Le malware TrickBot est de retour ! Les chercheurs de chez Menlo Security ont identifié une campagne de phishing en cours qui a pour objectif de distribuer TrickBot !

Il y a quatre mois, plusieurs sociétés, dont Microsoft, avaient tenté d'affaiblir TrickBot. Cela avait mené à la saisie de 120 serveurs sur 128 au total, mais cette victoire est de courte durée puisque TrickBot semble reprendre du service.

Depuis sa création, TrickBot est utilisé dans des campagnes de spam et dans les chaînes de contamination pour distribuer des ransomwares et d'autres malwares, il agit comme un loader. D'ailleurs, au même titre qu'Emotet, il est dans la chaîne de contamination du ransomware Ryuk, par exemple.

Pour le moment, le retour du malware est plutôt discret et la campagne de phishing est distribuée en Amérique du Nord. D'après Menlo Security, ce sont les entreprises du secteur juridique et de l'assurance qui sont visées. Cet e-mail frauduleux contient un lien vers un site malveillant où l'objectif est de faire télécharger un fichier JavaScript à la victime. Le prétexte pour inciter la victime à télécharger le fichier : il s'agirait d'un document légal relatif à une infraction.

Dès lors que ce fichier est ouvert sur votre PC, il va tout simplement récupérer TrickBot. Ensuite, le malware serait en mesure de collecter des identifiants sur l'ordinateur de la victime. Ces identifiants pourront être revendus et/ou utilisés pour réaliser de l'espionnage.

TrickBot sera à surveiller de près pour éviter qu'il redevienne aussi ravageur qu'il a pu l'être par le passé.

The post TrickBot est de retour : il s’attaque au secteur juridique et aux assureurs first appeared on IT-Connect.

En ce lundi 1er février, les services de chez ProtonMail ont subit une panne d'une heure en première partie de matinée entre 08h40 et 09h40. Cette panne touche de nombreux services de l'entreprise Suisse.

Si vous utilisez ProtonMail pour gérer vos e-mails perso ou si votre entreprise utilise ce service, vous avez pu constater un dysfonctionnement ce matin. D'ailleurs, cette panne a touchée plusieurs services et pas seulement ProtonMail. Voici la liste des services impactés : ProtonMail Bridge, ProtonVPN, ProtonCalendar et ProtonDrive.

We are currently experiencing some technical difficulties with a planned maintenance, and are working to bring the service back online as soon as possible. We will update here and on https://t.co/HANnrpOKDg as soon as we have more information.

— ProtonMail (@ProtonMail) February 1, 2021

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Environ une heure après le début de l'incident, tout est revenu à la normale d'après le statut des services affichés sur "protonstatus.com". L'incident se nomme "Database intervention" et d'après le suivi de cet incident, ce serait suite à une maintenance planifiée qui a mal tournée.

Pour rappel, ProtonMail est une solution de messagerie électronique sécurisée qui s'appuie sur du chiffrement point-à-point. Cette solution mise sur la sécurité et le respect de votre vie privée. J'utilise ProtonMail en version gratuite et ça fonctionne très bien !

Source

The post ProtonMail commence février par une panne mondiale first appeared on IT-Connect.

Les auteurs du ransomware Fonix ont pris la décision d'arrêter les activités liées à ce malware. Cette décision s'accompagne de la clé de déchiffrement qui doit permettre aux victimes de récupérer leurs données.

Actif depuis juin 2020, ce ransomware a une activité régulière depuis sa création et il est connu également sous d'autres noms : Xinof et FonixCrypter. D'ailleurs, depuis novembre 2020 ont constate même une augmentation de son activité à en croire les remontées sur le site ID Ransomware. Les fichiers chiffrés par ces ransomwares utilisent les extensions suivantes : .FONIX, .repter, .XINOFs et .conf.

Il s'avère qu'un membre de l'équipe derrière le ransomware Fonix a annoncé sur Twitter que le projet allait prendre fin, et que la clé de déchiffrement serait publiée. Néanmoins, d'après le message publié il y aurait quelques divergences entre les membres de l'équipe. Ils ne sont pas tous d'accord avec cette décision de stopper le projet. Il est légitime de penser que ces personnes vont s'investir dans un nouveau projet, et pourquoi pas créer un nouveau ransomware...

