{"id":1103216,"date":"2024-01-16T06:24:00","date_gmt":"2024-01-16T08:24:00","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-une-faille-de-windows-pour-deployer-un-voleur-de-phemedrone-a-crypto-siphonnage\/"},"modified":"2024-01-16T06:24:04","modified_gmt":"2024-01-16T08:24:04","slug":"les-pirates-exploitent-une-faille-de-windows-pour-deployer-un-voleur-de-phemedrone-a-crypto-siphonnage","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-une-faille-de-windows-pour-deployer-un-voleur-de-phemedrone-a-crypto-siphonnage\/","title":{"rendered":"Les pirates exploitent une faille de Windows pour d\u00e9ployer un voleur de ph\u00e9m\u00e9drone \u00e0 crypto-siphonnage"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Crypto-monnaie \/ S\u00e9curit\u00e9 Windows<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-pirates-exploitent-une-faille-de-Windows-pour-deployer-un.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des acteurs malveillants ont \u00e9t\u00e9 observ\u00e9s tirant parti d&#8217;une faille de s\u00e9curit\u00e9 d\u00e9sormais corrig\u00e9e dans Microsoft Windows pour d\u00e9ployer un voleur d&#8217;informations open source appel\u00e9 <strong>Voleur de Ph\u00e9m\u00e9drone<\/strong>.<\/p>\n<p>&#8220;Phemadrone cible les navigateurs Web et les donn\u00e9es des portefeuilles de crypto-monnaie et des applications de messagerie telles que Telegram, Steam et Discord&#8221;, ont d\u00e9clar\u00e9 Peter Girnus, Aliakbar Zahravi et Simon Zuckerbraun, chercheurs de Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/a\/cve-2023-36025-exploited-for-defense-evasion-in-phemedrone-steal.html\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Il prend \u00e9galement des captures d&#8217;\u00e9cran et rassemble des informations syst\u00e8me concernant le mat\u00e9riel, l&#8217;emplacement et les d\u00e9tails du syst\u00e8me d&#8217;exploitation. Les donn\u00e9es vol\u00e9es sont ensuite envoy\u00e9es aux attaquants via Telegram ou leur serveur de commande et de contr\u00f4le (C&#038;C).&#8221;<\/p>\n<p>L\u2019effet de levier des attaques <a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2023-36025\" target=\"_blank\">CVE-2023-36025<\/a> (score CVSS : 8,8), une vuln\u00e9rabilit\u00e9 de contournement de s\u00e9curit\u00e9 dans Windows SmartScreen, qui pourrait \u00eatre exploit\u00e9e en incitant un utilisateur \u00e0 cliquer sur un raccourci Internet sp\u00e9cialement con\u00e7u (.URL) ou sur un lien hypertexte pointant vers un fichier de raccourci Internet.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-attaques-DDoS-contre-le-secteur-des-services-environnementaux-augmentent.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La lacune activement exploit\u00e9e a \u00e9t\u00e9 corrig\u00e9e par Microsoft dans le cadre de ses mises \u00e0 jour du Patch Tuesday de novembre 2023.<\/p>\n<p>Le processus d&#8217;infection implique que l&#8217;acteur malveillant h\u00e9berge des fichiers de raccourci Internet malveillants sur Discord ou des services cloud comme FileTransfer.io, les liens \u00e9tant \u00e9galement masqu\u00e9s \u00e0 l&#8217;aide de raccourcisseurs d&#8217;URL tels que <a rel=\"nofollow noopener\" href=\"https:\/\/www.shorturl.at\/\" target=\"_blank\">URL courte<\/a>.<\/p>\n<p>L&#8217;ex\u00e9cution du fichier .URL pi\u00e9g\u00e9 lui permet de se connecter \u00e0 un serveur contr\u00f4l\u00e9 par un acteur et d&#8217;ex\u00e9cuter un fichier du panneau de configuration (.CPL) d&#8217;une mani\u00e8re qui contourne Windows Defender SmartScreen en tirant parti de CVE-2023-36025.<\/p>\n<p>&#8220;Lorsque le fichier .CPL malveillant est ex\u00e9cut\u00e9 via le binaire du processus du Panneau de configuration Windows, il appelle \u00e0 son tour rundll32.exe pour ex\u00e9cuter la DLL&#8221;, ont indiqu\u00e9 les chercheurs.  &#8220;Cette DLL malveillante agit comme un chargeur qui appelle ensuite Windows PowerShell pour t\u00e9l\u00e9charger et ex\u00e9cuter la prochaine \u00e9tape de l&#8217;attaque, h\u00e9berg\u00e9e sur GitHub.&#8221;<\/p>\n<p>La charge utile suivante est un chargeur PowerShell (\u00ab DATA3.txt \u00bb) qui fait office de rampe de lancement pour Donut, un chargeur de shellcode open source qui d\u00e9chiffre et ex\u00e9cute Phemadrone Stealer.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u00c9crit en C#, Phemadrone Stealer est activement maintenu par ses d\u00e9veloppeurs sur <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/nullixx\/Phemedrone-Stealer\" target=\"_blank\">GitHub<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/t.me\/s\/freakcodingplace\" target=\"_blank\">T\u00e9l\u00e9gramme<\/a>facilitant le vol d&#8217;informations sensibles \u00e0 partir de syst\u00e8mes compromis.<\/p>\n<p>Cette \u00e9volution est une fois de plus le signe que les acteurs de la menace deviennent de plus en plus flexibles et adaptent rapidement leurs cha\u00eenes d&#8217;attaque pour tirer parti des exploits r\u00e9cemment r\u00e9v\u00e9l\u00e9s et infliger un maximum de d\u00e9g\u00e2ts.<\/p>\n<p>&#8220;Malgr\u00e9 les correctifs, les acteurs malveillants continuent de trouver des moyens d&#8217;exploiter CVE-2023-36025 et d&#8217;\u00e9chapper aux protections Windows Defender SmartScreen pour infecter les utilisateurs avec une pl\u00e9thore de types de logiciels malveillants, notamment des ransomwares et des voleurs comme Phhemedrone Stealer&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/hackers-weaponize-windows-flaw-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 janvier 2024\ue804R\u00e9dactionCrypto-monnaie \/ S\u00e9curit\u00e9 Windows Des acteurs malveillants ont \u00e9t\u00e9 observ\u00e9s tirant parti d&#8217;une faille de s\u00e9curit\u00e9 d\u00e9sormais corrig\u00e9e dans Microsoft Windows pour d\u00e9ployer un voleur d&#8217;informations open source appel\u00e9 Voleur de Ph\u00e9m\u00e9drone. &#8220;Phemadrone cible les navigateurs Web et les donn\u00e9es des portefeuilles de crypto-monnaie et des applications de messagerie telles que Telegram, Steam [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1103217,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,224687,4165,4161,200267,9886,8736,9048,4159,4171,65,200271,200268,200269,200270,224686,4394,185,128318,4172,4169,196,4166,8808,4164,45020],"class_list":["post-1103216","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-cryptosiphonnage","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-deployer","tag-exploitent","tag-faille","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-phemedrone","tag-pirates","tag-pour","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-voleur","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1103216","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1103216"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1103216\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1103217"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1103216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1103216"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1103216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}