Sucuri Sit-Down Episode 2: types de malwares expliqués avec Krasimir Konov


Les logiciels malveillants se présentent sous différentes formes. L'analyste Krasimir Konov est sur le Sucuri Sit-Down de ce mois pour aider à garder tout droit. Des iframes malveillants au spam SEO, rejoignez l'hôte Justin Channell alors qu'il attaque le cerveau de Krasimir sur tous les différents types de logiciels malveillants.

En outre, Krasimir discute de son récent article de blog sur un téléchargeur malveillant de cURL, et Justin décompose les dernières nouvelles de sécurité du site Web, y compris les plugins corrigés que vous devez mettre à jour.

Transcription du podcast

Justin Channell: Bonjour et bienvenue au Sucuri Sit Down. Je suis votre hôte, Justin Channell, et ceci est un podcast mensuel sur la sécurité des sites Web, où nous discutons en profondeur avec les experts en suppression de logiciels malveillants ici à Sucuri. Plus tard dans l'émission, je demanderai à notre analyste Krasimir Konov de discuter de différents types de logiciels malveillants, mais d'abord, examinons d'autres sujets que nous avons publiés sur notre blog et les notes des laboratoires Sucuri ce mois-ci. Tout d'abord, nous avons de nouvelles informations sur l'écrémage des cartes de crédit avec des pirates utilisant une méthode hybride pour voler des informations de paiement sur les sites de commerce électronique. Notre analyste Dennis Sinegubko a écrit à ce sujet pour le blog Sucuri début juin. Maintenant, la plupart des logiciels malveillants qui volent les cartes de crédit sont un JavaScript côté client qui saisit les données et les envoie à un serveur tiers.

Mais, cette approche présente un inconvénient pour les mauvais acteurs, car il est toujours possible de suivre les demandes et de les considérer comme suspectes. Maintenant, pour contourner cela, les mauvais acteurs ont commencé à récolter du côté du serveur d'informations en modifiant les fichiers PHP principaux. Dans ce cas, l'infection serait indétectable de l'extérieur, mais elle sera toujours assez facile à trouver car vous modifiez rarement l'un de ces fichiers de base, donc toutes les modifications qui vont arriver vont être méfiant. Pour contourner ces deux inconvénients, nous voyons de mauvais acteurs combiner les deux. Les extraits de code JavaScript côté client envoient donc des données de carte de crédit volées aux scripts côté serveur qu'ils ont installés sur le même serveur que le site.

Maintenant, cela permet aux mauvais acteurs de couvrir un peu leurs traces, car le trafic redirigé va vers le même serveur, et il est moins probable qu'il soit signalé comme suspect. C'est un peu plus compliqué à réaliser, mais notre équipe a vu cette approche hybride dans la nature, donc c'est quelque chose à rechercher. Maintenant, un autre mois s'est écoulé et nous avons trouvé plus d'attaques de script intersite ciblant les plugins WordPress. Plus particulièrement, nous en avons découvert un qui affecte les utilisateurs du plug-in YITH WooCommerce Ajax Product Filter. Maintenant, c'est un plugin qui permet de filtrer les magasins WooCommerce par type de produit, et il est assez populaire. Il compte environ 100 000 utilisateurs en ce moment, donc comme il est vulnérable, il est très important que tous mettent à jour vers la dernière version, qui est 3.11.1.

Parmi les autres plugins, nous avons trouvé des vulnérabilités de script intersite avec notamment Elementor Page Builder, Careerfy, JobSearch et Newspaper. Si vous recherchez une liste complète des vulnérabilités corrigées ce mois-ci, John Castro du blog Sucuri Labs vous a couvert. Consultez nos notes de spectacle pour le lien. En outre, ce mois-ci, j'ai fait monter un blog détaillant ce qu'on appelle un hack de jibberish. C'est essentiellement la même motivation qu'une attaque de spam SEO où les mauvais acteurs utilisent la bonne réputation de votre site pour rediriger les visiteurs vers leurs propres sites. Mais dans cette attaque, vous trouverez un tas de dossiers nommés au hasard remplis d'une tonne de fichiers HTML avec des noms de fichiers vraiment absurdes comme cheap-cool-hairstyles-photos.html. Ce sera juste un méli-mélo de mots clés que vous n'avez clairement pas mis ici.

