praticiens « BIENTOT EN RETRAITE, PLUS ENVIE D’INVESTIR« .
Les pirates de Vice ont diffusé toutes les données de Filogo !
Et encore des nouveaux
Après la disparition de groupes tels que Netwalker, Egregor, Babuk (dont le code source a été diffusé il y a quelques jours) LockBit, les « petites » bandes de rançonneurs ont pris les places laissées vacantes. A noter que pour LockBit, la version 2 vient de voir le jour. Les pirates vont jusqu’à comparer leur ransomware aux concurrents. Quand je vous dis que le marketing de la malveillance coule dans leur sang !
Les pirates de LV se sont scindés en trois crew. Ils affichent une cinquantaine de victime dont plusieurs français : Demarne frères, Alma SAS, Reorev, …
Les pirates de Vice society, fraichement sortis des coins sombres 2.0 en cette fin juin, affichent 10 victimes en 24 heures dont le distributeur de carburant canadien Filogo.
Autre Canadien, la société Altus Group prise en otage par les pirates de chez Hive. « Le 13 juin 2021, le Groupe Altus a déterminé qu’il avait subi un incident de cybersécurité ayant eu un impact sur certains de ses systèmes. Nous avons pris des mesures immédiates, nous informons les autorités compétentes et nous avons fait appel à des experts en cybersécurité qui nous aident à approfondir l’enquête » alerte l’entreprise le 13 juin.
« Depuis l’identification de l’incident, notre équipe informatique, en collaboration avec nos experts en cybersécurité, s’efforce d’identifier quelles données ou informations, le cas échéant, ont été compromises par l’incident. Sur la base du travail effectué, il apparaît qu’une très petite fraction des données de la société a été cryptée. » souligne-t-elle le 15 juin.
« Le Groupe Altus a retenu les services d’une société spécialisée afin d’engager le dialogue avec la partie responsable de l’incident de ransomware. Cette partie a menacé nos systèmes de back-office à moins qu’elle ne reçoive une rémunération. Après avoir consulté des experts et des conseillers en cybersécurité, afin de protéger au mieux les intérêts de nos clients et de nos employés, nous avons coopéré avec la partie. » confirme Altus le 28 juin.
ZATAZ peut indiquer à cette société que les pirates ont diffusé des données volées, et que certaines ont été vendues. A noter que les pirates parlent d’une prise d’otage datant du 23 juin.
La justice pour empêcher la diffusion des données
En Irlande, les autorités traitent le problème de ransomware de son service de santé d’une manière très personnelle.
Le Health Service Executive (HSE) s’est retrouvé bloqué, il y a quelques jours, à la suite d’une cyberattaque. Dans un communiqué, le gouvernement irlandais a déclaré qu’un outil de déchiffrement avait été mis à disposition « qui pourrait soutenir le travail en cours pour réparer l’impact de la cyberattaque sur les systèmes informatiques du HSE« . Une clé qui n’aurait pas été payée.
Bref, soit les dernières arrestations dans le petit monde des ransomwares a permis de récupérer des clés. Soit un pirate a voulu être « gentil » comme le vendeur des données de Pôle Emploi.
Selon les informations de ZATAZ, les pirates du groupe CONTI sont derrière cette prise d’otage. Ces marketeurs de la malveillance ont proposé une clé « exemple » pour prouver leur implication, comme ils le font presque à chaque prise d’otage.
Pendant ce temps, le HSE a également obtenu une injonction de la Haute Cour de Dublin empêchant le partage et la publication des données volées sur les réseaux sociaux. Il est interdit à quiconque de partager, traiter, vendre ou publier les données volées par les pirates. Les pirates ont réclamé 20 millions de dollars. Conti affirme avoir volé 700 Go de données au HSE, notamment des dossiers de patients, des informations sur les salaires, des relevés bancaires et des documents commerciaux.
Bref, comme expliqué en intro, la trêve est largement terminée !
