Nous avons identifié un des premiers cas de site illégal de ventes de médicaments -potentiellement contrefaits- sur un domaine en ".fr".

european-pharmacy.fr et uprima.fr ont été enregistrés le 29/01/2007 via le registraire Coeur Internet, "filiale" de Heart Internet UK et domiciliée en France suite à la libéralisation des domaines en .fr l'an dernier. La particularité de ce registraire est qu'il est l'un des seuls à permettre à des individus non Français de déposer des domaines au sein de l'extension géographique gérée par l'AFNIC.

Il s'agit en fait d'une copie du site http://french.european-pharmacy.com/, opéré comme plusieurs dizaines d'autres sites de ce type, par une société américaine peu recommandable appelée Secure Medical. Le français employé sur le site, vraisemblablement via un traducteur automatique, y est par ailleurs déplorable voire incompréhensible.

Même si cela paraît évident, nous vous rappelons la dangerosité (pour votre santé et votre sécurité, notamment de vos données personnelles et bancaires) d'acheter ce type de médicaments en ligne. La vente de médicaments en France est autorisée uniquement dans les officines légales, et sur prescription de la part d'un médecin agréé.

Ce qui ne décourage pas de plus en plus de "pharmacies en ligne", qui déclarent ironiquement en vendant leurs produits :

En tant que pharmacie en ligne nous respectons strictement les exigences légales aussi bien de notre pays que du vôtre. Les renseignements fournis par ce site internet le sont à titre informatif seulement et ne sauraient remplacer un avis médical. Vous ne devez en aucun cas utiliser ces renseignements pour le diagnostic ou le traitement d'un problème de santé ou d'une maladie, ou encore pour la prescription de médicaments. Seul votre médecin est habilité à diagnostiquer vos problèmes de santé et à vous prescrire un traitement. (sur www.getpharma.com/fr/).

"We are looking to train 8 hard-working, dedicated individuals". Sure you know at this time this is scam, right?

This one has a link to a website. Nice one:

See how Andy Grenier feels confident (the picture!). Now I'm sure I really want to contract with this company but...

I shall apply my 3-steps-guide to find a reputable employer:

1. round-robin IP addresses, various hosting: this is SERIOUS.
2. ns1.time-am.com > hey they have their own DNS > this is SERIOUS
3. this DNS serves wachovia24.org, wachovia-bank.org, wachovia24.net

uh too bad, this is NOT SERIOUS

I'm afraid I'll stay stuck in my dead-end job.

Avez-vous suivi la saga de l'hiver, celle de Nordea?

Il y a 10 jours, ZDnet nous annonce que la banque Suédoise Nordea s'est fait voler 580k£. Comment? Pourquoi? le marketeux de McAfee s'empresse de crier au "casse du siècle" :

Swedish bank Nordea has told ZDNet UK that it has been stung for between seven and eight million Swedish krona - up to £580,000 - in what security company McAfee is describing as the "biggest ever" online bank heist.

A ce moment là, on pense à ces pirates géniaux qui contournent les systèmes de sécurité bancaires, prennent le contrôle des applications bancaires et hop hop lancent des virements swift sur leurs comptes off-shore aux îles Caymans. Le casse du siècle, on vous dit.

Replongés dans notre lecture, on apprend trois lignes plus loin que ce casse s'étale sur 15 mois de fraudes (quelle patience!) :

Over the last 15 months, Nordea customers have been targeted by emails containing a tailormade Trojan, said the bank. Nordea believes that 250 customers have been affected by the fraud, after falling victim to phishing emails containing the Trojan.

Mais le journaliste entre dans le fond du sujet avec force détails :

Swedish police believe Russian organised criminals are behind the attacks.

A ce moment-là, mon sang ne fait qu'un tour: Aaarg, des Russes !

Currently, 121 people are suspected of being involved.

121 pirates? Une armée en somme... McAfee nous explique d'ailleurs qu'en plus de pousser la couardise jusqu'à faire leur coup par groupes de 121, ces pirates font montre de fourberie en utilisant un cheval de Troie :

Users who downloaded the attached file, called raking.zip or raking.exe, were infected by the Trojan, which some security companies call haxdoor.ki.

Haxdoor? Mais je connais bien haxdoor... c'est l'A311 de notre ami Serguey, ça... Un malware vendu par tous les vents, qui collecte les identifiants des banques de manière générique. Qui configurerait un A311 pour ne cibler que Nordea, c'est stupide, non?

