{"id":1009219,"date":"2023-11-09T14:14:51","date_gmt":"2023-11-09T16:14:51","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-nouvelle-campagne-de-publicite-malveillante-utilise-un-faux-portail-windows-news-pour-distribuer-des-installateurs-malveillants\/"},"modified":"2023-11-09T14:14:55","modified_gmt":"2023-11-09T16:14:55","slug":"une-nouvelle-campagne-de-publicite-malveillante-utilise-un-faux-portail-windows-news-pour-distribuer-des-installateurs-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-nouvelle-campagne-de-publicite-malveillante-utilise-un-faux-portail-windows-news-pour-distribuer-des-installateurs-malveillants\/","title":{"rendered":"Une nouvelle campagne de publicit\u00e9 malveillante utilise un faux portail Windows News pour distribuer des installateurs malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 novembre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des points finaux\/logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Une-nouvelle-campagne-de-publicite-malveillante-utilise-un-faux-portail.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Il a \u00e9t\u00e9 d\u00e9couvert qu&#8217;une nouvelle campagne de publicit\u00e9 malveillante utilise de faux sites se faisant passer pour un portail d&#8217;actualit\u00e9s Windows l\u00e9gitime pour propager un programme d&#8217;installation malveillant pour un outil de profilage syst\u00e8me populaire appel\u00e9 CPU-Z.<\/p>\n<p>&#8220;Cet incident fait partie d&#8217;une campagne de publicit\u00e9 malveillante plus vaste qui cible d&#8217;autres utilitaires comme Notepad++, Citrix et VNC Viewer, comme le montrent son infrastructure (noms de domaine) et les mod\u00e8les de masquage utilis\u00e9s pour \u00e9viter la d\u00e9tection&#8221;, a d\u00e9clar\u00e9 J\u00e9r\u00f4me Segura de Malwarebytes. <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/11\/malvertiser-copies-pc-news-site-to-deliver-infostealer\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Alors que les campagnes de publicit\u00e9 malveillante sont connues pour cr\u00e9er des r\u00e9pliques de sites faisant la publicit\u00e9 de logiciels largement utilis\u00e9s, la derni\u00e8re activit\u00e9 marque une d\u00e9viation dans la mesure o\u00f9 le site Web imite WindowsReport.[.]com.<\/p>\n<p>L&#8217;objectif est de tromper les utilisateurs peu m\u00e9fiants recherchant CPU-Z sur les moteurs de recherche comme Google en diffusant des publicit\u00e9s malveillantes qui, une fois cliqu\u00e9es, les redirigent vers le faux portail (workspace-app[.]en ligne).<\/p>\n<p>Dans le m\u00eame temps, les utilisateurs qui ne sont pas les victimes vis\u00e9es de la campagne se voient proposer un blog inoffensif contenant diff\u00e9rents articles, une technique connue sous le nom de cloaking.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/4WnFxcNN\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Les-experts-mettent-en-garde-contre-les-pirates-de-ransomware.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le programme d&#8217;installation MSI sign\u00e9 h\u00e9berg\u00e9 sur le site Web malveillant contient un script PowerShell malveillant, un chargeur connu sous le nom de FakeBat (alias EugenLoader), qui sert de canal pour d\u00e9ployer RedLine Stealer sur l&#8217;h\u00f4te compromis.<\/p>\n<p>&#8220;Il est possible que l&#8217;auteur de la menace ait choisi de cr\u00e9er un site leurre ressemblant \u00e0 Windows Report, car de nombreux utilitaires logiciels sont souvent t\u00e9l\u00e9charg\u00e9s \u00e0 partir de ces portails au lieu de leur page Web officielle&#8221;, a not\u00e9 Segura.<\/p>\n<p>C\u2019est loin d\u2019\u00eatre la premi\u00e8re fois que des publicit\u00e9s Google Ads trompeuses destin\u00e9es \u00e0 des logiciels populaires se r\u00e9v\u00e8lent \u00eatre un vecteur de distribution de logiciels malveillants.  La semaine derni\u00e8re, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 eSentire <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/nitrogen-campaign-2-0-reloads-with-enhanced-capabilities-leading-to-alphv-blackcat-ransomware\" target=\"_blank\">divulgu\u00e9<\/a> les d\u00e9tails d&#8217;une campagne Nitrogen mise \u00e0 jour qui ouvre la voie \u00e0 une attaque de ransomware BlackCat.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/1699546490_669_Une-nouvelle-campagne-de-publicite-malveillante-utilise-un-faux-portail.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/1699546490_669_Une-nouvelle-campagne-de-publicite-malveillante-utilise-un-faux-portail.jpg\" alt=\"Publicit\u00e9 malveillante\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"Publicit\u00e9 malveillante\"\/><\/a><\/div>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/netwire-rat-the-stealthy-invasion-via-frenchy-shellcode\" target=\"_blank\">Deux autres<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/from-darkgate-to-danabot\" target=\"_blank\">campagnes<\/a> document\u00e9s par la soci\u00e9t\u00e9 canadienne de cybers\u00e9curit\u00e9 montrent que le <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Drive-by_download\" target=\"_blank\">m\u00e9thode de t\u00e9l\u00e9chargement en voiture<\/a> Le fait de diriger les utilisateurs vers des sites Web douteux a \u00e9t\u00e9 exploit\u00e9 pour propager diverses familles de logiciels malveillants comme NetWire RAT, DarkGate et DanaBot au cours des derniers mois.