Windows 11 : l'obsolescence programmée toujours de rigueur !
lundi 28 juin 2021
La configuration requise pour l’installation du nouveau système d’exploitation de Microsoft s'avère exigeante et risque de laisser des machines vieilles de 3 ou 4 ans sur le carreau. Alors que Microsoft indiquait à l'origine que Windows 11 ne serait installable que sur les machines équipées de processeurs Intel et AMD récents, et uniquement pour les machines dotées du standard de sécurité cryptographique TPM 2.0 (Trusted Platform Module), la situation a en effet évolué.
A l'origine, Microsoft avait publié une liste de configurations possibles (Hard floor et Soft floor) qui laissaient entendre que les machines plus modestes pourraient être éligibles. Mais ces informations ont été supprimées pour revenir à la configuration minimale de départ. Pour les utilisateurs sous Intel, il faudra donc impérativement posséder une puce de 8e génération ou supérieure. Pour les utilisateurs sous AMD, Windows 11 fonctionnera sur les puces Ryzen 2000 et supérieures ainsi que sur les processeurs EPYC de deuxième génération ou plus.
Au final, les possesseurs d'une machine haut de gamme achetée il y 4 ou 5 ans pourront continuer à se faire plaisir en profitant des mises à jour de Windows 10... jusqu’en 2025.
Africrypt ou pompe à fric ?
C’est probablement le plus gros braquage de l’histoire des cryptoactifs. Les fondateurs d’Africrypt, société sud-africaine spécialisée dans l’investissement en monnaie virtuelle, se seraient enfuis avec 69000 bitcoins, soit 3,6 milliards de dollars. Les deux larrons, qui prétextaient une cyberattaque, ont depuis disparu.
Les arnaques sont monnaie courante dans le monde des cryptos, mais celle-ci est inédite par son ampleur. Mi-avril, les investisseurs d’Africrypt sont informés par mail d’une cyberattaque contre la plateforme d’investissement en cryptoactifs. Le site est fermé, les comptes sont gelés. Trois mois plus tard, on découvre que les deux fondateurs de cette fumeuse société ont disparu, et avec eux les 69000 bitcoins de leurs utilisateurs.
Soit un butin d’environ 3,6 milliards de dollars au cours actuel, un record et sans doute le cambriolage du siècle. A l’origine d’Africrypt, qui prétendait donner à l’Afrique la liberté financière, on trouve deux frères, à peine sortis de l’adolescence : Ameer Cajee, 20 ans, et Raees Cajee, 17 ans. Ils fondent en 2019 cette plateforme sud-africaine d’investissement en cryptomonnaies, qui devient rapidement l’une des plus populaires du pays. Il faut dire que la promesse est alléchante, avec un retour d’au moins cinq fois sur l’investissement initial.
Mais en avril, les deux fondateurs annoncent à leurs utilisateurs que la plateforme doit être mise à l’arrêt et leurs comptes gelés, suite à une cyberattaque qui a compromis les nœuds et les portefeuilles des clients. Les frères Cajee demandent à leurs investisseurs de ne pas avertir les autorités, afin de ne pas ralentir la remise en marche du service. Puis, dans la foulée, ils transfèrent les fonds de leurs utilisateurs vers un compte à la First National Bank de Johannesburg puis disparaissent dans la nature, s’envolant possiblement vers la Grande-Bretagne.
Une arnaque rondement menée
Les investisseurs ont depuis découvert le pot-aux-roses et la disparition des fondateurs d’Africrypt et de leurs bitcoins. Selon le cabinet d’avocats embauché par certaines des victimes, les fonds ont été placé dans divers tumblers et mixers, des services destinés à mélanger des cryptomonnaies afin de compliquer leur traçabilité, « les rendant pratiquement introuvables ».
Les principales plateformes d’échanges ont été informées, de même que les autorités sud-africaines, notamment la branche de la police dédiée aux délits financiers. Mais du point de vue des poursuites légales et de la récupération des actifs, il y a un os pour les investisseurs de Africrypt… L’Afrique du Sud ne reconnaît pas les cryptomonnaies comme des produits financiers.
