Locky ransomware uses decoy image files to ambush Facebook, LinkedIn accounts

Low-tech malware snares users via flaws in social networks' code to spread automatically.

A low-tech but cunning malware program is worrying security researchers after it started spreading rapidly in the past week through a new attack vector: by forcibly exploiting vulnerabilities in Facebook and LinkedIn.

According to the Israeli security firm Check Point, security flaws in the two social networks allow a maliciously coded image file to download itself to a user's computer. Users who notice the download, and who then access the file, cause malicious code to install "Locky" ransomware onto their computers.

FURTHER READING

“Locky” crypto-ransomware rides in on malicious Word document macro

Locky has been around since early this year, and works by encrypting victims' files and demands a payment of around half a bitcoin (currently £294; $365) for the key. Previously, it had relied on a malicious macro in Word documents and spam e-mails, but Check Point says that in the past week there has been a "massive spread of the Locky ransomware via social media, particularly in its Facebook-based campaign."

Check Point won't go into detail on how the exploit works until the vulnerability is patched by LinkedIn and Facebook. However, its researchers have claimed:

The attackers have built a new capability to embed malicious code into an image file and successfully upload it to the social media website. The attackers exploit a misconfiguration on the social media infrastructure to deliberately force their victims to download the image file. This results in infection of the users’ device as soon as the end-user clicks on the downloaded file.

As more people spend time on social networking sites, hackers have turned their focus to find a way in to these platforms. Cyber criminals understand these sites are usually 'white listed,' and for this reason, they are continually searching for new techniques to use social media as hosts for their malicious activities.

http://arstechnica.com/security/2016/11/locky-ransomware-decoy-image-files-boobytrap-facebook-linkedin/

Locky attaque vos compte LinkedIn et Facebook.. On vous dit comment éviter l infection !

Le virus se présente sous la forme d'une image au format .svg et force l'utilisateur à télécharger une extension infectée.

Messenger et LinkedIn en proie à un virus via une simple image... 

L'application de messagerie instantanée de Facebook et le réseau social dédié aux professionnels sont depuis quelques jours visés par un virus baptisé Locky. Une simple image. Celui-ci se propage de manière enfantine via l'envoi d'une image au format .svg. 

Cette dernière renvoie alors vers une vidéo qui nécessite le téléchargement d'une extension pour être lue. Problème, l'extension en question est infectée et active, dès son téléchargement terminé, un ransomware. Autrement dit, "tous les fichiers présents sur leur appareil personnel sont automatiquement chiffrés et ne peuvent être récupérés qu'après paiement de la rançon", explique Check Point, l'entreprise spécialiste de la sécurité à l'origine de la découverte. Eviter de télécharger des fichiers aux extensions inhabituelles. Encore actif, ce logiciel malveillant exploite une faille de sécurité des deux réseaux sociaux. "Les agresseurs exploitent un défaut de configuration dans l'infrastructure des réseaux sociaux pour forcer délibérément leurs victimes à télécharger le fichier image", détaille Check Point. Pour éviter ce genre de problème, il est donc préférable de ne jamais télécharger de fichiers aux extensions inhabituelles comme les .svg, .js ou .hta. Enfin, si jamais le téléchargement du logiciel est déjà lancé, mieux vaut ne pas l'ouvrir. Pas une première. Check Point ne précise pas combien de personnes sont concernées par ce piratage, mais l'entreprise estime que, au mois d’octobre, ce dernier est impliqué dans 5% des attaques constatées à travers le monde. La propagation d'un tel virus sur les réseaux sociaux est d'ailleurs loin d'être une première. Il y a quelques semaines un autre virus, baptisé Eko, utilisait déjà la même technique sur Messenger.

  http://www.europe1.fr/technologies/facebook-messenger-et-linkedin-touches-par-un-nouveau-virus-2911154#xtor=CS1-16

IOT RECEIVES ATTENTION FROM THE WHITE HOUSE

https://exosite.com/iot-white-house/

ORACLE ACQUIRES DNS PROVIDER DYN AFTER 21ST OCTOBER ATTACK

https://techcrunch.com/2016/11/21/oracle-acquires-dns-provider-dyn-subject-of-a-massive-ddos-attack-in-october/?ncid=rss&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29&utm_content=FaceBook&sr_share=facebook

Reda Zitouni Mobiquant YesUcan story Société

VOila une page se tourne et elle fut belle. A présent je me dédie pendant donné à mon reve de toujours un tour du monde, sans montre, sans emails, sans smartphone, sans pc, sans conference, sans salon, sans appels clients, sans soucis support...bref la liberté du temps qui file et s'efile lentement.

De nombreux visages, de nombreuses rencontres déja entreprises, du Canada à l'Asie. Les journées se faufilent au grè des levers et des couchers de soleil mais...ne se ressemble pas !.

Des idées, des projets, des envies pour l'après il y'en a pleins !. Mais après 9 ans de folle vie dans le tourbillon de l'entrepreneur , je n'aspire qu'à une chose : contempler, renifler le fond de l'air et profiter d'un temps plus élastique plus doux et plus serein. C'est aussi le contexte idéal pour maturer les idées.

WeMo IoT Vulnerability Lets Attackers Run Code On Android Phone

Vulnerabilities in Belkin's WeMo home automation device, now fixed, could exploit Android smartphones or grant root to WeMo.