<\/p>\n<p>Cette \u00e9volution intervient alors que les acteurs de la menace continuent de s&#8217;appuyer de plus en plus sur les kits de phishing de type Adversary-in-the-Middle (AiTM) tels que <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudsek.com\/threatintelligence\/sophisticated-phishing-toolkit-dubbed-nakedpages-for-sale-on-cybercrime-forums\" target=\"_blank\">Pages nues<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.phishlabs.com\/blog\/threat-actor-profile-strox-phishing-as-a-service\/\" target=\"_blank\">Strox<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/exploiting-qr-codes-aitm-phishing-with-dadsec-phaas\" target=\"_blank\">PapaSec<\/a> pour contourner l&#8217;authentification multifacteur et d\u00e9tourner des comptes cibl\u00e9s.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Turla-met-a-jour-la-porte-derobee-Kazuar-avec-une.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Pour couronner le tout, eSentire a \u00e9galement attir\u00e9 l&#8217;attention sur une nouvelle m\u00e9thode baptis\u00e9e attaque Wiki-Slack, une attaque dirig\u00e9e par l&#8217;utilisateur qui vise \u00e0 diriger les victimes vers un site Web contr\u00f4l\u00e9 par un attaquant en d\u00e9gradant la fin du premier paragraphe d&#8217;un article Wikip\u00e9dia et en le partageant. sur Slack.<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, il exploite une bizarrerie de Slack qui \u00ab g\u00e8re mal[s] l&#8217;espace entre le premier et le deuxi\u00e8me paragraphe&#8221; pour g\u00e9n\u00e9rer automatiquement un lien lorsque l&#8217;URL Wikip\u00e9dia est <a rel=\"nofollow noopener\" href=\"https:\/\/slack.com\/intl\/en-us\/help\/articles\/204399343-Share-links-and-set-preview-preferences\" target=\"_blank\">rendu en aper\u00e7u<\/a> dans la plateforme de messagerie d&#8217;entreprise.<\/p>\n<p>Il convient de souligner qu&#8217;une condition pr\u00e9alable essentielle pour mener \u00e0 bien cette attaque est que le premier mot du deuxi\u00e8me paragraphe de l&#8217;article Wikip\u00e9dia doit \u00eatre un domaine de premier niveau (par exemple, in, at, com ou net) et que les deux paragraphes doit appara\u00eetre dans les 100 premiers mots de l\u2019article.<\/p>\n<p>Avec ces restrictions, une menace pourrait militariser ce comportement de telle sorte que la fa\u00e7on dont Slack formate les r\u00e9sultats de l&#8217;aper\u00e7u de la page partag\u00e9e pointe vers un lien malveillant qui, en cliquant, am\u00e8ne la victime vers un site pi\u00e9g\u00e9.<\/p>\n<p>&#8220;Si l&#8217;on ne dispose pas de garde-fous \u00e9thiques, on peut augmenter la surface d&#8217;attaque de l&#8217;attaque Wiki-Slack en \u00e9ditant les pages Wikip\u00e9dia int\u00e9ressantes pour la d\u00e9grader&#8221;, eSentire <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/the-wiki-slack-attack\" target=\"_blank\">dit<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/new-malvertising-campaign-uses-fake.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 novembre 2023\ue804R\u00e9dactionS\u00e9curit\u00e9 des points finaux\/logiciels malveillants Il a \u00e9t\u00e9 d\u00e9couvert qu&#8217;une nouvelle campagne de publicit\u00e9 malveillante utilise de faux sites se faisant passer pour un portail d&#8217;actualit\u00e9s Windows l\u00e9gitime pour propager un programme d&#8217;installation malveillant pour un outil de profilage syst\u00e8me populaire appel\u00e9 CPU-Z. &#8220;Cet incident fait partie d&#8217;une campagne de publicit\u00e9 malveillante plus [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1009220,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,2930,4168,4165,4161,200267,133,28,5971,52092,4159,4171,200271,45272,4590,200268,1194,197,200269,200270,8071,185,5104,128318,4172,4169,196,1282,4166,4164,45020],"class_list":["post-1009219","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-campagne","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-distribuer","tag-faux","tag-installateurs","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-malveillante","tag-malveillants","tag-mises-a-jour-sur-la-cybersecurite","tag-news","tag-nouvelle","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-portail","tag-pour","tag-publicite","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-une","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1009219","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1009219"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1009219\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1009220"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1009219"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1009219"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1009219"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}