{"id":1139516,"date":"2024-02-08T15:19:41","date_gmt":"2024-02-08T17:19:41","guid":{"rendered":"https:\/\/teknomers.com\/fr\/hijackloader-evolue-les-chercheurs-decodent-les-dernieres-methodes-devasion\/"},"modified":"2024-02-08T15:19:45","modified_gmt":"2024-02-08T17:19:45","slug":"hijackloader-evolue-les-chercheurs-decodent-les-dernieres-methodes-devasion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/hijackloader-evolue-les-chercheurs-decodent-les-dernieres-methodes-devasion\/","title":{"rendered":"HijackLoader \u00e9volue\u00a0: les chercheurs d\u00e9codent les derni\u00e8res m\u00e9thodes d&#8217;\u00e9vasion"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">08 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des points finaux\/cybermenaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/HijackLoader-evolue-les-chercheurs-decodent-les-dernieres-methodes-devasion.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les acteurs de la menace derri\u00e8re un malware de chargement appel\u00e9 <strong>HijackLoader<\/strong> ont ajout\u00e9 de nouvelles techniques pour contourner la d\u00e9fense, car les logiciels malveillants continuent d&#8217;\u00eatre de plus en plus utilis\u00e9s par d&#8217;autres acteurs malveillants pour fournir des charges utiles et des outils suppl\u00e9mentaires.<\/p>\n<p>&#8220;Le d\u00e9veloppeur du malware a utilis\u00e9 une technique de creux de processus standard coupl\u00e9e \u00e0 un d\u00e9clencheur suppl\u00e9mentaire activ\u00e9 par le processus parent \u00e9crivant dans un tube&#8221;, ont d\u00e9clar\u00e9 Donato Onofri et Emanuele Calvelli, chercheurs de CrowdStrike. <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/hijackloader-expands-techniques\/\" target=\"_blank\">dit<\/a> dans une analyse de mercredi.  &#8220;Cette nouvelle approche a le potentiel de rendre l&#8217;\u00e9vasion de la d\u00e9fense plus furtive.&#8221;<\/p>\n<p>HijackLoader a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par Zscaler ThreatLabz en septembre 2023 comme ayant \u00e9t\u00e9 utilis\u00e9 comme canal pour fournir DanaBot, SystemBC et RedLine Stealer.  Il est \u00e9galement connu pour partager un haut degr\u00e9 de similitude avec un autre chargeur appel\u00e9 IDAT Loader.<\/p>\n<p>Les deux chargeurs sont consid\u00e9r\u00e9s comme \u00e9tant exploit\u00e9s par le m\u00eame groupe de cybercriminalit\u00e9.  Dans les mois qui ont suivi, HijackLoader s&#8217;est propag\u00e9 via ClearFake et utilis\u00e9 par <a rel=\"nofollow noopener\" href=\"https:\/\/yoroi.company\/en\/research\/innovation-in-cyber-intrusions-the-evolution-of-ta544\/\" target=\"_blank\">TA544<\/a> (alias Narwhal Spider, Gold Essex et Ursnif Gang) pour transmettre Remcos RAT et SystemBC via des messages de phishing.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-attaques-DDoS-contre-le-secteur-des-services-environnementaux-augmentent.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Pensez aux chargeurs comme des loups d\u00e9guis\u00e9s en mouton. Leur but est de se faufiler, d&#8217;introduire et d&#8217;ex\u00e9cuter des menaces et des outils plus sophistiqu\u00e9s&#8221;, a d\u00e9clar\u00e9 Liviu Arsene, directeur de la recherche sur les menaces et du reporting chez CrowdStrike, dans une d\u00e9claration partag\u00e9e avec The Hacker News.<\/p>\n<p>&#8220;Cette variante r\u00e9cente de HijackLoader (alias IDAT Loader) intensifie son jeu de furtivit\u00e9 en ajoutant et en exp\u00e9rimentant de nouvelles techniques. Cela revient \u00e0 am\u00e9liorer son d\u00e9guisement, le rendant plus furtif, plus complexe et plus difficile \u00e0 analyser. En substance, ils&#8221; re peaufiner leur camouflage num\u00e9rique.&#8221;<\/p>\n<p>Le point de d\u00e9part de la cha\u00eene d&#8217;attaque en plusieurs \u00e9tapes est un ex\u00e9cutable (\u00ab\u00a0streaming_client.exe\u00a0\u00bb) qui v\u00e9rifie une connexion Internet active et proc\u00e8de au t\u00e9l\u00e9chargement d&#8217;une configuration de deuxi\u00e8me \u00e9tape \u00e0 partir d&#8217;un serveur distant.<\/p>\n<p>L&#8217;ex\u00e9cutable charge ensuite une biblioth\u00e8que de liens dynamiques (DLL) l\u00e9gitime sp\u00e9cifi\u00e9e dans la configuration pour activer le shellcode responsable du lancement de la charge utile HijackLoader via une combinaison de <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/013\/\" target=\"_blank\">processus double<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\">processus de creusement<\/a> techniques qui augmentent la complexit\u00e9 de l\u2019analyse et la <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyberark.com\/resources\/threat-research-blog\/masking-malicious-memory-artifacts-part-iii-bypassing-defensive-scanners\" target=\"_blank\">capacit\u00e9s d&#8217;\u00e9vasion de la d\u00e9fense<\/a>.