The DDoS attack on DNS provider Dyn Oct. 21 brought IoT security into the general public’s consciousness for the first time. Now, researchers from Invincea Labs have discovered two vulnerabilities in Belkin’s WeMo home automation devices, one of which demonstrated that a flaw in an IoT device could cause problems with an Android smartphone.

“In the past, people may not have been concerned if there were vulnerabilities with their Internet-connected lighting or crockpot, but now that we’ve discovered that bugs in IoT systems can impact their smartphones, people will pay a bit more attention,” says Scott Tenaglia, research director at Invincea Labs. “It’s the first case that we’ve found that an insecure IoT device could be used to run malicious code inside a phone.”

Tenaglia, along with Joseph Tanen, lead research engineer, conducted their tests over the summer. They found two vulnerabilities. The first is a SQL injection vulnerability that could be used to gain root access to a WeMo device. When the WeMo app on the smartphone would set a rule that, for example, would make all the lights in the home shut off at 10 p.m., the app would run a SQL query that was susceptible to SQL injection.

The fix, which Belkin confirmed was made available yesterday, was to release firmware that sanitizes the inputs used to build SQL queries. Belkin said it will push the fix out via the app, so users will see a new firmware notification when they open up the application.

For the second vulnerability, Tenaglia and Tanen found that the name of the device that’s displayed in the Android app could be changed to a malicious string containing JavaScript code. So when a user would open the device in the app, instead of displaying “Upstairs Baby Monitor,” for example, the phone would execute the malicious code contained in the name. Tanen said users would know that something was wrong because instead of Upstairs Baby Monitor they would see an alphanumeric string and language that looked like code instead of plain English.

Belkin issued a fix for this flaw with a software update included in version 1.15.2 back in August. The fix was to update the Apache Cordova framework that the application is based on. Once a user installs the patch, the malicious code does not launch. 

Tenaglia and Tanen will present their research this Friday morning at Black Hat Europe 2016 in London at a session titled, Breaking BHAD: Abusing Belkin Home Automation Devices. 

Reda Zitouni : Welcome sur le blog. Société, edito, bulletin...

Le gouvernement passe en force pour faire payer des cotisations sociales aux travailleurs collaboratifs.

Les travailleurs des plates-formes collaboratives devront bien payer des cotisations sociales à partir d'un certain niveau de revenu. Jeudi soir, le gouvernement a imposé une deuxième délibération en première lecture à l'Assemblée nationale sur un article du projet de loi de financement de la Sécurité sociale qui divise la majorité. Il est parvenu à passer en force sa mesure, en version amendée.

Le seuil à partir duquel ces particuliers seront considérés comme des professionnels, fixé à 23.000 euros par an pour un particulier qui loue son logement, demeure inchangé par rapport au projet de loi initial. L'autre seuil, pour la location de biens meubles (voitures, poussettes, motoculteurs...), double, passant de 3.860 euros à 7.720 euros par an. Ceux qui sont considérés comme des professionnels devront s'enregistrer au Régime social des indépendants et payer des cotisations sociales.Tôt dans la nuit, jeudi matin, les députés avaient pourtant voté la suppression de cet article. Coup de théâtre quelques heures plus tard : l'après-midi, le secrétaire d'Etat au Budget, Christian Eckert, a annoncé la tenue d'une deuxième délibération sur le sujet, arguant que certains députés regrettaient leur vote, intervenu « dans la confusion de la nuit et peut-être avec la fatigue ».Pour Bercy, l'essentiel n'est pas de récupérer des cotisations sociales, mais de réguler l'économie collaborative, comme l'a expliqué Christian Eckert lors du débat : « Si nous ne traitons pas le problème, nous laissons s'installer des habitudes sur lesquelles il sera difficile de revenir [...] Nous refilerions la patate chaude à nos successeurs. » « Nous ne voulons pas corseter, mais accompagner » le développement de l'économie collaborative, a-t-il plaidé.

Eviter les dérives

De nombreux députés font, au contraire, un principe de ne pas légiférer. « Prématuré », tranchent les écologistes et une partie de la gauche, qui pointent « la nécessité de maintenir la possibilité d'accéder à des revenus complémentaires » pendant la crise. Pour eux, le travail collaboratif « pourrait judicieusement trouver sa place au sein de l'économie sociale et solidaire ».

A droite, Dominique Tian s'alarme: « Les chômeurs ayant besoin d'un revenu d'appoint pourraient être privés de leurs droits à indemnisation », souligne le député LR. De plus, l'affiliation au RSI fait peur, suite aux dysfonctionnements dont ont souffert ses affiliés. La recette initiale de cet article de loi avait été estimée à 10 millions d'euros pour la Sécurité sociale dès 2017, et 40 millions en 2020, avec pour hypothèse un chiffre d'affaires de 380 millions en 2015 croissant de 10 % par an. Une faible proportion des travailleurs collaboratifs serait touchée, puisque, un particulier partageant sa voiture sur Drivy gagne en moyenne 672 euros par an.

Tandis que celui louant son logement sur Airbnb gagne 3.600 euros par an. « Il y a des abus, des gens qui ont plusieurs véhicules et qui font 50.000 euros en les partageant, nous les redressons », a souligné Christian Eckert, pour montrer que l'objectif n'est pas de matraquer les petites gens mais d'éviter les dérives et la concurrence déloyale.