End of FonixCrypter Project :#Fonix #ransomware #XINOF #FonixCrypter #close_project #hack #Malware #raas #ransomware_as_a_service pic.twitter.com/wQdmp61juX

— fnx (@fnx67482837) January 29, 2021

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Dans un second tweet, nous pouvons retrouver un lien vers le fichier "Fonix_decrypter.rar" : il contient un outil de déchiffrement et la clé de déchiffrement maître. Néanmoins, ce lien ne semble plus fonctionner pour le moment.

D'après le site BleepingComputer qui a pu avoir accès à cet outil, ce ne serait pas un outil de déchiffrement à destination des victimes. Il s'agit d'un outil destiné à être utilisé en interne par l'équipe Fonix. En fait, cet outil sert à prouver aux victimes que les attaquants sont bien en mesure de déchiffrer leurs données. Il ne permet pas de déchiffrer un système complet, mais plutôt un échantillon de données, et serait relativement instable.

À partir de la clé de déchiffrement fournie, les équipes de chez Emisoft travaillent sur un outil de déchiffrement stable qui permettra de récupérer l'ensemble de ses données facilement. Reste à savoir quand il sera disponible.

Pour rappel, Bitdefender a publié récemment un outil de déchiffrement pour le malware DarkSide.

Source

The post Les auteurs du ransomware Fonix délivrent la clé de déchiffrement first appeared on IT-Connect.

I. Présentation

De nombreuses attaques informatiques ont pour origine un e-mail piégé qui contenait une pièce jointe malveillante ou un lien malveillant. Pour réduire les risques et permettre aux utilisateurs d'identifier facilement les e-mails externes, on peut ajouter un préfixe à l'objet de tous les e-mails externes. En complément, on peut ajouter ce que l'on appelle un "disclaimer" au début du message. Concrètement, si l'un utilisateur de votre entreprise reçoit un e-mail d'une personne de l'extérieur, voici à quoi ressemblera l'e-mail avec ce que l'on va mettre en place aujourd'hui :

D'une part, nous avons le préfixe [EXTERNE] dans l'objet de l'e-mail, et d'autre part, le disclaimer représenté par l'encadré jaune pour rappeler aux utilisateurs les bons réflexes à prendre lorsque l'e-mail provient de l'extérieur.

II. Exchange Online : créer une règle pour les e-mails externes

Pour commencer, rendez-vous sur le Centre d'administration Exchange : Exchange admin center

Sur la gauche, cliquez sur "Flux de courrier" puis sur "Règles".

Ensuite, cliquez sur le "+" puis "Créer une règle" pour lancer l'assistant.

Donnez un nom à cette règle, par exemple "Disclaimer e-mail externe". Cliquez sur le bouton "Plus d'options" pour avoir les options avancées, sinon vous ne pourrez pas créer la règle.

Maintenant, concentrez-vous et choisissez les bonnes options !

Pour la section "Appliquer cette règle si..." vous devez créer deux conditions :

• Le destinataire se situe dans l'organisation
• L'expéditeur se situe hors de l'organisation

Pour la première règle, choisissez "Le destinataire" puis "interne/externe" pour choisir ensuite "Dans l'organisation". Sur le même principe, créez la deuxième en prenant "L'expéditeur".

Ce qui donne :

Maintenant, pour la zone "Procéder comme suit...", vous avez plusieurs options. Ajouter seulement le préfixe à l'objet des e-mails, ajouter seulement le disclaimer, ou alors les deux.

Pour ajouter un préfixe à l'objet, choisissez "Ajouter à l'objet du message le préfixe..." et indiquez la valeur "[EXTERNE] ". Veillez à bien ajouter un espace après le "]" sinon l'objet d'origine de l'e-mail sera collé au crochet, ce qui est pas très propre.

