{"id":1133616,"date":"2024-02-05T02:41:25","date_gmt":"2024-02-05T04:41:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-cheval-de-troie-bancaire-mispadu-exploite-la-faille-windows-smartscreen\/"},"modified":"2024-02-05T02:41:29","modified_gmt":"2024-02-05T04:41:29","slug":"le-nouveau-cheval-de-troie-bancaire-mispadu-exploite-la-faille-windows-smartscreen","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-cheval-de-troie-bancaire-mispadu-exploite-la-faille-windows-smartscreen\/","title":{"rendered":"Le nouveau cheval de Troie bancaire Mispadu exploite la faille Windows SmartScreen"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Logiciels malveillants\/s\u00e9curit\u00e9 financi\u00e8re<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-nouveau-cheval-de-Troie-bancaire-Mispadu-exploite-la-faille.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les auteurs de la menace derri\u00e8re le cheval de Troie bancaire Mispadu sont les derniers \u00e0 exploiter une faille de contournement de s\u00e9curit\u00e9 Windows SmartScreen, d\u00e9sormais corrig\u00e9e, pour compromettre les utilisateurs au Mexique.<\/p>\n<p>Les attaques impliquent une nouvelle variante du malware qui a \u00e9t\u00e9 observ\u00e9e pour la premi\u00e8re fois en 2019, a d\u00e9clar\u00e9 l&#8217;unit\u00e9 42 de Palo Alto Networks dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n<p>Propag\u00e9 via des courriers de phishing, Mispadu est un voleur d&#8217;informations bas\u00e9 sur Delphi connu pour infecter sp\u00e9cifiquement les victimes de la r\u00e9gion latino-am\u00e9ricaine (LATAM).  En mars 2023, Metabase Q r\u00e9v\u00e9lait que les campagnes de spam Mispadu avaient r\u00e9colt\u00e9 pas moins de 90 000 identifiants de comptes bancaires depuis ao\u00fbt 2022.<\/p>\n<p>Il fait \u00e9galement partie de la plus grande famille de logiciels malveillants bancaires LATAM, dont Grandoreiro, qui a \u00e9t\u00e9 d\u00e9mantel\u00e9 par les autorit\u00e9s br\u00e9siliennes charg\u00e9es de l&#8217;application des lois la semaine derni\u00e8re.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705402644_392_Le-logiciel-malveillant-Inferno-deguise-en-Coinbase-a-draine-87.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La derni\u00e8re cha\u00eene d&#8217;infection identifi\u00e9e par l&#8217;Unit\u00e9 42 utilise des fichiers de raccourci Internet malveillants contenus dans de faux fichiers d&#8217;archive ZIP qui exploitent CVE-2023-36025 (score CVSS : 8,8), une faille de contournement de haute gravit\u00e9 dans Windows SmartScreen.  Ce probl\u00e8me a \u00e9t\u00e9 r\u00e9solu par Microsoft en novembre 2023.<\/p>\n<p>&#8220;Cet exploit tourne autour de la cr\u00e9ation d&#8217;un fichier de raccourci Internet sp\u00e9cialement con\u00e7u (.URL) ou d&#8217;un lien hypertexte pointant vers des fichiers malveillants pouvant contourner les avertissements de SmartScreen&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Daniela Shalev et Josh Grunzweig. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/mispadu-infostealer-variant\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Le contournement est simple et repose sur un param\u00e8tre qui fait r\u00e9f\u00e9rence \u00e0 un partage r\u00e9seau, plut\u00f4t qu&#8217;\u00e0 une URL. Le fichier .URL contrefait contient un lien vers le partage r\u00e9seau d&#8217;un acteur mena\u00e7ant avec un binaire malveillant.&#8221;<\/p>\n<p>Mispadu, une fois lanc\u00e9, r\u00e9v\u00e8le ses vraies couleurs en ciblant s\u00e9lectivement les victimes en fonction de leur emplacement g\u00e9ographique (c&#8217;est-\u00e0-dire Am\u00e9riques ou Europe occidentale) et des configurations du syst\u00e8me, puis \u00e9tablit le contact avec un serveur de commande et de contr\u00f4le (C2) pour le suivi. sur l&#8217;exfiltration de donn\u00e9es.<\/p>\n<p>Ces derniers mois, la faille Windows a \u00e9t\u00e9 exploit\u00e9e de mani\u00e8re sauvage par plusieurs groupes de cybercriminalit\u00e9 pour diffuser les logiciels malveillants DarkGate et Phemadrone Stealer.