Et ça n’a pas loupé : la Financial Sector Conduct Authority a déclaré être pieds et poings liés, et ne rien pouvoir faire d’autres que d’examiner les plaintes. Elle reconnaît que l’arnaque des frères Cajee ressemble en tout point à une pyramide de Ponzi, mais « les actifs cryptographiques ne sont réglementés par aucune loi du secteur financier en Afrique du Sud et, par conséquent, la FSCA n'est pas en mesure de prendre des mesures réglementaires ».
For the last three years, Joker Trojan is making its way on Google Play Store. Quick Heal Security Labs recently spotted 8 Joker malware on Google Play Store and reported them to Google, which has now removed all the applications.
Fig. 1 Screenshots of Applications from Google Play Store
Joker is a spyware Trojan that steals the victim’s device like SMS messages, contact list, and device info. Then, it silently interacts with advertisement websites and subscribes the victim to premium services without their knowledge. In January, we have reported similar samples to Google and published a blog on the same.
Let’s see the working of one of the applications-
- Application name: Element Scanner
- Developer name: Obrien Connie
- Download Count: 10K+
At launch, this application asks for notification access, which is used to get notification data. This application takes SMS data from notification, asks for Contacts access, and makes and manages phone call permission. After that, it is working like a document scanner application without showing any visible malicious activity to the user.
Fig. 2 Permissions asked by Application
But in the background, it downloads two payloads, one after the other. The first payload is downloaded from a Bitly short URL link, which is present in the original application from Google Play Store. See fig. 3 This application has link “h**p://bit[.]ly/3hT17RL”. Then this payload further downloads the next payload from the link – “h**p://skullali[.]oss-me-east 1[.]aliyuncs.com/realease.mp3”. This payload is nothing but malicious joker malware.
Fig. 3 Payload downloading flow
This final payload releases the .mp3 file, which contains code for notification access (Ref. Fig. 4), and the onReceive method (Ref. Fig. 5), which collects received SMS data.
Fig. 4 Code for notification access
Fig. 5 Implementation of onReceive method
It also checks for the SIM provider’s country code. If this code starts with “520,” i.e., if Sim providers country is Thailand, it subscribes the user to premium services as shown in Fig.5.
Fig.6 Code for subscription
Malware authors spread these malware applications on the Google Play Store in scanner applications, wallpaper applications, message applications. These types of applications can quickly become a target. Users should try to avoid such applications and use such kinds of applications only from trusted developers.
IOC:
| MD5 | Detection Name |
| 05710c8525f31535eb7338653429b1fa | Android.Joker.Aad66 |
| 9add1126cd52900c06ce4fe58ffc5f25 | Android.Jocker.Abd79 |
| 4705ce82dd8a969139f07b9576715dca | Android.Agent.Aed3f |
| 17c9de7d2a62fb0ed640fd2a348d6ffd | Android.Joker.Af409 |
| e4caf7c6a04139326d34bdb9b7282b00 | Android.Agent.Aec9e |
| 6b11d98e9713b3f3a53e201394c1247b | Android.Joker.Af408 |
| 995caba3370a6df5e73790d3461811e9 | Android.Joker.Af406 |
| dfe73757188ebe9d10aded37b349400b | Android.Joker.Af407 |
C2 server:
- hxxp://buckts[.]oss-me-east-1[.]aliyuncs[.]com
- hxxp://wter[.]oss-us-east-1[.]aliyuncs[.]com/
- hxxp://skullali[.]oss-us-east-1[.]aliyuncs[.]com/
- hxxp://161.117.46.64/svhyqj/mjcxzy
- hxxp://suanleba[.]oss-us-west-1[.]aliyuncs[.]com
- hxxps://new-sk.]oss-ap-southeast-1.]aliyuncs.]com
- hxxp://517-1305586011.]cos.]na-toronto.]myqcloud.]com/b2
Tips to stay safe
- Download applications only from trusted sources like Google Play Store.
- Learn how to identify fake applications in Google Play Store.
- Do not click on alien links received through messages or any other social media platforms.
- Turn off installation from the unknown source option.
- Read the pop-up messages you get from the Android system before accepting/allowing any new permissions.