Quelle surprise : en place d'un braquage brutal conduit par une armée de russes, le sabre entre les dents, il s'agit plutôt de quelques centaines de clients Nordea infectés par un cheval de Troie générique capturant l'identifiant de leur compte bancaire en ligne. Les 121 barbares? des mules suédoises, anonymes naifs permettant aux vrais voleurs de sortir les fonds de Suède.
Les voleurs? Je suis bien certain que personne ne sait s'ils sont russes. Pour autant, la fièvre médiatique fait bien fi de ce type de nuances... Heureusement, le 22 janvier, Silicon.fr, à l'issue d'une longue investigation journalistique, aboutit à la conclusion suivante :

Ces cybercriminels d'origine Russe ont ciblé les utilisateurs de la banque suédoise Nordea

C'en est trop pour notre collègue Alexeï qui balance, sarcastique :

Hackers Russes - c'est comme le chocolat suisse: soit il est suisse, soit il n'y a pas de chocolat. Ni pourquoi, ni comment. Russes - point final! Il existe pourtant bien du chocolat belge. ;°)

Finalement, on apprend en off que ce chiffre est en fait un cumul sur 15 mois d'une multitude d'attaques : phishing, haxdoor, torpig, et même un petit nouveau, Alvabrig. Bref, une bonne demi-douzaine de groupes 'pirates', pour un seul communiqué de presse...
Enfin, la remarque la plus pertinente vient de pcimpact:

Le mail piégé de phishing reproduisait exactement l'apparence d'un mail de la banque Nordea

Ils envoient des emails à leurs clients chez Nordea?

Le 24/01/2007, CISCO a révélé 3 failles de sécurité critiques impactant tous ses équipements sous IOS (Réf. Lexsi 8076). Elles sont toutes utilisables à distance :

- Corruption de mémoire lors du traitement d'un paquet IP contenant certaines options et une couche supérieure d'un certain type,

- Fuite de mémoire lors du traitement de la couche TCP, et donc plantage en saturant les ressources mémoire,

- Plantage lors du traitement de certains paquets IPv6 (par défaut, IPv6 est désactivé).

La première vulnérabilité est la plus inquiétante dans la mesure où elle permet potentiellement d'exécuter du code arbitraire. Il est vrai que très peu de détails sont disponibles sur cette faille ; mettre au point un code d'exploitation est donc délicat mais pas impossible, à condition d'utiliser des outils spécialisés.

Pour les deux autres failles, on peut "seulement" faire planter l'équipement, ce qui pourrait être utilisé par un attaquant pour rendre inopérant un réseau à plus ou moins grande échelle. De même, il n'y a pas encore eu de diffusion publique de codes d'exploitation.

Se pose aussi la question de la fiabilité : peut-on développer un code qui pourrait fonctionner pour un grand nombre de versions d'IOS différentes ? Si tel était le cas, son détenteur pourrait se targuer de contrôler potentiellement près de 70% des équipements réseaux dans le monde.

Paypal has always been steadily targeted by phishing scams. But this fake website, www.paypeg.com, is especially interesting as it seems to represent a fake escrow service that uses the exact same graphical interface as that one of the famous online payment company.

This website has been set up for the sake of money laudering for various types of online fraud incoming funds. As we were not able to register a working account to verify the type of services provided, it could also well be just another mean of emails harvesting for spammers.

LE agencies may want to investigate further on this company, for example by "pegging" the Yahoo email account figuring on the website: carlmattpublishing@yahoo.co.uk.

Une perle de phishing transmise par Ryan Carter sur une mailing-liste consacrée au phishing :

From: Bank Of America payments@boa-inc.com

Sent: Monday, January 22, 2007 8:11 AM

To: x

Subject: Important Consumer Notice ref-id#3152101

<http://www.bankofamerica.com/global/mvc_objects/images/mhd_reg_logo.gif

Dear Bank Of America valued customer,

This is an official notification from Bank Of America. We are sorry to inform you that your online payments and transfers services are expired, and must be renewed immediately, if you intend to use this services in the future, and prevent any similarly situations you must take action at once!

Click Here <http://plisk.com/sitekey.bankofamerica/sas/signon.htm> and proceed to the renewal of your online services.

Thank you for the privilege of serving you.

***********************************************

Sincerely,

Chase Online Banking Department

***********************************************

(c) 2007 Bank of America Corporation. All rights reserved.

Le site de phishing est d'ores et déjà inactif.

MAJ:

Fifth Third est partie prenante de cette affaire, selon l'article suivant.

Les banques telles que Fifth Third, qui effectuent les transactions pour les chaînes de revendeurs, sont appelées "credit card processor". Même si elle n'est pas directement responsable des failles de sécurité de son client TJX, elle pourra recevoir une amende financière conséquente des émetteurs de cartes. Mais Fifth Third se tournera dans ce cas vraisemblablement contre la société fautive pour couvrir ces frais.

On se rappelle également que courant 2006, Fifth Third, 4ème établissement bancaire américain en volume de transactions opérées, a été très fortement touché par des campagnes massives de phishing.