<\/p>\n<p>Le Mexique est \u00e9galement devenu une cible privil\u00e9gi\u00e9e de plusieurs campagnes men\u00e9es au cours de l&#8217;ann\u00e9e \u00e9coul\u00e9e, qui se sont propag\u00e9es <a rel=\"nofollow noopener\" href=\"https:\/\/www.hunters.security\/en\/blog\/dissecting-new-infostealer-campaign-targeting-mexico\" target=\"_blank\">voleurs d&#8217;informations<\/a> et des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance comme AllaKore RAT, AsyncRAT, Babylon RAT.  Cela constitue un groupe motiv\u00e9 financi\u00e8rement baptis\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.metabaseq.com\/ta588\/\" target=\"_blank\">TA558<\/a> qui attaque les secteurs de l\u2019h\u00f4tellerie et du voyage dans la r\u00e9gion LATAM depuis 2018.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Avertissement-de-nouveaux-logiciels-malveillants-apparaissent-lors-dattaques-exploitant-les.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ce d\u00e9veloppement intervient alors que Sekoia a d\u00e9taill\u00e9 le fonctionnement interne de DICELOADER (alias Lizar ou Tirion), un t\u00e9l\u00e9chargeur personnalis\u00e9 \u00e9prouv\u00e9 et utilis\u00e9 par le groupe russe de lutte contre la criminalit\u00e9 \u00e9lectronique suivi sous le nom de FIN7.  Le malware a \u00e9t\u00e9 observ\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/evolution-of-fin7\" target=\"_blank\">livr\u00e9<\/a> via des cl\u00e9s USB malveillantes (alias BadUSB) dans le pass\u00e9.<\/p>\n<p>&#8220;DICELOADER est abandonn\u00e9 par un script PowerShell avec d&#8217;autres malwares de l&#8217;arsenal de l&#8217;ensemble des intrusions comme Carbanak RAT&#8221;, affirme la soci\u00e9t\u00e9 fran\u00e7aise de cybers\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/unveiling-the-intricacies-of-diceloader\/\" target=\"_blank\">dit<\/a>faisant appel \u00e0 ses m\u00e9thodes d&#8217;obscurcissement sophistiqu\u00e9es pour dissimuler les adresses IP C2 et les communications r\u00e9seau.<\/p>\n<p>Cela fait \u00e9galement suite \u00e0 la d\u00e9couverte par AhnLab de deux nouvelles campagnes malveillantes d&#8217;extraction de cryptomonnaies qui emploient <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/60845\/\" target=\"_blank\">archives pi\u00e9g\u00e9es<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/61164\/\" target=\"_blank\">astuces de jeu<\/a> pour d\u00e9ployer des logiciels malveillants mineurs qui exploitent Monero et Zephyr.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/new-mispadu-banking-trojan-exploiting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 f\u00e9vrier 2024\ue804R\u00e9dactionLogiciels malveillants\/s\u00e9curit\u00e9 financi\u00e8re Les auteurs de la menace derri\u00e8re le cheval de Troie bancaire Mispadu sont les derniers \u00e0 exploiter une faille de contournement de s\u00e9curit\u00e9 Windows SmartScreen, d\u00e9sormais corrig\u00e9e, pour compromettre les utilisateurs au Mexique. Les attaques impliquent une nouvelle variante du malware qui a \u00e9t\u00e9 observ\u00e9e pour la premi\u00e8re fois en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1133617,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,173,7968,4168,4165,4161,200267,7727,9048,4159,4171,200271,200268,153114,680,200269,200270,128318,4172,4169,228211,8915,4166,4164,45020],"class_list":["post-1133616","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-bancaire","tag-cheval","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-exploite","tag-faille","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-mispadu","tag-nouveau","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-smartscreen","tag-troie","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1133616","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1133616"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1133616\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1133617"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1133616"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1133616"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1133616"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}