{"id":1148257,"date":"2024-02-14T07:14:32","date_gmt":"2024-02-14T09:14:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-darkme-cible-les-traders-en-utilisant-la-vulnerabilite-zero-day-de-microsoft-smartscreen\/"},"modified":"2024-02-14T07:14:36","modified_gmt":"2024-02-14T09:14:36","slug":"le-logiciel-malveillant-darkme-cible-les-traders-en-utilisant-la-vulnerabilite-zero-day-de-microsoft-smartscreen","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-darkme-cible-les-traders-en-utilisant-la-vulnerabilite-zero-day-de-microsoft-smartscreen\/","title":{"rendered":"Le logiciel malveillant DarkMe cible les traders en utilisant la vuln\u00e9rabilit\u00e9 Zero-Day de Microsoft SmartScreen"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Zero-Day \/ S\u00e9curit\u00e9 du secteur financier<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-logiciel-malveillant-DarkMe-cible-les-traders-en-utilisant-la.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une faille de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans Microsoft Defender SmartScreen a \u00e9t\u00e9 exploit\u00e9e comme un jour z\u00e9ro par un acteur de menace persistante avanc\u00e9e appel\u00e9 Water Hydra (alias DarkCasino) ciblant les traders des march\u00e9s financiers.<\/p>\n<p>Trend Micro, qui a commenc\u00e9 \u00e0 suivre la campagne fin d\u00e9cembre 2023, a d\u00e9clar\u00e9 qu&#8217;elle impliquait l&#8217;exploitation de CVE-2024-21412, une vuln\u00e9rabilit\u00e9 de contournement de s\u00e9curit\u00e9 li\u00e9e aux fichiers de raccourci Internet (.URL). <\/p>\n<p>&#8220;Dans cette cha\u00eene d&#8217;attaques, l&#8217;acteur malveillant a exploit\u00e9 CVE-2024-21412 pour contourner Microsoft Defender SmartScreen et infecter les victimes avec le malware DarkMe&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/b\/cve202421412-water-hydra-targets-traders-with-windows-defender-s.html\" target=\"_blank\">dit<\/a> dans un rapport de mardi.<\/p>\n<p>Microsoft, qui a corrig\u00e9 la faille dans sa mise \u00e0 jour du Patch Tuesday de f\u00e9vrier, a d\u00e9clar\u00e9 qu&#8217;un attaquant non authentifi\u00e9 pourrait exploiter la faille en envoyant \u00e0 l&#8217;utilisateur cibl\u00e9 un fichier sp\u00e9cialement con\u00e7u afin de contourner les contr\u00f4les de s\u00e9curit\u00e9 affich\u00e9s.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707338666_510_La-Coalition-mondiale-et-les-geants-de-la-technologie-sunissent.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cependant, une exploitation r\u00e9ussie repose sur la condition pr\u00e9alable que l\u2019auteur de la menace convainque la victime de cliquer sur le lien du fichier pour afficher le contenu contr\u00f4l\u00e9 par l\u2019attaquant.<\/p>\n<p>La proc\u00e9dure d&#8217;infection document\u00e9e par Trend Micro exploite CVE-2024-21412 pour supprimer un fichier d&#8217;installation malveillant (\u00ab 7z.msi \u00bb) en cliquant sur une URL pi\u00e9g\u00e9e (\u00ab fxbulls[.]ru&#8221;) distribu\u00e9 via des forums de trading forex sous pr\u00e9texte de partager un lien vers une image boursi\u00e8re qui, en r\u00e9alit\u00e9, est un fichier de raccourci Internet (&#8220;photo_2023-12-29.jpg.url&#8221;).<\/p>\n<p>&#8220;La page d&#8217;accueil sur fxbulls[.]ru contient un lien vers un partage WebDAV malveillant avec une vue sp\u00e9cialement filtr\u00e9e&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Peter Girnus, Aliakbar Zahravi et Simon Zuckerbraun.<\/p>\n<p>&#8220;Lorsque les utilisateurs cliquent sur ce lien, le navigateur leur demande d&#8217;ouvrir le lien dans l&#8217;Explorateur Windows. Il ne s&#8217;agit pas d&#8217;une invite de s\u00e9curit\u00e9, donc l&#8217;utilisateur ne peut pas penser que ce lien est malveillant.&#8221;<\/p>\n<p>L&#8217;astuce astucieuse qui rend cela possible est l&#8217;abus par l&#8217;acteur malveillant du protocole d&#8217;application de recherche, qui est utilis\u00e9 pour appeler l&#8217;application de recherche de bureau sous Windows et qui a \u00e9t\u00e9 utilis\u00e9 de mani\u00e8re abusive dans le pass\u00e9 pour diffuser des logiciels malveillants.