Diverses associations luttent pour la mise en place de lois visant à sécuriser les données personnelles détenues par les entreprises et la divulgation éventuelles de ces informations lors d'intrusions, de pertes ou de vols de matériels. La dernière crise majeure affectant TJX peut leur apporter le soutien inattendu de l'Attorney General (procureur général) du Massachussets.

Prenez :

- un accroissement exponentiel des fuites de données personnelles (plus de 100 millions publiquement avérées en moins de 2 ans, et recensées par l'ONG Privacy Rights clearinghouse);

-un Etat américain (le Massachussets) qui se pose la question de rejoindre les 34 Etats ayant légiféré face à ce fléau;

- une importante chaîne de magasins qui conserve les données confidentielles de ses clients (en contradiction avec les règles des émetteurs de cartes bancaires tels que Visa et Mastercard);

- un piratage massif (plusieurs dizaines de millions de cartes volées) affectant cette société et la confirmation que ces données sont utilisées à des fins frauduleuses;

- et le nouvel Attorney General de cet Etat, Martha Coakley, victime de cette fraude;

"BOSTON -- New Massachusetts Attorney General Martha Coakley admits to an identity crisis of sorts. She says she's the victim of identity theft and she is taking the security breach personally. Framingham-based retailer TJX is the latest company to have had its customer information compromised. Potential victims number in the millions. The thief used Coakley's information to buy a Dell computer. Coakley says the system needs improving. The customer data was hacked from a TJX computer system in mid-December"

Et vous obtenez une "sensibilisation" accrue des médias, des organes juridiques et législatifs à ces problèmes. Et peut-être le vote d'une loi à ce sujet prochainement !

Votre carte bancaire serait à la merci des malveillants pirates. Jusque là rien de nouveau en matière de prévention. Plus surprenant quand il s'agit de conseils d'un malware à votre encontre, doublement incroyable quand celui ci vous prévient que votre femme pourrait vous quitter !



Effectivement, des informations sur votre ordinateur pourraient intéresser certains pirates, mais DriveCleaner va vous aider à empêcher ça. Il sera le seul à récupérer ces informations.



Il vous est proposé de télécharger installdrivecleanerstart_fr.exe (148Ko) afin de vous protéger ! Ceci est un cheval de Troie bien sûr détecté seulement par quelques éditeurs antivirus :
Authentium/F-Prot(W32/Behavior:SelfStarterInternetTrojan!Maximus), Fortinet(Download/WinFixer), Kaspersky(Downloader.Win32.WinFixer.m), McAfee(potentially unwanted program DriveCleaner), NOD32v2(a variant of Win32/Adware.WinFixer), Norman (W32/WinFixer.JA).

Sauvez votre ordinateur, n'allez plus sur ce genre de sites.

Ces derniers mois ont vu de nombreuses attaques sur les domaines MySpace. Pour en rajouter une nouvelle couche, des milliers de login/password sont disponibles sur le net et ont été publié dans une liste de diffusion.

Cet incident a peut-être pour origine le résultat du ver en Javascript qui s'insérait dans les profils des utilisateurs et les redirigeaient vers de fausses pages d'authentification (voir article MySpace fait converger les internautes ... et les exploits !).

Les fausses pages d'authentification comportent un faux formulaire MySpace qui enregistre les données, et ce dernier a été rempli par pas moins de 56,000 personnes :



Ainsi le fichier de logs résultant, un simple fichier .txt, est localisé sur le même serveur et en accès libre ! :
http://www.CENSURED.com/login/myspace.txt

Notons que certains ne se sont pas fait berner :
youmustbecompleteretards@idiot.com:doyouhonestlythinkiwillputmyrealpasswordhere
hey marc,:what ya doin with everybody's passwords?

Certains demandent même des conseils douteux :
yo man i need u to crack this page for me can u get me the pass???http://www.myspace.com/nenCENSUREDlce ill apreciate it real bad tnx:emailtomyspace

La plupart de ces comptes sont valides et sont aussi des adresses hotmail/MSN valides.

Mise à jour, 16/01/2007 :
Le site en question a été fermé, suite à sa rapide diffusion.

Après investigation, il a été établi que ce site a été récupéré au sein des listes noires de Google, librement accessibles depuis le net. Disposition à double tranchant puisque ces listes noires peuvent éviter le pire, tout comme livrer des informations nominatives à n'importe qui en révélant les URLs malicieuses. Il est à noter que ce sont ces mêmes listes noires qui sont utilisées par le moteur anti-filoutage de Firefox 2.

Comme tous les trimestres, iDefense Labs propose son challenge de recherche en vulnérabilités. Après les bases de données, les navigateurs web et les messageries instantanées, c'est au tour de Windows Vista et d'Internet Explorer 7 d'être les cibles de cette chasse aux bogues. Le laboratoire de sécurité est prêt à payer la modique somme de 8 000 $ pour une nouvelle vulnérabilité dans l'un de ces produits, à condition qu'elle permette d'exécuter du code arbitraire à distance dans l'installation par défaut.