Malheureusement, il ne suffit pas de supprimer tous ces fichiers et dossiers HTML pour se débarrasser de ce piratage jibberish. Vous devrez nettoyer complètement tous les fichiers et tables de base de données piratés, puis vous devrez faire face à tous les dommages causés à la réputation de votre site. Et n'oubliez pas que si vous trouvez quelque chose de trop intimidant à propos de ce processus, nous sommes toujours là pour vous aider. Maintenant, pour Sit Down ce mois-ci, nous avons Krasimir Konov, analyste chez Sucuri. Plus tôt en juin, il avait écrit une note de laboratoire sur un script de téléchargement malveillant qui utilisait la fonction curl, et nous en avons discuté un peu, mais plus important encore, nous avons approfondi toutes les différentes variétés de logiciels malveillants dont les propriétaires de sites Web ont besoin. être au courant.

Mais, avant de commencer avec Krasimir, je voulais juste vous rappeler le Sucuri Sync-Up, notre podcast sœur. Il s'agit d'un briefing hebdomadaire sur la sécurité du site Web que vous pouvez trouver partout où vous obtenez vos podcasts, ainsi que la version vidéo sur notre flux de médias sociaux, et maintenant vous pouvez même l'obtenir sur vos haut-parleurs intelligents Amazon Alexa. Recherchez simplement les compétences d'Amazon pour Sucuri Sync-Up, ajoutez le briefing flash et recevez du nouveau contenu tous les lundis. Maintenant, avec le spectacle.

Salut Krasimir, merci de nous avoir rejoint dans l'émission. Je pensais que nous pourrions commencer et peut-être pourriez-vous nous parler un peu de vous et de ce que vous faites ici à Sucuri?

Krasimir Konov: Oui bien sûr. Eh bien, j'ai rejoint Sucuri à l'origine en 2014, mais je travaille dans le secteur informatique depuis environ 10 ans. Neuf de ceux que j'ai fait la sécurité. Et actuellement chez Sucuri, je suis l'un des analystes de programmes malveillants. J’avais l'habitude de travailler en première ligne, de nettoyer les sites Web et ainsi de suite, puis j'ai progressivement progressé, et maintenant je travaille dans le département de recherche sur les logiciels malveillants. Et mon travail quotidien consiste essentiellement à analyser les logiciels malveillants, puis une fois que je les ai analysés et compris de quoi il s'agit, je vais créer une signature pour cela. Et nous ajouterons ces signatures à nos outils, afin que nous puissions automatiser une partie de notre travail. Et j'écris également des articles de blog Labs Notes. Habituellement, si je trouve quelque chose d'intéressant dans un logiciel malveillant ou un sujet de sécurité, j'écrirai à ce sujet.

Justin Channell: Ouais. Et parmi ces sujets récemment sur lesquels vous avez écrit, l'un concernait un téléchargeur de boucles malveillant, et comment cela a-t-il fonctionné exactement?

Krasimir Konov: Ouais. C'était intéressant, mais pas très unique ou quelque chose comme ça. Nous voyons cela beaucoup avec curl utilisé comme téléchargeur. C'est un malware très courant. Ainsi, plutôt que d'inclure le malware réel dans le fichier, les attaquants utiliseraient curl pour télécharger le code malveillant. Dans ce cas, ils le téléchargeront depuis Pastebin, mais cela pourrait être n'importe quoi. Ce pourrait être un autre site Web ou quelque chose comme ça, et curl ferait juste un appel au site Web, demanderait le code. Le site Web répondra avec le code, puis plus tard, il y a du code pour enregistrer la sortie quelque part sur le site Web, ou vous allez simplement l'exécuter via eval et exécuter le code réel immédiatement.

Justin Channell: Droite. Et vous avez dit qu'il se trouve couramment dans les logiciels malveillants, mais parlons peut-être un peu plus largement des logiciels malveillants en général. Qu'est-ce qui est classé comme malware?