<\/p>\n<p>&#8220;Le shellcode de deuxi\u00e8me \u00e9tape de HijackLoader, ind\u00e9pendant de la position, effectue ensuite certaines activit\u00e9s d&#8217;\u00e9vasion pour contourner les hooks du mode utilisateur \u00e0 l&#8217;aide de <a rel=\"nofollow noopener\" href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/heavens-gate\/\" target=\"_blank\">La porte du Paradis<\/a> et injecte le shellcode suivant dans cmd.exe&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;L&#8217;injection du shellcode de troisi\u00e8me \u00e9tape est r\u00e9alis\u00e9e via une variation du processus de creusement qui entra\u00eene l&#8217;injection d&#8217;un mshtml.dll creux dans le processus enfant cmd.exe nouvellement g\u00e9n\u00e9r\u00e9.&#8221;<\/p>\n<p>La porte du Paradis <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2018\/01\/a-coin-miner-with-a-heavens-gate\" target=\"_blank\">fait r\u00e9f\u00e9rence<\/a> \u00e0 un <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/rats-and-stealers-rush-through-heavens\/\" target=\"_blank\">truc furtif<\/a> qui permet \u00e0 des logiciels malveillants de <a rel=\"nofollow noopener\" href=\"https:\/\/redcanary.com\/blog\/heavens-gate-technique-on-linux\/\" target=\"_blank\">\u00e9chapper aux produits de s\u00e9curit\u00e9 des points finaux<\/a> en appelant du code 64 bits dans des processus 32 bits sous Windows, contournant ainsi efficacement les hooks du mode utilisateur.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;une des principales techniques d&#8217;\u00e9vasion observ\u00e9es dans les s\u00e9quences d&#8217;attaque de HijackLoader est l&#8217;utilisation d&#8217;un m\u00e9canisme d&#8217;injection de processus appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/hasherezade\/transacted_hollowing\" target=\"_blank\">\u00e9videment effectu\u00e9<\/a>ce qui a d\u00e9j\u00e0 \u00e9t\u00e9 observ\u00e9 dans des logiciels malveillants tels que <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2018\/08\/process-doppelganging-meets-process-hollowing_osiris\" target=\"_blank\">Cheval de Troie bancaire Osiris<\/a>.<\/p>\n<p>&#8220;Les chargeurs sont cens\u00e9s servir de plates-formes de lancement furtives permettant aux adversaires d&#8217;introduire et d&#8217;ex\u00e9cuter des logiciels malveillants et des outils plus sophistiqu\u00e9s sans br\u00fbler leurs actifs dans les \u00e9tapes initiales&#8221;, a d\u00e9clar\u00e9 Ars\u00e8ne.<\/p>\n<p>&#8220;Investir dans de nouvelles capacit\u00e9s d&#8217;\u00e9vasion de d\u00e9fense pour HijackLoader (alias IDAT Loader) est potentiellement une tentative de le rendre plus furtif et de passer sous le radar des solutions de s\u00e9curit\u00e9 traditionnelles. Les nouvelles techniques signalent \u00e0 la fois une \u00e9volution d\u00e9lib\u00e9r\u00e9e et exp\u00e9rimentale des capacit\u00e9s d&#8217;\u00e9vasion de d\u00e9fense existantes tout en augmentant la complexit\u00e9 de l&#8217;analyse pour les chercheurs sur les menaces.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/hijackloader-evolves-researchers-decode.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80208 f\u00e9vrier 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 des points finaux\/cybermenaces Les acteurs de la menace derri\u00e8re un malware de chargement appel\u00e9 HijackLoader ont ajout\u00e9 de nouvelles techniques pour contourner la d\u00e9fense, car les logiciels malveillants continuent d&#8217;\u00eatre de plus en plus utilis\u00e9s par d&#8217;autres acteurs malveillants pour fournir des charges utiles et des outils suppl\u00e9mentaires. &#8220;Le d\u00e9veloppeur du malware [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1139517,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,12848,4168,4165,4161,200267,136937,119,53591,2223,203594,4159,4171,65,200271,13798,200268,200269,200270,128318,4172,4169,4166,4164],"class_list":["post-1139516","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-chercheurs","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-decodent","tag-dernieres","tag-devasion","tag-evolue","tag-hijackloader","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-methodes","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1139516","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1139516"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1139516\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1139517"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1139516"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1139516"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1139516"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}