{"id":1136152,"date":"2024-02-06T14:29:27","date_gmt":"2024-02-06T16:29:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/attention-fausses-offres-demploi-sur-facebook-diffusant-ov3r_stealer-pour-voler-des-crypto-monnaies-et-des-informations-didentification\/"},"modified":"2024-02-06T14:29:31","modified_gmt":"2024-02-06T16:29:31","slug":"attention-fausses-offres-demploi-sur-facebook-diffusant-ov3r_stealer-pour-voler-des-crypto-monnaies-et-des-informations-didentification","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/attention-fausses-offres-demploi-sur-facebook-diffusant-ov3r_stealer-pour-voler-des-crypto-monnaies-et-des-informations-didentification\/","title":{"rendered":"Attention\u00a0: fausses offres d&#8217;emploi sur Facebook diffusant \u00ab\u00a0Ov3r_Stealer\u00a0\u00bb pour voler des crypto-monnaies et des informations d&#8217;identification"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Ing\u00e9nierie sociale\/publicit\u00e9 malveillante<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Attention-fausses-offres-demploi-sur-Facebook-diffusant-Ov3r_Stealer-pour-voler.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les auteurs de la menace exploitent de fausses offres d&#8217;emploi sur Facebook pour inciter des cibles potentielles \u00e0 installer un nouveau malware voleur bas\u00e9 sur Windows, nomm\u00e9 <strong>Ov3r_Stealer<\/strong>.<\/p>\n<p>&#8220;Ce malware est con\u00e7u pour voler des informations d&#8217;identification et des portefeuilles cryptographiques et les envoyer vers un canal Telegram surveill\u00e9 par l&#8217;acteur malveillant&#8221;, Trustwave SpiderLabs <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/hubfs\/Web\/Library\/Documents_pdf\/FaceBook_Ad_Spreads_Novel_Malware.pdf\" target=\"_blank\">dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>Ov3r_Stealer est capable de siphonner l&#8217;emplacement bas\u00e9 sur l&#8217;adresse IP, les informations sur le mat\u00e9riel, les mots de passe, les cookies, les informations de carte de cr\u00e9dit, les remplissages automatiques, les extensions de navigateur, les portefeuilles cryptographiques, les documents Microsoft Office et une liste de produits antivirus install\u00e9s sur l&#8217;h\u00f4te compromis.<\/p>\n<p>Bien que l&#8217;objectif final exact de la campagne soit inconnu, il est probable que les informations vol\u00e9es soient propos\u00e9es \u00e0 la vente \u00e0 d&#8217;autres acteurs malveillants.  Une autre possibilit\u00e9 est qu&#8217;Ov3r_Stealer soit mis \u00e0 jour au fil du temps pour agir comme un <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/tracking-15-years-qakbot-development\" target=\"_blank\">Chargeur de type QakBot<\/a> pour des charges utiles suppl\u00e9mentaires, y compris des ransomwares.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705402644_392_Le-logiciel-malveillant-Inferno-deguise-en-Coinbase-a-draine-87.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le point de d\u00e9part de l&#8217;attaque est un fichier PDF militaris\u00e9 qui pr\u00e9tend \u00eatre un fichier h\u00e9berg\u00e9 sur OneDrive, invitant les utilisateurs \u00e0 cliquer sur un bouton \u00ab Acc\u00e9der au document \u00bb int\u00e9gr\u00e9.<\/p>\n<p>Trustwave a d\u00e9clar\u00e9 avoir identifi\u00e9 le fichier PDF partag\u00e9 sur un faux compte Facebook se faisant passer pour le PDG d&#8217;Amazon, Andy Jassy, \u200b\u200bainsi que via des publicit\u00e9s Facebook pour des emplois de publicit\u00e9 num\u00e9rique.<\/p>\n<p>Les utilisateurs qui finissent par cliquer sur le bouton re\u00e7oivent un fichier de raccourci Internet (.URL) qui se fait passer pour un document DocuSign h\u00e9berg\u00e9 sur le r\u00e9seau de diffusion de contenu (CDN) de Discord.  Le fichier de raccourci agit ensuite comme un canal pour fournir un fichier d&#8217;\u00e9l\u00e9ment du panneau de configuration (.CPL), qui est ensuite ex\u00e9cut\u00e9 \u00e0 l&#8217;aide du binaire du processus du Panneau de configuration Windows (&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1218\/002\/\" target=\"_blank\">control.exe<\/a>&#8220;).<\/p>\n<p>L&#8217;ex\u00e9cution du fichier CPL conduit \u00e0 la r\u00e9cup\u00e9ration d&#8217;un chargeur PowerShell (&#8220;DATA1.txt&#8221;) depuis un d\u00e9p\u00f4t GitHub pour finalement lancer Ov3r_Stealer.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707236966_332_Attention-fausses-offres-demploi-sur-Facebook-diffusant-Ov3r_Stealer-pour-voler.