{"id":1147073,"date":"2024-02-13T13:19:32","date_gmt":"2024-02-13T15:19:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/glupteba-botnet-echappe-a-la-detection-avec-un-bootkit-uefi-non-documente\/"},"modified":"2024-02-13T13:19:36","modified_gmt":"2024-02-13T15:19:36","slug":"glupteba-botnet-echappe-a-la-detection-avec-un-bootkit-uefi-non-documente","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/glupteba-botnet-echappe-a-la-detection-avec-un-bootkit-uefi-non-documente\/","title":{"rendered":"Glupteba Botnet \u00e9chappe \u00e0 la d\u00e9tection avec un bootkit UEFI non document\u00e9"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Crypto-monnaie \/ Rootkit<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Glupteba-Botnet-echappe-a-la-detection-avec-un-bootkit-UEFI.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Le <strong>Glupteba<\/strong> Il a \u00e9t\u00e9 d\u00e9couvert que le botnet int\u00e8gre une interface de micrologiciel extensible unifi\u00e9e, jusqu&#8217;alors non document\u00e9e (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/UEFI\" target=\"_blank\">UEFI<\/a>) fonctionnalit\u00e9 de bootkit, ajoutant une autre couche de sophistication et de furtivit\u00e9 au malware.<\/p>\n<p>&#8220;Ce bootkit peut intervenir et contr\u00f4ler le [operating system] processus de d\u00e9marrage, permettant \u00e0 Glupteba de se cacher et de cr\u00e9er une persistance furtive qui peut \u00eatre extr\u00eamement difficile \u00e0 d\u00e9tecter et \u00e0 supprimer&#8221;, ont d\u00e9clar\u00e9 Lior Rochberger et Dan Yashnik, chercheurs de l&#8217;unit\u00e9 42 de Palo Alto Networks. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/glupteba-malware-uefi-bootkit\/#post-132484-_9pnlcgdp770l\" target=\"_blank\">dit<\/a> dans une analyse de lundi.<\/p>\n<p>Glupteba est un voleur d&#8217;informations complet et une porte d\u00e9rob\u00e9e capable de faciliter l&#8217;extraction illicite de crypto-monnaie et de d\u00e9ployer des composants proxy sur des h\u00f4tes infect\u00e9s.  Il est \u00e9galement connu pour exploiter la blockchain Bitcoin comme syst\u00e8me de commande et de contr\u00f4le (C2) de secours, ce qui la rend r\u00e9siliente aux efforts de retrait.<\/p>\n<p>Certaines des autres fonctions lui permettent de fournir des charges utiles suppl\u00e9mentaires, de siphonner les informations d&#8217;identification et les donn\u00e9es de carte de cr\u00e9dit, de proc\u00e9der \u00e0 des fraudes publicitaires et m\u00eame d&#8217;exploiter des routeurs pour obtenir des informations d&#8217;identification et un acc\u00e8s administratif \u00e0 distance.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707338666_510_La-Coalition-mondiale-et-les-geants-de-la-technologie-sunissent.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Au cours de la derni\u00e8re d\u00e9cennie, les logiciels malveillants modulaires se sont m\u00e9tamorphos\u00e9s en une menace sophistiqu\u00e9e utilisant des cha\u00eenes d&#8217;infection \u00e9labor\u00e9es \u00e0 plusieurs \u00e9tapes pour contourner la d\u00e9tection par les solutions de s\u00e9curit\u00e9.<\/p>\n<p>Une campagne de novembre 2023 observ\u00e9e par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 implique l&#8217;utilisation de services de paiement \u00e0 l&#8217;installation (PPI) tels que Ruzki pour distribuer Glupteba.  En septembre 2022, Sekoia a li\u00e9 Ruzki \u00e0 des clusters d&#8217;activit\u00e9s, en utilisant PrivateLoader comme canal pour propager les logiciels malveillants de niveau sup\u00e9rieur.<\/p>\n<p>Cela prend la forme d&#8217;attaques de phishing \u00e0 grande \u00e9chelle dans lesquelles PrivateLoader est livr\u00e9 sous couvert de fichiers d&#8217;installation de logiciels pirat\u00e9s, qui charge ensuite SmokeLoader qui, \u00e0 son tour, lance RedLine Stealer et Amadey, ce dernier abandonnant finalement Glupteba.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707837571_677_Glupteba-Botnet-echappe-a-la-detection-avec-un-bootkit-UEFI.