Krasimir Konov: Eh bien, en général, ce sera tout ce que le propriétaire du site Web n'a pas autorisé, tout ce qui a été ajouté par un tiers. Il existe de nombreux logiciels malveillants différents. Cela pourrait même être quelque chose comme une dégradation qui sera également considérée comme un malware car c'est quelque chose que l'utilisateur n'a pas autorisé. Même s'il ne fait rien de malveillant sur le site Web, il n'infecte pas les utilisateurs, la visite est toujours quelque chose qu'ils n'ont pas autorisé. La dégradation serait donc également considérée comme un malware. Et même quelque chose comme un ransomware où le site Web n'est techniquement pas vraiment endommagé, il est tout crypté, mais il n'infecte personne. Il ne fait rien de malveillant, mais il continue de chiffrer l'intégralité du site Web et de demander à l'utilisateur ou au client, le propriétaire du site Web, une rançon qu'il doit payer pour remettre le site Web en ligne.

Justin Channell: D'accord. Décrivons-le peut-être pour chaque type de logiciel malveillant. Par exemple, quelle serait la manière dont les cadres en I pourraient être utilisés par un pirate malveillant?

Krasimir Konov: Ouais. Un cadre en I peut être utilisé de manière malveillante lorsqu'il charge du contenu depuis un autre emplacement. Vous pouvez regarder le cadre en I comme une fenêtre qui ouvre simplement un autre site Web. Donc, tout ce que contient ce site Web, vous le chargez à peu près via le cadre en I. Donc, si ce site Web est infecté et qu'il dessert une sorte de logiciel malveillant, en ouvrant un cadre en I, vous chargez tous ces éléments, tout ce qui était sur ce site Web. Et parfois, le cadre en I peut être aussi petit qu'un pixel ou quelque chose de caché quelque part sur l'écran, donc vous ne sauriez même pas qu'il l'ouvrait.

Justin Channell: Et oui, j'ai l'impression que nous en avons également vu beaucoup où ils sont presque aussi utilisés pour imiter les popups.

Krasimir Konov: Ouais. Je veux dire le cadre en I, il pourrait simplement se charger à partir d'un autre site Web et l'autre site Web pourrait faire n'importe quoi. Il pourrait servir uniquement des logiciels malveillants et il tenterait d'infecter l'utilisateur qui ne sait même pas qu'il est connecté à l'autre site Web. Il pourrait simplement avoir un autre JavaScript qui essaie simplement d'ouvrir des fenêtres contextuelles sur le site Web d'origine via l'I-frame. Ouais, ça pourrait être beaucoup de choses.

Justin Channell: D'accord. Et aussi, parlons un peu des redirections conditionnelles et de leur fonctionnement. Qu'est-ce qui permet à un script de détecter quels appareils entrent et d'où ils viennent?

Krasimir Konov: Droite. Ouais. C’est un problème courant que nous voyons beaucoup. Fondamentalement, une redirection conditionnelle serait quelque chose, c'est une redirection sur le site Web. C'est évidemment malveillant, mais certaines conditions doivent être remplies avant que la redirection ne soit réellement exécutée ou que la redirection se produise. Par exemple, disons s'il s'agit d'un site Web de phishing ou d'une page de phishing cachée quelque part sur le site Web. Par exemple, si Google le visite, l'attaquant ne souhaite évidemment pas que Google voie la page de phishing réelle et l'enregistre en tant que page de phishing. Ils chercheront donc, par exemple, l'adresse IP. Ils rechercheraient l'agent utilisateur. Et souvent, ils peuvent dire que c'est un bot. Donc, ils vont juste retourner une réponse 404, par exemple, qui sera comme, "Oh, page non trouvée." Donc, Google dirait: "Oh, il semble que cette page n'existe pas."

Mais si un utilisateur régulier accède à la même page, ces conditions seront remplies. Le site Web réel ou le script derrière l'hameçonnage vérifiera et verra, et sera comme, "Oh, celui-ci exécute Firefox ou Chrome", et sera comme, d'accord. Et puis ils regarderont l'IP et se diront, "Oh, il est dans n'importe quoi, il est aux États-Unis quelque part." Et il dit: "Oh, d'accord. C'est bon." Et puis une fois que toutes ces conditions sont remplies, le script réel leur servira de page de phishing réelle. Et ce sera comme "Oh, vous devez remplir ceci pour récupérer votre compte ou quoi que ce soit, ou tapez vos informations d'identification pour vous connecter ici."

Justin Channell: Et c'est donc le genre de chose que nous sommes vraiment, un propriétaire de site Web va se heurter à cela plus souvent lorsque les gens se plaignent qu'on leur sert du mauvais contenu ou autre, et ils ne semblent pas pouvoir le reproduire. Il s'agit probablement de ce type de redirections. Est-ce correct?

