Un malware très populaire sur Windows, connu sous le nom de Formbook, dispose d'une variante nommée XLoader, capable de s'attaquer aussi bien à Windows qu'à macOS.
XLoader est conçu pour dérober des identifiants et des mots de passe sur les machines infectées, en collectant les informations enregistrées au sein des navigateurs (Chrome, Firefox, Opera, Edge, Internet Explorer) mais aussi des clients de messagerie (Outlook, Thunderbird, Foxmail). Mais attention, ce n'est pas tout ce qu'il sait faire...!
Il existe depuis février 2021 et ces derniers temps, sa popularité n'a cessé d'augmenter. Les chercheurs en sécurité de chez Check Point l'ont détecté dans 69 pays, même si plus de la moitié des victimes sont situées aux États-Unis.
Comment expliquer cette popularité ? Tout d'abord, parce que XLoader est un malware multiplateforme, car il est compatible Windows et macOS. Ensuite, parce qu'il s'agit d'un botnet qui ne s'appuie sur aucune dépendance, ce qui le rend facile à utiliser.
C'est grâce à un travail de reverse engineering qu'un lien a pu être fait entre les malwares Formbook et XLoader. En effet, l'exécutable serait le même, et le développeur de Formbook aurait contribué au développement de XLoader. Les fonctionnalités de ces deux logiciels malveillants sont les mêmes : voler des identifiants, prendre des captures d'écran, enregistrer la saisie au clavier, et exécuter des fichiers malveillants sur l'hôte infecté.
Dans la pratique, il est possible de louer XLoader pour un mois en l'échange de 49 dollars, pour la version MacOS, ce qui donne accès à un serveur fourni par les hackers. Concrètement, cette façon de faire permet aux hackers à l'origine de XLoader de garder la main sur l'infrastructure de serveurs C2 (Command and Control). Si vous souhaitez vous en prendre à des machines Windows, il faudra payer un peu plus cher : 59 dollars pour un mois. Pour trois mois, comptez 129 dollars.
XLoader - Génération d'un fichier JAR pour Windows ou macOS
Toujours d'après les chercheurs en sécurité de Check Point, XLoader est suffisamment furtif pour être difficilement détectable par un utilisateur lambda. D'ailleurs, même s'il a les mêmes fonctionnalités que FormBook, XLoader serait plus abouti et plus sophistiqué. Sur macOS, il est recommandé de supprimer les dossiers dans "/Users/<utilisateur>/Library/LaunchAgents" qui ont un nom aléatoire.
De manière générale, le gain en popularité de macOS en fait désormais une cible privilégiée par les hackers, en plus de Windows. Les chercheurs croient que de plus en plus de malwares seront mis à jour pour supporter macOS et cibler les appareils d'Apple.
Microsoft a publié une nouvelle build de Windows 11 en version preview. À cette occasion, découvrons les quelques changements opérés par la firme de Redmond.
L'interface graphique de Windows 11 continue de s'améliorer et d'intégrer des petites touches, par-ci, par-là. Cette fois, ce sont les icônes positionnées en bas à droite de la barre des tâches qui bénéficient d'un relooking, comme vous pouvez le voir sur la copie d'écran ci-dessous.
Par ailleurs, Microsoft a introduit une nouvelle fonctionnalité qui permet de mettre en évidence une application qui souhaite attirer votre attention. Cela se traduit par un effet visuel discret, mais efficace sur l'icône de l'application en question, au sein de la barre des tâches.
Autre nouveauté dans ce canal Dev : l'ajout de l'application "Chat for Microsoft Teams", qui correspond à l'intégration de Teams directement dans Windows 11. Elle ne sera pas visible pour tout le monde, pour l'instant.
En complément, Microsoft affirme avoir amélioré les performances du Microsoft Store, particulièrement lorsque l'on scrolle sur l'interface ou que l'on clique sur une application ou un film. De manière générale, les développeurs ont pu corriger certains bugs connus de Windows 11, notamment dans l'Explorateur de fichiers, la barre des tâches, les widgets, mais aussi la fonction de recherche.
