Microsoft améliore les capacités défensives de Windows Defender et Office 365
Avec des techniques de détection du spyware gouvernemental FinFisher

Le , par Patrick Ruiz, Chroniqueur Actualités
Dans un récent billet de blog, la firme de Redmond révèle comment elle est parvenue à cerner FinSpy, le célèbre logiciel espion vendu aux agences gouvernementales et aux services de renseignement par la société britannique Gamma Group. Windows Defender ATP et Office 365 ATP ont été améliorés pour une meilleure détection du spyware.


Le maliciel est, d’avis d’experts, l’un des plus sophistiqués dans sa filière. « Depuis 2010, les logiciels espions FinFisher ont fait l’objet de mesures anti-analyses importantes, c’est probablement la raison pour laquelle les rapports les plus récents sur FinFisher ne donnent pas beaucoup de détails techniques. Dans l’un des rapports, une société de sécurité réputée a même admis qu’en raison d’un fort obscurcissement, il n’a pas été possible de faire l’extraction des serveurs C&C », écrit ESET au sujet du logiciel malveillant. La firme lui consacre d’ailleurs tout un livre blanc intitulé Guide d’ESET pour le désobscurcissement et la dévirtualisation de FinFisher.

Les publications d’ESET et de Microsoft portent certainement sur des versions différentes du maliciel, mais ont un dénominateur commun : l’emploi de techniques destinées à protéger la charge malicieuse principale des regards « indiscrets » des chercheurs en sécurité. L’échantillon sur lequel Microsoft a travaillé semble cependant être d’un niveau de complexité plus important, puisqu’équipé de plus de machines virtuelles que celui d’ESET.

« La société derrière FinFisher a construit une entreprise de plusieurs millions de dollars autour de ce spyware – il n’est donc pas surprenant qu’ils mettent un effort beaucoup plus grand dans la dissimulation et l’obscurcissement que la plupart des cybercriminels communs », soulignent les chercheurs d’ESET.


FinFisher peut être transmis à une cible par voie de courriel, en 2011, Ahmed Mansoor – un défenseur des droits de l’homme aux Émirats arabes unis – a reçu un exécutable du logiciel malveillant camouflé dans un email. La tentative avait été rapportée par Citizen Lab, une firme de sécurité attachée à l’université de Toronto. Le rapport le plus inquiétant à propos de ce spyware reste certainement celui de l’implication des fournisseurs d’accès Internet dans des campagnes de surveillance de masse. La nouvelle avait filtré sur cette plateforme en septembre 2017. ESET avait fait état de la mise sur pied de mécanismes au niveau des infrastructures des ISP pour rediriger des requêtes de téléchargement d’applications populaires vers des serveurs contenant des versions infectées par le logiciel espion.

Sources

Microsoft

ESET

Votre opinion

Utilisez-vous Windows Defender ? Quel commentaire faites-vous de la disponibilité de ces nouvelles protections ?

Quelle autre solution antispyware recommandez-vous ?

Voir aussi

Microsoft corrige une vulnérabilité zero-day dans Office qui a été utilisée pour déployer le spyware FinSpy


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de CoderInTheDark CoderInTheDark - Membre expérimenté https://www.developpez.com
le 07/03/2018 à 14:12
J'ai kapersky internet security, comme il est vendu par trois je l'installe chez mes parents et je me garde une licence.
Mais pour un paranoïaque comme moi c'est juste un minimum légal.
Mais malgré tout, je pense qu'il permet d'établir un premier rempart efficace pour les utilisateurs non-informaticiens.
Et surtout c'est moi que ma famille appelle quand Windows plante.
Alors je préfère prévenir que guérir

Avez-vous le même problème à expliquer ?
"Je suis développeur informatique, ça ne veux pas dire que je sais régler tous les problèmes avec ton Windows."
Et surtout ça me fatigue.

Kapersky internet security me semble plutôt efficace, il bloque beaucoup de chose.
Les dernière version sont plus sobres en matière de ressources systèmes, ça a longtemps été un problème.

J'ai aussi "spy bot search and destroy" en doublon avec"adwcleaner"
Un scan régulier me permet de constater qu'il ya des trucs qui passent

Et "cleaner " pour corriger les erreurs de la base en compléments
Certains problèmes de base peuvent permettre à s*!* de passer
Mais je me demande si j'ai une bonne stratégie globale.

 
Contacter le responsable de la rubrique Accueil