Krasimir Konov: D'accord, d'accord. Cela peut être quelque chose d'aussi spécifique que, par exemple, une plage d'adresses IP qui correspondent à un FAI ou peut-être à un pays. Cela pourrait être comme: «Oh, nous ne visions que des clients aux États-Unis», donc si vous vous connectez à partir d'un autre pays et que vous allez sur le même site Web ou la même page, cela dirait simplement 404. Cela vous donnera une page pas trouvé. Mais si vous disposez d'une adresse IP aux États-Unis, vous vous connectez aux États-Unis, la page de phishing s'affichera.

Justin Channell: Maintenant, un autre type de malware, je pense que nous voyons beaucoup ici est le spam SEO. Nous entendons des gens en parler. Quels sont les meilleurs mots-clés de spam SEO que vous voyez apparaître?

Krasimir Konov: Ouais. Nous obtenons beaucoup cela. Nous voyons beaucoup de spam sur les sites Web. Souvent, les attaquants utilisent le spam SEO pour obtenir le classement de leur propre site Web. Ou ils essaieront simplement d'inclure une sorte de spam SEO dans les liens vers un autre site Web qu'ils exécutent actuellement ou quelque chose du genre. Je veux dire, ces choses changent tout le temps. Un site Web peut donc durer une semaine, puis il disparaîtra, puis il lancera une autre campagne. Mais oui, on le voit souvent. Nous voyons toutes sortes de mots clés qu'ils utilisent. Les plus courants seront quelque chose comme le Viagra. Nous aurons des maillots similaires à vendre. Souvent, ils utilisent des marques connues comme Nike, Rolex, Prada. Nous avons même vu certains services de rédaction d'essais pour une raison quelconque. Je ne sais pas pourquoi, mais c'est courant. Nous voyons, par exemple, beaucoup de produits pharmaceutiques qui utiliseront des noms de médicaments spécifiques. Ils utiliseront toutes sortes de répliques, comme un sac de réplique de ceci, une réplique de ceci, une réplique de cela. Nous verrions des ordonnances, ainsi que des prêts sur salaire. Et évidemment, il existe des sites pour adultes et des choses comme ces mots clés.

Justin Channell: Donc, à peu près tout ce que les gens vont rechercher et cliquer sur sera probablement la cible du spam SEO?

Krasimir Konov: Droite. Je pense que la plupart d'entre eux sont généralement liés à l'industrie pharmaceutique, car beaucoup de gens cherchent à acheter des médicaments en ligne et nécessitent souvent une ordonnance. Donc, beaucoup de gens disent: "Oh, laissez-moi voir si je peux trouver ce médicament que je peux l'acheter en ligne quelque part." Ils n'ont pas besoin d'une ordonnance. Ils ne veulent pas payer pour consulter un médecin et ainsi de suite, et ils vont le chercher. Et ouais.

Justin Channell: Maintenant, chaque fois que le site Web de quelqu'un est piraté avec une attaque de spam SEO, quel genre d'effet peut-il avoir sur le site Web au-delà de sa simple dégradation?

Krasimir Konov: Ouais. Vous pouvez avoir beaucoup de choses qui peuvent arriver, des choses négatives. Par exemple, le site Web peut être mis sur liste noire en raison des mots clés. Et cela représente généralement un gros avertissement rouge lorsque vous visitez le site Web, selon qui l'a mis sur liste noire. Mais si c'est Google, par exemple, vous verrez un gros avertissement et il vous dira que ce site Web contient des logiciels malveillants ou qu'il y a un problème avec ce site Web. Ainsi, à peu près tout le trafic sur le site Web aura disparu. Et vous pouvez également perdre beaucoup de votre réputation s'il y a un spam SEO sur le site Web. Par exemple, si vous étiez classé numéro cinq pour certains mots clés qui représentent votre produit sur les moteurs de recherche Google, puis que vous êtes soudainement frappé par du spam SEO, tous ces moteurs de recherche vont ensuite visiter le site Web.

