{"id":1147265,"date":"2024-02-13T15:52:28","date_gmt":"2024-02-13T17:52:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/pikabot-refait-surface-avec-un-code-rationalise-et-des-tactiques-trompeuses\/"},"modified":"2024-02-13T15:52:32","modified_gmt":"2024-02-13T17:52:32","slug":"pikabot-refait-surface-avec-un-code-rationalise-et-des-tactiques-trompeuses","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/pikabot-refait-surface-avec-un-code-rationalise-et-des-tactiques-trompeuses\/","title":{"rendered":"PikaBot refait surface avec un code rationalis\u00e9 et des tactiques trompeuses"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cybermenace\/logiciel malveillant<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/PikaBot-refait-surface-avec-un-code-rationalise-et-des-tactiques.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les auteurs de la menace derri\u00e8re le malware PikaBot ont apport\u00e9 des modifications significatives au malware dans ce qui a \u00e9t\u00e9 d\u00e9crit comme un cas de \u00ab\u00a0d\u00e9volution\u00a0\u00bb.<\/p>\n<p>&#8220;Bien qu&#8217;il semble \u00eatre dans un nouveau cycle de d\u00e9veloppement et une nouvelle phase de test, les d\u00e9veloppeurs ont r\u00e9duit la complexit\u00e9 du code en supprimant les techniques avanc\u00e9es d&#8217;obscurcissement et en modifiant les communications r\u00e9seau&#8221;, a d\u00e9clar\u00e9 Nikolaos Pantazopoulos, chercheur chez Zscaler ThreatLabz. <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/d-evolution-pikabot\" target=\"_blank\">dit<\/a>.<\/p>\n<p>PikaBot, document\u00e9 pour la premi\u00e8re fois par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 en mai 2023, est un chargeur de logiciels malveillants et une porte d\u00e9rob\u00e9e qui peut ex\u00e9cuter des commandes et injecter des charges utiles \u00e0 partir d&#8217;un serveur de commande et de contr\u00f4le (C2) ainsi que permettre \u00e0 l&#8217;attaquant de contr\u00f4ler l&#8217;h\u00f4te infect\u00e9.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707338666_510_La-Coalition-mondiale-et-les-geants-de-la-technologie-sunissent.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il est \u00e9galement connu qu&#8217;il interrompt son ex\u00e9cution si la langue du syst\u00e8me est le russe ou l&#8217;ukrainien, ce qui indique que les op\u00e9rateurs sont bas\u00e9s en Russie ou en Ukraine.<\/p>\n<p>Ces derniers mois, PikaBot et un autre chargeur appel\u00e9 DarkGate sont apparus comme des rempla\u00e7ants int\u00e9ressants pour les acteurs malveillants tels que Water Curupira (alias TA577) pour obtenir un acc\u00e8s initial aux r\u00e9seaux cibles via des campagnes de phishing et abandonner Cobalt Strike.<\/p>\n<p>L&#8217;analyse par Zscaler d&#8217;une nouvelle version de PikaBot (version 1.18.32) observ\u00e9e ce mois-ci a r\u00e9v\u00e9l\u00e9 qu&#8217;elle continue de se concentrer sur l&#8217;obscurcissement, bien qu&#8217;avec des algorithmes de cryptage plus simples, et l&#8217;insertion de code ind\u00e9sirable entre des instructions valides dans le cadre de ses efforts pour r\u00e9sister \u00e0 l&#8217;analyse.<\/p>\n<p>Une autre modification cruciale observ\u00e9e dans la derni\u00e8re it\u00e9ration est que l&#8217;int\u00e9gralit\u00e9 de la configuration du bot &#8211; similaire \u00e0 celle de QakBot &#8211; est stock\u00e9e en texte brut dans un seul bloc de m\u00e9moire, au lieu de chiffrer chaque \u00e9l\u00e9ment et de les d\u00e9coder au moment de l&#8217;ex\u00e9cution.<\/p>\n<p>Un troisi\u00e8me changement concerne les communications r\u00e9seau du serveur C2, les d\u00e9veloppeurs de logiciels malveillants modifiant les identifiants de commande et l&#8217;algorithme de cryptage utilis\u00e9 pour s\u00e9curiser le trafic.<\/p>\n<p>&#8220;Malgr\u00e9 sa r\u00e9cente inactivit\u00e9, PikaBot continue d&#8217;\u00eatre une cybermenace importante et en constante \u00e9volution&#8221;, ont conclu les chercheurs.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Cependant, les d\u00e9veloppeurs ont d\u00e9cid\u00e9 d&#8217;adopter une approche diff\u00e9rente et de r\u00e9duire le niveau de complexit\u00e9 du code de PikaBot en supprimant les fonctionnalit\u00e9s avanc\u00e9es d&#8217;obscurcissement.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient comme Proofpoint <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/cloud-security\/community-alert-ongoing-malicious-campaign-impacting-azure-cloud-environments\" target=\"_blank\">alert\u00e9<\/a> d&#8217;une campagne de prise de contr\u00f4le de compte cloud (ATO) en cours qui a cibl\u00e9 des dizaines d&#8217;environnements Microsoft Azure et compromis des centaines de comptes d&#8217;utilisateurs, y compris ceux appartenant \u00e0 des cadres sup\u00e9rieurs.<\/p>\n<p>Cette activit\u00e9, en cours depuis novembre 2023, cible les utilisateurs avec des leurres de phishing individualis\u00e9s contenant des fichiers leurres contenant des liens vers des pages Web de phishing malveillantes pour la collecte d&#8217;informations d&#8217;identification, et les utilise \u00e0 des fins d&#8217;exfiltration de donn\u00e9es ult\u00e9rieures, de phishing interne et externe et de fraude financi\u00e8re.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/pikabot-resurfaces-with-streamlined.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 f\u00e9vrier 2024\ue804R\u00e9dactionCybermenace\/logiciel malveillant Les auteurs de la menace derri\u00e8re le malware PikaBot ont apport\u00e9 des modifications significatives au malware dans ce qui a \u00e9t\u00e9 d\u00e9crit comme un cas de \u00ab\u00a0d\u00e9volution\u00a0\u00bb. &#8220;Bien qu&#8217;il semble \u00eatre dans un nouveau cycle de d\u00e9veloppement et une nouvelle phase de test, les d\u00e9veloppeurs ont r\u00e9duit la complexit\u00e9 du code [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1147266,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,84,5597,4168,4165,4161,200267,133,4159,4171,200271,200268,200269,200270,216025,79210,4309,128318,4172,4169,4310,11977,30299,4166,4164],"class_list":["post-1147265","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-avec","tag-code","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pikabot","tag-rationalise","tag-refait","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-surface","tag-tactiques","tag-trompeuses","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1147265","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1147265"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1147265\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1147266"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1147265"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1147265"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1147265"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}