Académique Documents
Professionnel Documents
Culture Documents
La découverte d’un Package Malveillant qui vous allez le voire est inquiétant
I Evil Proxy :
Def :
Evil proxy est un abonnement Phaas ( Phishing as a service ). Evil Proxy est un outil qui
permet l’automatisation d’attaque Adversary-in-the-middle” (AITM) qui permet d’attaquer
et de hacker un compte malgrés la double authentification.
EvilProxy peut s’attaquer à des sites comme Facebook, Twitter, DropBox, Google ou encore
Microsoft. Les prix vont de 150€ pour 10 jours à 400€ pour un mois voire 600€ pour les
services les plus compliquer. Une fois payer via Telegram on peut accéder au service via le
réseaux TOR.
EvilProxy est un outil qui fonctionne en utilisant un proxy inversé et l’API de la solution cible
(ex : Microsoft 0365). La page d’hameçonnage intercepte toutes les données d’identification
et extrait les données de la requête, notamment les cookies de session et rejoue
l’authentification via l’API du portail d’authentification cible. Cela génère une différence
flagrante avec les e-mails d’hameçonnage classique, car in fine, l’utilisateur pourra
réellement accéder aux services de l’applicatif au travers du proxy inversé malveillant et
ainsi poursuivre son travail (exemple pour O365 : consultation des e-mails, accès à Teams,
création de fichiers…).
Une fois que l’attaquant a obtenu les informations d’identification, il peut les utiliser dans
son navigateur ou dans des automates pour contourner le processus d’authentification à
double facteur.
il existe des techniques d’authentification forte qui ne peuvent pas être contournées de la
sorte. C’est le cas notamment du protocole FIDO (L'Alliance Fast Identity Online), où
l’identité du site web est systématiquement vérifiée avant d’envoyer le token
d’authentification. Malheureusement, peu de sites ont implémenté ce type de technologie
pour l’instant. En attendant sa généralisation, il faut donc avant tout rester vigilant et
toujours vérifier manuellement l’identité du site sur lequel on se connecte.
Ce package semble être un client fonctionnel mais comporte en réaliter une backdoor. La
fonctionnaliter malveillante ne s’active pas dés l’installation mais attends d’être utiliser pour
s’activer ce qui montre les efforts pour ne pas se faire détecter.
Cette découverte est inquiétente car cela montre la menace croissance des chaîne
d’apprivoisement logiciel car les acteurs utilisent des stratégies telle que le typosquatting.
III ChatGPT
Le sujet du môment est l’utilisation de chatgpt pour la création de malware. Check Point
Research à recemment sonner l’alarme sur la puissance de l’outil d’OpenAI. Sur le blog de
Check Point Research ont montré les travaux de plusieurs hackers qui ont utiliser ChatGPT
pour crée un malware. On peut par exemple y voir un logiciel capable de dérober des
fichiers sur une machine windows. Le logiciel scanne et les zip dans un fichier protéger par
mots de passe avant de l’envoyer dans le cloud. On peut aussi y trouver un logiciel capable
de chiffrer/déchiffrer des fichiers.
ChatGPT est aussi très utiliser pour crée des logiciels de phishing car en effet CHATGPT est
capable de générer des emails de phishing d’une qualitée irréprochable
La pluparts de ces malwares ne sont que sommaire, possède une qualités approximative et
de nombreux bugs à l’éxecution. Malgrés cela ces codes peuvent être modifier et réajuster
pour devenir des malwares très dangereux. Cette menace est très sérieuse car n’importe
qu’elle néophyte peut accéder à de telle logiciel.