Et tout d'un coup, ils se disent: "Oh, il y a tous ces mots clés étranges ici, tout ce spam SEO qui cause beaucoup de signaux mitigés." Et les moteurs de recherche sont comme: «Oh, où classons-nous ce site Web maintenant? Les classons-nous avec ce produit qui est à l'origine le sujet du site Web? Ou prenons-nous en considération tous ces autres mots clés mélangés qui sont du spam SEO? " Donc, tout d'un coup, votre site Web peut passer du cinquième rang sur la première page à la 10e. Et puis vous vous situez pour tous ces autres mots clés que vous n'aviez pas l'intention de. Et puis les gens recherchent quelque chose de complètement différent. Ils recherchent des maillots ou quelque chose, ou maintenant ils recherchent des produits Prada, puis soudain, votre site Web apparaît. Vous n'obtenez donc pas vraiment de bon trafic, pas de trafic ciblé. Mais ouais.

Justin Channell: D'accord. Donc, à bien des égards, les effets du spam SEO seraient en quelque sorte les mêmes pour les dégradations ou tout type de malware avec la liste noire, mais cela apporte ce genre de partie unique où il peut également apporter du trafic que vous ne nous attendions pas de quelqu'un qui cherche des maillots, par exemple. Je n'y avais jamais vraiment pensé.

Krasimir Konov: D'accord, d'accord. Ouais. Cela apportera certainement du trafic. J'ai vu de nombreuses fois où des sites Web seront connectés. Disons qu'il y avait 1 000 sites Web qui étaient tous infectés par du spam SEO, et cela se lierait les uns aux autres pour essayer de se retrouver dans le classement. Et donc vous verriez beaucoup de trafic étrange provenant de certains sites Web aléatoires qui étaient, par exemple, qui étaient précédemment infectés, même s'ils pourraient ne plus l'être. Mais oui, ils vous enverront du trafic ou il y aura généralement des moteurs de recherche qui vous enverront du trafic, mais pour les mauvais mots clés. Les gens recherchent autre chose, alors évidemment, ils ne seront pas intéressés par votre site Web. Ils n'achèteront rien parce qu'ils ne recherchent pas cela.

Justin Channell: Et maintenant, en pensant à la façon dont les sites Web sont infectés, il semble très courant de recourir à des campagnes de phishing. Quelles sont vos recommandations sur les meilleurs moyens d'éviter de devenir une victime de phishing?

Krasimir Konov: Ouais. Il y a plusieurs façons. Je veux dire, cela dépend vraiment du type d'attaque. Évidemment, beaucoup de gens, quand ils pensent au phishing, pensent: "Oh, c'est comme une page de phishing PayPal et ça ressemble à l'original", mais cela pourrait être plus subtil. S'il s'agit simplement d'une page normale sur laquelle vous allez et que vous êtes redirigé vers un autre site Web, la première chose à vérifier est évidemment si vous avez les cadenas de sécurité, assurez-vous que le trafic est chiffré. Beaucoup de ces sites Web n’ont pas vraiment de cryptage de nos jours. De plus en plus commencent à l'obtenir avec les pré-SSL émis et ainsi de suite. Mais c'est la première chose à regarder et à voir, assurez-vous. Partout où vous saisissez vos informations sensibles, vous voulez vous assurer que vous avez le cadenas pour vous assurer que tout est crypté.

Krasimir Konov: Mais vous souhaitez également consulter l'URL du site Web que vous visitez. Souvent, ils essaient de le cacher. Vous devrez donc être prudent et regarder de près. Quelque chose qui pourrait être un je serai un L ou quelque chose comme ça. Et un I et un L majuscules pourraient ressembler à votre IRL, donc vous pourriez manquer quelque chose comme ça. Supposons que si vous recherchez PayPal et qu'il pourrait remplacer le L par un I, et si vous n'y regardez pas de près, il pourrait avoir exactement la même chose. Et vous vous dites "Oh, d'accord, c'est paypal.com", mais pas vraiment. Donc voilà. Faites juste attention à l'URL, assurez-vous qu'il s'agit du site Web réel. Il n'y a pas de point paypal.com, quelque chose d'autre, dot com. Ouais. Vous voulez simplement dire paypal.com, puis il y aura une barre oblique et autre chose.