Pour ajouter le disclaimer, ajoutez une nouvelle action. Choisissez "Appliquer une exclusion de responsabilité au message" puis "Ajouter une clause d'exclusion de responsabilité". Ajoutez le code HTML suivant (vous pouvez le modifier au niveau du texte et des couleurs) :

<div style="border:solid #9C6500 1.0pt;padding:2.0pt 2.0pt 2.0pt 2.0pt"> <p class="MsoNormal" style="line-height:12.0pt;background:#FFEB9C"><span style="font-size:10.0pt;color:#9C6500;mso-fareast-language:FR">ATTENTION:</span><span style="font-size:10.0pt;color:black;mso-fareast-language:FR"> Cet e-mail provient d'une personne externe à votre organisation. Ne cliquez pas sur les liens ou n'ouvrez pas sur les pièces jointes si vous ne connaissez pas l'expéditeur et que vous n'êtes pas sûr que le contenu est sûr.</span><o:p></o:p></p> </div> <p class="MsoNormal">'

Ce qui donne la règle ci-dessous au final :

Cliquez sur "Enregistrer" si c'est bon de votre côté, mais avant cela, prenez en considération cette subtilité :

Si vous avez des serveurs externes, qui envoient des e-mails avec votre domaine de messagerie (celui de votre tenant) mais que vous utilisez un relais SMTP, l'e-mail sera considéré comme externe. Vous devez ajouter les adresses IP publiques de ces serveurs dans la zone "Sauf si" avec la valeur "L'adresse IP de l'expéditeur est dans cette page" et indiquez les différentes adresses IP.

Il y a de fortes chances pour que ces adresses IP soient déjà déclarées dans l'enregistrement SPF de votre domaine de messagerie. Vous pouvez récupérer facilement ces valeurs sur le site WhatsMyDns. Mettez votre nom de domaine et sélectionnez le type "TXT" avant de lancer une recherche pour récupérer les adresses IP.

Une fois que tout est prêt et que la règle est créée, elle apparaît aux côtés de celles déjà existantes sur votre tenant Office 365.

Il ne vous reste plus qu'à tester et vous devez obtenir un résultat semblable à celui présenté en introduction.

Merci à Merwan Z. pour m'avoir fourni son brouillon (et l'idée) de cet article !

The post Office 365 – Ajouter un préfixe à l’objet et un disclaimer aux e-mails externes first appeared on IT-Connect.

Xiaomi dévoile un nouveau système innovant baptisé Xiaomi Mi Air Charge qui permet de recharger votre smartphone sans-fil à distance !

Ne plus avoir de câble ni de socle pour recharger son téléphone n'est-il pas le rêve ultime ? En tout cas pour moi oui ! Xiaomi est peut-être en train de réaliser ce doux rêve.

Parce que oui on parle depuis quelques années de recharge sans-fil, mais on est quand même obligé de le poser sur une base. Malgré tout, ce contact entre le socle et le smartphone était nécessaire. Si l'on se veut utiliser son smartphone, forcément la charge s'arrête puisque l'appareil n'est plus posé sur sa base.

Xiaomi vient d'annoncer une recharge réellement sans fil. Un boitier dans la pièce suffira pour recharger les smartphones ou tout autre appareil compatibles.

Vous pourrez recharger plusieurs appareils en même temps ! Alors bien sûr on en est qu'au début et il n'y a pour le moment aucune date de commercialisation, mais cela promet pour le futur ! Xiaomi indique également qu'ils ne savent pas encore l'impact sur la 5G ou le Wi-Fi car il y a de nombreuses antennes dans ce boîtier. Par exemple, il y a 5 antennes pour localiser l'appareil dans l'environnement. Néanmoins, les obstacles physiques n'impacteraient pas le signal.

Alors que l'on commence à atteindre des puissances très intéressantes avec la recharge rapide telle qu'on la connaît aujourd'hui, la techno Xiaomi Mi Air Charge se limite à 5W pour le moment de 5W. Pour le moment, la recharge rapide est à oublier, mais Xiaomi serait sur le point de nous offrir la vraie recharge sans-fil.

Comme moi, êtes-vous impatient de voir cette technologie arriver sur le marché ?

Je vous laisse en compagnie de la vidéo officielle de Xiaomi.

Source

The post Xiaomi Mi Air Charge : Xiaomi invente la recharge sans-fil à distance first appeared on IT-Connect.