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707236966_332_Attention-fausses-offres-demploi-sur-Facebook-diffusant-Ov3r_Stealer-pour-voler.jpg\" alt=\"Annonces d'emploi sur Facebook\" border=\"0\" data-original-height=\"649\" data-original-width=\"1001\" title=\"Annonces d'emploi sur Facebook\"\/><\/a><\/div>\n<p>Il convient de noter \u00e0 ce stade qu&#8217;une cha\u00eene d&#8217;infection presque identique a \u00e9t\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e par Trend Micro comme ayant \u00e9t\u00e9 utilis\u00e9e par des acteurs malveillants pour supprimer un autre voleur appel\u00e9 Phemadrone Stealer en exploitant la faille de contournement de Microsoft Windows Defender SmartScreen (CVE-2023-36025, Score CVSS : 8,8).<\/p>\n<p>Les similitudes s&#8217;\u00e9tendent au r\u00e9f\u00e9rentiel GitHub utilis\u00e9 (nateeintanan2527) et au fait qu&#8217;Ov3r_Stealer partage des chevauchements au niveau du code avec Phemadrone.<\/p>\n<p>&#8220;Ce malware a \u00e9t\u00e9 r\u00e9cemment signal\u00e9, et il se peut que Phhemedrone ait \u00e9t\u00e9 r\u00e9utilis\u00e9 et renomm\u00e9 Ov3r_Stealer&#8221;, a d\u00e9clar\u00e9 Trustwave.  &#8220;La principale diff\u00e9rence entre les deux est que Phemadrone est \u00e9crit en C#.&#8221;<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Avertissement-de-nouveaux-logiciels-malveillants-apparaissent-lors-dattaques-exploitant-les.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ces r\u00e9sultats surviennent alors que Hudson Rock a r\u00e9v\u00e9l\u00e9 que les acteurs de la menace annoncent leur acc\u00e8s aux portails de demandes d&#8217;application de la loi de grandes organisations telles que <a rel=\"nofollow noopener\" href=\"https:\/\/www.infostealers.com\/article\/hacker-sells-access-to-binances-law-enforcement-portal-cryptocurrency-holders-at-risk\/\" target=\"_blank\">Binance<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.infostealers.com\/article\/infostealer-infections-lead-to-hacking-of-google-tiktok-and-meta-law-enforcement-systems\/\" target=\"_blank\">Google, M\u00e9ta et TikTok<\/a> en exploitant les informations d&#8217;identification obtenues \u00e0 partir d&#8217;infections infostealer.<\/p>\n<p>Ils font \u00e9galement suite \u00e0 l&#8217;\u00e9mergence d&#8217;une cat\u00e9gorie d&#8217;infections appel\u00e9es <a rel=\"nofollow noopener\" href=\"https:\/\/www.infostealers.com\/article\/crackedcantil-a-malware-symphony-breakdown\/\" target=\"_blank\">CrackedCantil<\/a> qui utilisent des logiciels pirat\u00e9s comme vecteur d&#8217;acc\u00e8s initial pour supprimer des chargeurs tels que PrivateLoader et SmokeLoader, puis agissent ensuite comme un m\u00e9canisme de livraison pour les voleurs d&#8217;informations, les mineurs de crypto, les botnets proxy et les ransomwares.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/beware-fake-facebook-job-ads-spreading.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 f\u00e9vrier 2024\ue804R\u00e9dactionIng\u00e9nierie sociale\/publicit\u00e9 malveillante Les auteurs de la menace exploitent de fausses offres d&#8217;emploi sur Facebook pour inciter des cibles potentielles \u00e0 installer un nouveau malware voleur bas\u00e9 sur Windows, nomm\u00e9 Ov3r_Stealer. &#8220;Ce malware est con\u00e7u pour voler des informations d&#8217;identification et des portefeuilles cryptographiques et les envoyer vers un canal Telegram surveill\u00e9 par [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1136153,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,2256,4168,8390,4165,4161,200267,5927,133,71695,131537,4242,2650,492,4159,4171,200271,200268,200269,200270,9013,228474,185,128318,4172,4169,60,4166,8394,4164],"class_list":["post-1136152","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-attention","tag-comment-pirater","tag-cryptomonnaies","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-demploi","tag-des","tag-didentification","tag-diffusant","tag-facebook","tag-fausses","tag-informations","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-offres","tag-ov3r_stealer","tag-pour","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sur","tag-violation-de-donnees","tag-voler","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1136152","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1136152"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1136152\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1136153"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1136152"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1136152"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1136152"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}