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707837571_677_Glupteba-Botnet-echappe-a-la-detection-avec-un-bootkit-UEFI.jpg\" alt=\"Botnet Glupteba\" border=\"0\" data-original-height=\"582\" data-original-width=\"728\" title=\"Botnet Glupteba\"\/><\/a><\/div>\n<p>&#8220;Les acteurs malveillants distribuent souvent Glupteba dans le cadre d&#8217;une cha\u00eene d&#8217;infection complexe propageant plusieurs familles de logiciels malveillants en m\u00eame temps&#8221;, ont expliqu\u00e9 les chercheurs.  &#8220;Cette cha\u00eene d&#8217;infection commence souvent par une infection PrivateLoader ou SmokeLoader qui charge d&#8217;autres familles de logiciels malveillants, puis charge Glupteba.&#8221;<\/p>\n<p>Signe que le malware est activement maintenu, Glupteba est \u00e9quip\u00e9 d&#8217;un bootkit UEFI en incorporant une version modifi\u00e9e d&#8217;un projet open source appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Mattiwatti\/EfiGuard\" target=\"_blank\">EfiGuard<\/a>qui est capable de d\u00e9sactiver PatchGuard et Driver Signature Enforcement (DSE) au moment du d\u00e9marrage.<\/p>\n<p>Il convient de souligner que les versions pr\u00e9c\u00e9dentes du malware \u00e9taient <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2020\/06\/24\/glupteba-report\/\" target=\"_blank\">trouv\u00e9<\/a> pour &#8220;installer un pilote de noyau que le bot utilise comme rootkit et apporter d&#8217;autres modifications qui affaiblissent la s\u00e9curit\u00e9 d&#8217;un h\u00f4te infect\u00e9&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Le malware Glupteba continue de se d\u00e9marquer comme un exemple notable de la complexit\u00e9 et de l&#8217;adaptabilit\u00e9 dont font preuve les cybercriminels modernes&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>\u00ab L&#8217;identification d&#8217;une technique de contournement UEFI non document\u00e9e au sein de Glupteba souligne la capacit\u00e9 d&#8217;innovation et d&#8217;\u00e9vasion de ce malware. De plus, avec son r\u00f4le dans la distribution de Glupteba, l&#8217;\u00e9cosyst\u00e8me PPI met en \u00e9vidence les strat\u00e9gies de collaboration et de mon\u00e9tisation employ\u00e9es par les cybercriminels dans leurs tentatives d&#8217;infections massives.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/glupteba-botnet-evades-detection-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 f\u00e9vrier 2024\ue804R\u00e9dactionCrypto-monnaie \/ Rootkit Le Glupteba Il a \u00e9t\u00e9 d\u00e9couvert que le botnet int\u00e8gre une interface de micrologiciel extensible unifi\u00e9e, jusqu&#8217;alors non document\u00e9e (UEFI) fonctionnalit\u00e9 de bootkit, ajoutant une autre couche de sophistication et de furtivit\u00e9 au malware. &#8220;Ce bootkit peut intervenir et contr\u00f4ler le [operating system] processus de d\u00e9marrage, permettant \u00e0 Glupteba de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1147074,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,84,149083,5464,4168,4165,4161,200267,41161,20145,13707,126225,4159,4171,200271,200268,200269,200270,128318,4172,4169,21602,4166,4164],"class_list":["post-1147073","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-avec","tag-bootkit","tag-botnet","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-detection","tag-documente","tag-echappe","tag-glupteba","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-uefi","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1147073","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1147073"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1147073\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1147074"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1147073"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1147073"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1147073"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}