<\/p>\n<p>Le fichier de raccourci Internet malveillant, quant \u00e0 lui, pointe vers un autre fichier de raccourci Internet h\u00e9berg\u00e9 sur un serveur distant (&#8220;2.url&#8221;), qui, \u00e0 son tour, pointe vers un script shell CMD au sein d&#8217;une archive ZIP h\u00e9berg\u00e9e sur le m\u00eame serveur ( &#8220;a2.zip\/a2.cmd&#8221;).<\/p>\n<p>Ce r\u00e9f\u00e9rencement inhabituel vient du fait que \u00ab\u00a0l&#8217;appel d&#8217;un raccourci dans un autre raccourci \u00e9tait suffisant pour \u00e9chapper \u00e0 SmartScreen, qui n&#8217;a pas r\u00e9ussi \u00e0 appliquer correctement Mark of the Web (MotW), un composant Windows critique qui alerte les utilisateurs lors de l&#8217;ouverture ou de l&#8217;ex\u00e9cution de fichiers provenant d&#8217;une source non fiable. &#8220;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;objectif final de la campagne est de diffuser furtivement en arri\u00e8re-plan un cheval de Troie Visual Basic connu sous le nom de DarkMe tout en affichant le graphique boursier \u00e0 la victime afin de maintenir la ruse une fois la cha\u00eene d&#8217;exploitation et d&#8217;infection termin\u00e9e.<\/p>\n<p>DarkMe est dot\u00e9 de fonctionnalit\u00e9s permettant de t\u00e9l\u00e9charger et d&#8217;ex\u00e9cuter des instructions suppl\u00e9mentaires, tout en s&#8217;enregistrant aupr\u00e8s d&#8217;un serveur de commande et de contr\u00f4le (C2) et en collectant des informations sur le syst\u00e8me compromis.<\/p>\n<p>Cette \u00e9volution intervient au milieu d\u2019une nouvelle tendance selon laquelle les failles Zero Day d\u00e9couvertes par les groupes de cybercriminalit\u00e9 finissent par \u00eatre int\u00e9gr\u00e9es dans des cha\u00eenes d\u2019attaque d\u00e9ploy\u00e9es par des groupes de piratage informatiques au niveau des \u00c9tats-nations pour lancer des attaques sophistiqu\u00e9es.<\/p>\n<p>&#8220;Water Hydra poss\u00e8de les connaissances techniques et les outils n\u00e9cessaires pour d\u00e9couvrir et exploiter les vuln\u00e9rabilit\u00e9s du jour z\u00e9ro dans des campagnes avanc\u00e9es, en d\u00e9ployant des logiciels malveillants hautement destructeurs tels que DarkMe&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/darkme-malware-targets-traders-using.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 f\u00e9vrier 2024\ue804R\u00e9dactionZero-Day \/ S\u00e9curit\u00e9 du secteur financier Une faille de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans Microsoft Defender SmartScreen a \u00e9t\u00e9 exploit\u00e9e comme un jour z\u00e9ro par un acteur de menace persistante avanc\u00e9e appel\u00e9 Water Hydra (alias DarkCasino) ciblant les traders des march\u00e9s financiers. Trend Micro, qui a commenc\u00e9 \u00e0 suivre la campagne fin d\u00e9cembre 2023, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1148258,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,7087,4168,4165,4161,200267,229888,4159,4171,65,6816,200271,7733,8362,200268,200269,200270,128318,4172,4169,228211,22239,20349,4166,3667,4164,35759],"class_list":["post-1148257","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-cible","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-darkme","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-microsoft","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-smartscreen","tag-traders","tag-utilisant","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1148257","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1148257"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1148257\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1148258"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1148257"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1148257"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1148257"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}