Un nouveau logiciel malveillant Microsoft peut voler vos informations d’identification et des informations sensibles¬†: comment emp√™cher FoggyWeb de vous attaquer

Vous vous souvenez du hack SolarWinds ? Microsoft a r√©cemment d√©couvert un autre logiciel malveillant utilis√© par les pirates lors de l’attaque. Le malware FoggyWeb est un outil utilitaire qui aide les pirates √† voler les donn√©es des utilisateurs, √† acc√©der aux autorisations de niveau administrateur et √† rester √† l’int√©rieur des r√©seaux m√™me apr√®s le nettoyage.

Les secteurs commerciaux et les entreprises sont souvent avertis des risques de cybers√©curit√© sur Internet. L’un des exemples les plus embl√©matiques est la cha√ģne d’approvisionnement du logiciel SolarWinds, qui a √©t√© t√©l√©charg√©e par 18 000 clients. Bien que le nombre de clients r√©ellement attaqu√©s ait √©t√© inf√©rieur √† 100, il s’agissait toujours d’un d√©veloppement pr√©occupant.

Les recherches en cours tentent de déballer les détails effrayants des attaques de logiciels malveillants.

Avertissement Microsoft : Modules Nobelium

Selon ZDNet, les √Čtats-Unis et le Royaume-Uni ont initialement accus√© l’unit√© de piratage APT29 du service russe de renseignement ext√©rieur (SVR), Cozy Bear et The Dukes. Les chercheurs en s√©curit√© ont d√©couvert plus tard que ces cyberattaques provenaient du groupe d’attaque Nobelium.

Microsoft a découvert comment Nobelium avait différents composants malveillants comme GoldMax, GoldFinder et Sibot. Nobelium a ensuite été lié à des groupes comme Sunburst/Solarigate, Teardrop et Sunspot.

Le logiciel malveillant le plus r√©cent d√©couvert s’appelle FoggyWeb. Il s’agit d’un syst√®me de porte d√©rob√©e utilis√© par les attaquants sur un serveur cibl√© d√©j√† compromis.

A lire aussi : Manette Amazon “New World”: comment utiliser les manettes PlayStation et Xbox et les relier

Un nouveau logiciel malveillant Microsoft peut voler vos informations d’identification

ZDNet a expliqu√© comment FoggyWeb utilise plusieurs tactiques pour voler les noms d’utilisateur et les mots de passe du r√©seau de l’appareil. Les pirates obtiennent ensuite un acc√®s de niveau administrateur aux serveurs AD FS (Active Directory Federation Services), o√Ļ ils peuvent masquer le code corrompu, voler l’identit√© de l’utilisateur secondaire, acc√©der √† l’infrastructure de gestion et contr√īler l’acc√®s des utilisateurs aux applications et aux ressources de l’entreprise.

Pire encore, FoggyWeb permet aux pirates de se cacher √† l’int√©rieur du r√©seau pendant le nettoyage du syst√®me, les prot√©geant ainsi des d√©tections antivirus.

Ramin Nafisi, membre du Microsoft Threat Intelligence Center, a d√©clar√© que “Nobelium utilise FoggyWeb pour exfiltrer √† distance la base de donn√©es de configuration des serveurs AD FS compromis, le certificat de signature de jeton d√©chiffr√© et le certificat de d√©chiffrement de jeton, ainsi que pour t√©l√©charger et ex√©cuter d’autres composants”, par ZDNet.

FoggyWeb est un outil de porte dérobée passif et très utilisé utilisé par de nombreux pirates. Malheureusement, comme mentionné précédemment, le malware est extrêmement difficile à détecter.

Microsoft recommande aux clients potentiellement concernés de suivre trois étapes clés pour assurer leur protection :

  • Audit de l’infrastructure sur site et cloud pour les configurations et les param√®tres par utilisateur et par application.
  • Supprimez l’acc√®s des utilisateurs et des applications, examinez les configurations et r√©√©mettez de nouvelles informations d’identification solides.
  • Utilisation d’un module de s√©curit√© mat√©riel pour emp√™cher FoggyWeb de voler des secrets aux serveurs AD FS.

Autres menaces de cybersécurité dont vous devriez être conscient

Outre FoggyWeb, deux stratégies de piratage gagnent rapidement en popularité ces derniers mois. Les utilisateurs et les entreprises sont avertis de rester conscients et prudents des escroqueries TangleBot et Phishing.

Note de l’√©diteur¬†: une version ant√©rieure de cet article indiquait que 18¬†000¬†clients √©taient cibl√©s dans le probl√®me de la cha√ģne d’approvisionnement de SolarWinds. Il a depuis √©t√© corrig√© que ce nombre ne refl√®te que le nombre de clients qui ont t√©l√©charg√© une version compromise du logiciel, mais ce n’est pas le nombre de personnes dont les informations ont √©t√© divulgu√©es.

Article associ√©: Les fuites de l’iPhone 14 r√©v√®lent un nouveau design : l’iPhone 2022 n’aura pas d’encoche, un identifiant tactile sous-affichage est possible