En plus de cela, iDefense Labs propose entre 2 000 et 4 000 $ pour des codes exploitant ces vulnérabilités. Dépêchez-vous, seules les 6 premières vulnérabilités se verront récompensées !

Source : challenge iDefense Q1 2007

Le domaine "playstation-france.fr" a été déposé hier par un particulier, avec diffusion restreinte de ses coordonnées. Rien de très excitant jusque là. En revanche, ce qui est plus étonnant, c'est la redirection actuelle des visiteurs du site www.playstation-france.fr vers un forum dédié à la x-box. Le site semble être opéré par un passionné, dont nous tairons le nom, et connu sous l'alias "Robotnyk".

Il n'est pas sûr que cela soit du goût des responsables de Sony.

Microsoft vient de publier ses traditionnels correctifs mensuels. Les principaux produits impactés sont Internet Explorer, Outlook et Excel. Ce mois-ci, trois vulnérabilités "critiques" :

MS07-002 : Microsoft Excel Multiple Remote Code Execution Vulnerabilities (Ref. Lexsi 7990). Cinq vulnérabilités permettent d'exécuter du code arbitraire à l'aide d'un fichier XLS malicieusement formé.

MS07-003 : Microsoft Outlook Remote Code Execution and Denial of Service Vulnerabilities (Ref. Lexsi 7992). Deux vulnérabilités peuvent être exploitées grâce à des fichiers malicieusement formés afin d'exécuter du code arbitraire et une autre permet de provoquer un déni de service.

MS07-004 : Microsoft Vector Markup Language code execution Vulnerability (Ref. Lexsi 7991). Cette vulnérabilité permet l'exécution arbitraire de code par Internet Explorer et semble être déjà activement exploitée dans la nature.

Une autre vulnérabilité est qualifiée de "importante" :

MS07-001 : Microsoft Office Brazilian Portuguese Grammar Checker Vulnerability (Ref. Lexsi 7993). Elle permet d'exécuter du code arbitraire.

Etonnamment, les 3 "0-days" sur Word divulguées au mois de décembre ne sont pas corrigées.

Comme vous le savez, ce mois de janvier 2007 est le mois des bogues Apple (MOAB, the Month of Apple Bugs). Il a révélé qu'une vulnérabilité ( Ref. Lexsi 7970), permettant à un utilisateur local d'obtenir les droits root, était exploitée activement "dans la nature".

Le système Mac OS X fait en effet trop confiance à ses fichiers BOM ("Bill Of Materials"). Un utilisateur local peut ainsi forger un fichier BOM malicieux et le faire indirectement exécuter par le système, afin d'écraser des données ou des binaires systèmes. Les codes d'exploitation fournis par le MOAB permettent par exemple de transformer le binaire "ps" en "shellroot" ou d'ajouter des lignes au crontab afin d'exécuter du code arbitraire (avec root comme utilisateur, bien entendu).

Condition cependant : que l'utilisateur ait les droits pour écrire dans un répertoire système précis. Par exemple, qu'il appartienne au groupe "admin", ce qui est le cas de l'utilisateur par défaut...

Profitons-en pour rappeler qu'une vulnérabilité locale ne signifie pas nécessairement qu'il faille à l'attaquant un compte local sur la machine pour l'exploiter... On peut très bien utiliser une faille distante permettant d'exécuter du code avec les droits de l'utilisateur. Hasard (ou pas), c'est par exemple potentiellement le cas de la faille sur iPhoto ( Ref. Lexsi 7966), présentée dans le MOAB le jour précédant celle-ci.

Les attaques sur le Web se multiplient ces derniers temps. Après les animations Flash backdoorées et le ver MySpace qui utilise des vidéos Quicktime malicieuses, voici une attaque de type Cross Site Scripting, annoncée lors du CCC, et pouvant être utilisée par l'intermédiaire de n'importe quel site web. Seule condition : que ce site héberge un fichier PDF quelconque.

Comme souvent, c'est une fonctionnalité apparemment anodine qui a été détournée de son but initial (faciliter la vie des utilisateurs). Il s'agit ici d'"Open Parameters", fonctionnalité offerte par le plugin PDF d'Adobe pour Windows afin de pouvoir recevoir des paramètres par l'URL (zoom, affichage des barres de défilement, etc). Problème : les paramètres ne sont pas suffisamment vérifiés, ce qui permet d'y injecter du code HTML ou Javascript arbitraire.

Exemple : Un fichier PDF sur un site Web ne peut pas être bien méchant ! Et bien si :
http://www.victime.ext/fichier.pdf#toto=javascript:alert('On peut mettre du code arbitraire ici !');

Pour plus d'informations, voir le bulletin LEXSI s'y rapportant ( Réf. Lexsi 7950).