Mais oui, cela devient plus compliqué lorsque vous avez, par exemple, une page de phishing qui est injectée dans une page standard. Par exemple, vous avez une page de paiement sur un site Web auprès duquel vous achetez des choses et vous parcourez la page de paiement et vous regardez où vous tapez vos informations de carte de crédit et ainsi de suite. Et vous pourriez avoir une page de phishing qui ressemble en fait exactement à une petite boîte qui vous indique où vous entrez votre numéro de carte de crédit, ou votre nom, votre adresse, et tout ça. Ce sera donc plus subtil. Par exemple, cela pourrait également être un cadre en I qui vient juste d'une autre page. Et cela ressemblera exactement à ce qu'il fait partie du site Web. Vous êtes sur le site Web légitime, mais seule cette partie du site Web est en fait la page de phishing. Et vous le regardez et vous vous dites: "Oh, d'accord. Ça semble bien. Je mets juste mes informations d'identification. "

Alors que l'on pourrait être beaucoup plus difficile à comprendre. Habituellement, si c'est quelque chose comme ça, je cherche quelque chose qui semble un peu à sa place. Peut-être n’ont-ils pas obtenu la bonne police. Il peut ne pas être identique au site Web d'origine ou il peut y avoir quelque chose de déplacé, certains champs manquants ou certains champs écrasés à gauche ou à droite. Ça a l'air un peu gênant. C'est comme, pourquoi serait-ce comme ça? L'ensemble du site Web semble professionnel. Il y a un fond rose ou quelque chose, par exemple, et puis tout à coup il y a cette boîte blanche au milieu. C'est comme, ah, ça a l'air bizarre, pas à sa place.

Justin Channell: Donc, à peu près si quelque chose semble légèrement hors de propos, vous devriez vraiment tout vérifier à ce stade.

Krasimir Konov: Droite. Droite. Ouais. Évidemment, il y a plus de façons que vous pouvez vérifier, mais je n'entrerais pas dans des aspects plus techniques, comme inspecter des éléments et regarder des choses, mais oui.

Justin Channell: Et maintenant, un autre type de malware qui est en quelque sorte, et qui joue avec toute autre infection, est les portes dérobées. Pouvez-vous nous donner quelques exemples de ce que peuvent être les portes dérobées? C'est principalement au moment où un pirate peut revenir sur le site pour le réinfecter, mais je sais qu'il existe une tonne de méthodes différentes. Et quelles sont les plus courantes et peut-être celles qui sont vraiment intéressantes que vous avez vues?

Krasimir Konov: Oui, il y en a beaucoup. Ils seront probablement l'une des premières choses que le pirate informatique ferait s'il compromettait un site Web, évidemment ils essaieraient de diffuser des portes dérobées et d'injecter du code partout pour qu'ils puissent y revenir, même si le propriétaire du site Web ou le webmaster le nettoie. Ils veulent essayer de cacher du code malveillant quelque part afin de pouvoir toujours y revenir. Il existe de nombreuses variantes. Une porte dérobée peut être quelque chose d'aussi simple qu'une simple ligne de code avec juste [inaudible 00:20:19] argument, une sorte de chaîne ou quelque chose via get ou post.

Krasimir Konov: Et puis il s'exécute dans un eval, donc il évalue le code et l'exécute. Et certaines portes dérobées sont très complexes et peuvent être incluses dans, disons que vous avez un site WordPress et que vous avez une page de connexion spécifique où toutes les informations de connexion sont traitées et tout le reste. Ils pourraient même y injecter du code pour contourner fondamentalement tout le mécanisme de connexion afin de pouvoir tout contourner. Ils n'ont même pas besoin de connaître un utilisateur. Ils n'ont pas besoin de connaître le mot de passe, rien. Ils y incluront simplement quelques lignes, et chaque fois ils pourront simplement se connecter.

Ouais. Ça devient assez fou. Ouais. Je veux dire, il y a toutes sortes de malwares. Il y a toujours un malware, par exemple, qui cible uniquement les cartes de crédit et ciblera uniquement les sites Web de commerce électronique. Et ils essaieront simplement de voler les identifiants de connexion, je veux dire, les cartes de crédit. Ils essaieront d'obtenir votre adresse, vos informations de carte de crédit, tout type de code CVV ou tout ce que vous avez tapé dans l'adresse de facturation, tout. Et puis il y a aussi des logiciels malveillants comme les portes dérobées qui essaient simplement de garder l'attaquant sous contrôle et de les ramener sur le site Web.