Il ne vous reste plus qu'à mettre à jour votre machine sous Windows 11 pour bénéficier de la dernière version preview, toujours dans le cadre du programme Windows Insiders.
Cette semaine, Nvidia a également annoncé la mise à disposition de ses premiers pilotes graphiques certifiés pour Windows 11. Cette compatibilité est intégrée au pilote Nvidia GeForce Game Ready 471.41.
Jeudi 22 juillet 2021, en fin d'après-midi, de nombreux sites Internet très célèbres étaient inaccessibles à cause d'une panne chez Akamai. Au total, ce sont plus de 20 000 sites qui sont concernés par cette panne majeure, à l'échelle mondiale.
L'alerte a été donnée sur Twitter par de nombreux internautes, mais aussi sur le site Down Detector avec des signalements en masse : à partir de 17H30 (heure française), de nombreux sites semblaient inaccessibles, les uns après les autres. Parmi les sites concernés par cette panne, on peut citer par exemple : Hotels.com, Fnac, Playstation Network, Steam, AirBnb, Le Parisien, Canal+, France Info, ou encore Micromania. Une bonne heure plus tard, la situation commençait à revenir à la normale et les sites étaient de nouveau accessibles.
La panne des serveurs Akamai touche de nombreux sites !
Pour expliquer cette panne majeure, il faut se tourner vers l'hébergeur Akamai qui est en charge de l'hébergement de nombreux sites populaires. D'ailleurs, dans un rapport récent, l'Arcep précisait que les flux vers les serveurs Akamai représentaient environ 10% du trafic Internet français. Ce qui n'est pas négligeable même si c'est encore loin de la part de trafic de Netflix : 20%. Néanmoins, cela permet de mieux comprendre pourquoi la panne des serveurs d'Akamai a été impactant.
La société Akamai a reconnu qu'il y avait eu un souci sur ses serveurs Edge DNS et que cet incident concernait plus de 20 000 sites à travers le monde. C'est aux alentours de 19h00 que l'entreprise américaine a indiqué que la panne était résolue. Il n'y a pas eu de précisions particulières quant à la cause exacte de cette panne.
Ces derniers mois, ce n'est pas la première fois qu'une panne majeure chez un prestataire perturbe l'accès à de nombreux sites populaires. Par exemple, en juin dernier, une panne chez Cloud Fastly avait rendu inaccessible PayPal, Amazon, Reddit, etc.
DuckDuckGo est avant toute chose un moteur de recherche, mais aussi un navigateur sur mobile (Android et iOS), qui a pour priorité de protéger la vie privée de ses utilisateurs. Un nouveau service gratuit nommé "Email Protection" est proposé par DuckDuckGo dans le but d'éliminer les trackers au sein des e-mails.
La société américaine veut aller toujours plus loin dans la protection des données des utilisateurs, et ne plus se limiter à la sécurité de la navigation Internet en elle-même. Pour utiliser le service "Email Protection", l'utilisateur doit créer une adresse e-mail "@duck.com" qui servira de relais. Cette adresse e-mail relais va permettre à "Email Protection" d'analyser les e-mails que vous recevez et d'éliminer les éventuels trackers. Ensuite, l'e-mail sera relayé vers votre boîte aux lettres principale : une adresse Gmail, Outlook, ProtonMail, etc... En fonction de ce que vous utilisez.
Pour votre compte @duck.com, il sera possible de créer des alias aléatoires pour éviter d'être spammé. Pour que le service "Email Protection" fonctionne, vous devez utiliser l'adresse "@duck.com" en adresse de contact sur les différents sites, car elle doit être le point d'entrée. Ce qui nécessite un peu de temps pour repasser sur les sites sur lesquels on est déjà inscrit.