- Malicious developers spoof original application names and developer names. So, make sure you are downloading simple applications only. Often application descriptions contain typos and grammatical mistakes. Check the developer’s website if a link is available on the application’s webpage. Avoid using it if anything looks strange or odd.
- Reviews and ratings can be fake but still reading user reviews of the application, and the experience of existing users can be helpful. Pay attention to reviews with low ratings.
- Check download count of the application — popular applications have very high download counts. But do note that some fake applications have been downloaded thousands or even millions of times before they were discovered.
- Avoid downloading applications from third-party application stores or links provided in SMSs, emails, or WhatsApp messages. Also, avoid installing applications that are downloaded after clicking on an advertisement.
- Use a trusted antivirus like Quick Heal Mobile Security to stay safe from Android malware.
RR Crypto : Plus de 40 millions d’euros de cryptoactifs volatilisés
R Crypto, une association déclarée en Côte-d’Or spécialisée dans les achats de cryptoactifs, s’est vue dépouillée de plus de 40 millions d’euros d’actifs dans l’un des casses numériques les plus retentissants à ce jour. Le parquet de Paris, unique juridiction compétente en matière de cybercriminalité, a été saisi.
C’est l’histoire d’un casse du siècle dont ils se seraient bien passés.
RR Crypto, une association qui propose des services auprès de particuliers en matière de cryptomonnaies et basée à Dijon, a perdu l’ensemble de ses actifs, selon le quotidien régional Le Bien Public, mardi 22 juin. Si le montant total n’est pas connu, il pourrait se situer entre 40 et 58 millions d’euros, selon plusieurs journaux locaux.
« J’ai le regret de vous informer qu’à ce jour, les fonds ne sont plus présents sur le portefeuille, sans accès à l’historique de ce dernier », a indiqué Vincent Ropiot, le fondateur de l’association, dans un mail aux clients du "fonds", dimanche 20 juin et relayé par France 3.
Vincent Ropiot aurait envoyé un message interne le 17 juin où il aurait expliqué avoir été « trahi », « volé » et affirmait s’être fait « cyber-harcelé », ajoute France 3. « Aujourd'hui, nous n'avons plus de fonds. Zéro, et ça fait quelques temps que ça dure, depuis fin mars. Je ne me cache pas derrière des raisons. Encore une fois, j'ai pris les mauvaises décisions. J'avais bon espoir de récupérer nos fonds mais en vain », est-il écrit.
RR Crypto aurait séduit plusieurs milliers de clients, comptait 30 salariés et commençait à avoir une notoriété au-delà de la région dijonnaise rapportaient déjà plusieurs titres de la presse locale et avait assuré avoir entamé les démarches administratives auprès de l’Autorité des marchés financiers (AMF) pour obtenir le statut de prestataire de services sur actifs numériques (PSAM). L’entreprise n’aurait toujours pas ce statut, rapporte BFM TV.
Certains clients et collaborateurs de RR Crypto interrogés dans plusieurs titres de presse s'inquiètent d'une possible arnaque évoquant même un système de Ponzi, système financier frauduleux rendu célèbre notamment par Bernard Madoff.
Enquête ouverte
Pour l’heure, la section cybercriminalité du Parquet de Paris a confirmé avoir ouvert une enquête pour « vol en bande organisée, atteintes à un système de traitement automatisé de données et blanchiment en bande organisée ». Les investigations ont été confiées à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OLTIC), à l’Office central pour la répression de la grande délinquance financière (OCRGDF) et à la police judiciaire de Dijon, confirme Le Monde.
« Le fait que ce système préserve l’anonymat et favorise la transparence de toutes les transactions m’a séduit d’emblée. Si bien que les a priori sur la cryptomonnaie qui seraient souvent utilisée sur le dark web n’ont pas lieu d’être (…) Mais les scam autour de ce système, qui existent malheureusement encore, ont entretenu ces a-priori », confiait Vincent Ropiot, à propos des cryptomonnaies, dans une interview à Dijon l’Hebdo, en février dernier.
Reste désormais à la justice de faire son travail, selon la formule consacrée.