Il y a tellement de variantes de ce qu'un utilisateur malveillant pourrait vouloir faire sur un site Web. Certains peuvent être quelque chose d'aussi simple que de simplement réinfecter le site Web. Ils ne veulent pas garder le contrôle. Ils veulent juste continuer à le réinfecter avec une sorte de malware. Donc, même si vous le nettoyez, il sera simplement réinfecté. Certains d'entre eux dans la base de données, sinon pourraient être dans les fichiers. Nous en avons vu quelques-uns ajoutés à un travail [inaudible 00:22:14] qui continue de fonctionner sur le serveur. Il pourrait y avoir des logiciels malveillants qui ne sont qu'un géant pour, par exemple, attaquer des sites Web.

Comme par exemple, un service de déni distribué où ils mettent le même malware sur des milliers de sites Web. Et puis ils essaient d'envoyer du trafic vers un site Web pour essayer de le réduire. Ouais. Les gens essaient de faire toutes sortes de choses avec des sites Web. Nous avons même vu des logiciels malveillants d'exploitation de crypto-monnaie que vous accédez à un site Web et soudain, votre PC commence à fonctionner comme un fou. Et vous vous demandez, qu'est-ce qui se passe? Vos fans s'allument et le PC est 100% CPU. Et il s'avère que le site Web contient des logiciels malveillants qui proviennent uniquement de l'extraction de Bitcoins avec votre processeur et qu'il utilise tout cela.

Justin Channell: Sensationnel. D'accord. Donc, une question maintenant, la dernière question que je pose concerne tous les logiciels malveillants que vous avez vus, selon vous, quel est le logiciel malveillant le plus cool que vous ayez jamais vu?

Krasimir Konov: Je pense que le plus cool serait ceux qui sont si subtils que vous ne savez même pas que c'est là. Par exemple, nous en avons vu certains qui étaient assez innovants. Ce sera juste un code à une ligne qui est juste une ligne. Et par exemple, ce sera disons 40-50 caractères, quelque chose comme ça. Et c’est tout. Et ils le cacheront quelque part entre le code légitime. Et si vous ne savez pas ce que vous cherchez, vous ne le verrez jamais. Cela ne semble pas suspect. Il n'y a aucun lien vers un autre site Web. Il n'y a pas de code crypté ou quelque chose comme ça. C’est juste une simple ligne. Et puis, si vous faites simplement défiler le fichier à la recherche de quelque chose, vous ne le verrez jamais. Il ressemble à tous les autres codes. Et puis, si vous regardez de près, vous vous dites: "Oh, il y a ceci …" Regardez de près, et vous vous dites: "Oh wow, ce n'est pas censé être là." Et puis vous continuez à le regarder et vous vous dites: "Ça a l'air vraiment bizarre." Et puis vous voyez qu'il fait en fait des choses malveillantes et essaie d'évaluer du code ou de prendre une sortie de l'extérieur, je veux dire, une entrée de l'extérieur, vous pouvez l'appeler et lui donner du code à exécuter.

Justin Channell: Eh bien, Krasimir, merci d'être venu nous parler aujourd'hui.

Krasimir Konov: Ouais. Je vous remercie. Je vous remercie. Je suis tellement heureux. Je suis content d'avoir pu faire ce podcast et j'ai hâte d'en faire un autre.

Justin Channell: Oui, nous vous reverrons. Merci.

Krasimir Konov: Je vous remercie.

Justin Channell: Merci encore à Krasimir de nous avoir rejoints ici lors du Sit Down. Nous reviendrons avec un autre épisode le mois prochain. Assurez-vous donc de vous abonner sur les podcasts Apple, Spotify, Stitcher ou toute plate-forme de podcasting. Assurez-vous également de nous suivre sur les réseaux sociaux de Sucuri Security et de nous consulter sur sucuri.net. C'est S-U-C-U-R-I.net. Je suis Justin Channell, et ça a été le Sucuri Sit Down. Restez en sécurité là-bas.



Source link

On voit clairement qu’il est vraisemblable de se lancer rapidement sans argent et inconscient technique particulière. Je vous conseille de vous lancer rapidement en dropshipping et de absolument ne pas mettre trop d’argent sur votre site. Il vous faut indispensablement avoir un budget marchéage pour établir venir internautes sur votre boutique : c’est le nerf de la guerre. Car comme nous-mêmes l’ai dit, vous pouvez avoir la plus belle boutique. Sans trafic, vous ne ferez des fois de chiffre d’affaires. Une fois que vous aurez testé, votre marché vous allez pouvoir alors procurer un stock.