Rappel : un tracker au sein d'un e-mail peut permettre de remonter certaines informations : l'utilisateur a ouvert l'e-mail, l'utilisateur a cliqué sur un lien dans l'e-mail, quel est le type d'appareil utilisé, etc. L'exemple typique, ce sont les newsletters. D'après une étude, environ 70% des e-mails que nous recevons contiennent des trackers. De quoi motiver les équipes de DuckDuckGo à proposer une solution.
Si ce service vous intéresse et que vous souhaitez tester la version bêta, vous pouvez vous inscrire à la liste d'attente. Pour cela, il faut installer le navigateur DuckDuckGo sur mobile et cliquer sur "Email Protection Beta" au sein des paramètres.
Pour utiliser les containers sous Windows, il est possible d'utiliser le client Docker Desktop. Dans ces containers, on peut faire tourner des applications Windows. Néanmoins, il ne permet pas d'exécuter des containers Linux directement sur Windows, à cause des dépendances et de l'absence du noyau Linux. Lorsque l'on est sur Linux, on peut exécuter des applications Linux au sein de containers.
Sous Windows, grâce à Docker Desktop et la fonctionnalité Windows Subsystem for Linux, nous allons pouvoir contourner cette limitation. Depuis Windows, nous allons pouvoir exécuter des containers Linux grâce à une distribution Linux qui tourne avec WSL 2.
En effet, avec WSL 2, Microsoft a introduit un changement significatif dans l'architecture de la fonctionnalité WSL. En version 2, WSL intègre un noyau Linux complet, ce qui va nous permettre d'exécuter des containers Linux en mode natif.
Dans ce tutoriel, nous allons voir comment installer et configurer Docker pour WSL 2 dans le but d'exécuter des containers Linux à partir d'une machine Windows 10. Cet article est un épisode de ma série dédiée à WSL.
Episode n°8 disponible au format vidéo (comme les précédents) :
II. Prérequis
Avant de commencer, nous partons du principe que vous avez déjà :
Une machine Windows avec la fonctionnalité WSL 2 installée
Une distribution Linux opérationnelle, via WSL (Ubuntu, Kali Linux, etc.)
Dès que c'est bon, vous pouvez passer à la suite.
III. Installer Docker Desktop pour WSL 2
Commencez par télécharger "Docker Desktop" (environ 500 Mo) sur le site officiel de Docker :
Démarrez l'installation, elle est très simple. Il faut veiller à bien cocher "Install required Windows components for WSL 2" lors de l'installation.
Lancez l'installation, et patientez... Coffee break.
Lorsque l'installation est terminée, vous devez redémarrer votre machine. Cliquez sur "Close and restart" pour procéder au redémarrage.
IV. Configurer Docker Desktop pour WSL 2
Notre machine est équipée de WSL 2 et de Docker Desktop : c'est une bonne nouvelle. Je vous propose d'ouvrir une console PowerShell et d'exécuter la commande ci-dessous pour lister les distributions Linux enregistrées dans WSL :
wsl -l -v
On remarque que mes distributions "Kali-linux" et "Ubuntu" sont bien là. Docker quant à lui a ajouté deux distributions, ou plutôt deux composants. Voyez par vous-même :
Les entrées "docker-desktop" et "docker-desktop-data" servent respectivement à gérer les containers Docker que l'on va exécuter et à assurer le stockage dans un disque virtuel.
Maintenant, ouvrez Docker Desktop s'il n'est pas déjà ouvert. Cliquez sur l'icône paramètres en haut à droite. Dans l'onglet "General", je vous invite à cocher l'option "Use the WSL 2 based engine" si elle n'est pas déjà cochée.
Ensuite, cliquez sur l'onglet "Resources" puis sur "WSL Integration". C'est ici qu'il faut sélectionner les distributions pour lesquelles vous souhaitez activer la prise en charge de Docker.
Par défaut, l'option "Enable integration with my default WSL distro" est cochée. Cela signifie que votre distribution Linux par défaut bénéficie déjà de Docker. Pour savoir quelle est votre distribution Linux par défaut, utilisez la commande "wsl -l" : ce sera précisé "(par défaut)" au niveau de la distribution par défaut actuelle.
Dès que votre choix est fait, vous pouvez continuer. Tout en sachant qu'il sera possible d'y revenir à tout moment, vous connaissez le chemin maintenant.
V. Exécuter son premier container Docker sur WSL 2
Ce que je vous propose, c'est d'ouvrir une distribution pour laquelle vous avez activé Docker. Pour ma part, je vais accéder à la distribution Kali-Linux en mode console :
wsl -d Kali-linux
Une fois dans la console Linux, je vous invite à exécuter le container Docker "Hello World". Très basique, il va permettre de valider que Docker fonctionne bien sur notre machine Linux.
Voici la commande à exécuter :
docker run hello-world
L'image "hello-world" ne sera pas trouvée sur la machine, donc le container sera téléchargé depuis la librairie officielle. Une fois que ce sera fait, vous devriez obtenir deux lignes qui permettent de confirmer que tout est OK :
Hello from Docker!
This message shows that your installation appears to be working correctly.
En image, cela nous donne :
Si l'on regarde le message ci-dessus, on peut voir que nous sommes invités à exécuter un autre container. Ce container va permettre d'exécuter une imagine Ubuntu avec un shell (bash) en mode interactif. Je vous invite à tester :
docker run -it ubuntu bash
Suite à l'exécution de cette commande, on se retrouve avec un shell Linux entre les mains. Ce container est un environnement isolé de Windows et de notre distribution Linux gérée par WSL (bien qu'il en dépende). Si l'on regarde le nom de l'hôte, on peut voir qu'il a été généré aléatoirement.
En parallèle, ouvrez une seconde console au sein de votre distribution Linux et exécutez la commande ci-dessous pour lister les containers Docker actifs :
docker ps
Le container Docker basé sur l'image Ubuntu est bien en cours d'exécution.
VI. Un serveur Web avec Docker et WSL 2
Pour finir, nous allons exécuter un serveur Web Lighttpd en utilisant l'image "sebp/lighttpd". D'après la documentation, voici comment s'exécute cette image :
sudo docker run --rm -t -v <home-directory>:/var/www/localhost/htdocs -p <http-port>:80 sebp/lighttpd
Pour le "home-directory", c'est-à-dire la racine du site Web, nous allons choisir la racine du dossier personnel de l'utilisateur "florian", ce dernier étant l'utilisateur de ma distribution Kali Linux. Ce qui donne : /home/florian.
Nous devons aussi choisir un port d'écoute. Au sein du serveur Lighttpd, le port 80 sera utilisé, mais nous devons le mapper vers un autre port au niveau de notre distribution Linux (WSL). Par exemple, le port 8080.
Avant d'exécuter le container Docker, on va créer la page d'index de notre site :
nano /home/florian/index.html
Avec le contenu suivant :
<html>
<head></head>
<body>
<p>Hello from IT-Connect :)</p>
</body>
</html>
Maintenant, on va démarrer notre serveur Web :
sudo docker run --rm -t -v /home/florian:/var/www/localhost/htdocs -p 8080:80 sebp/lighttpd
L'image va être téléchargée et le container lancé... Pour s'y connecter, il suffit de prendre un navigateur et d'indiquer l'adresse suivante :
http://localhost:8080
ou
http://<adresse-IP-distribution-Linux>:8080
Nous arrivons bien à atteindre notre serveur Web puisque notre page index.html s'affiche ! Bravo !
Cela n'était qu'un exemple : maintenant à vous de jouer pour exécuter les containers Docker de vos rêves .
Episode n°8 disponible au format vidéo (comme les précédents) :
