{"id":1149188,"date":"2024-02-14T19:59:35","date_gmt":"2024-02-14T21:59:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-bumblebee-revient-avec-de-nouvelles-astuces-ciblant-les-entreprises-americaines\/"},"modified":"2024-02-14T19:59:39","modified_gmt":"2024-02-14T21:59:39","slug":"le-logiciel-malveillant-bumblebee-revient-avec-de-nouvelles-astuces-ciblant-les-entreprises-americaines","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-bumblebee-revient-avec-de-nouvelles-astuces-ciblant-les-entreprises-americaines\/","title":{"rendered":"Le logiciel malveillant Bumblebee revient avec de nouvelles astuces, ciblant les entreprises am\u00e9ricaines"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Logiciels malveillants\/cybercriminalit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-logiciel-malveillant-Bumblebee-revient-avec-de-nouvelles-astuces-ciblant.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Le tristement c\u00e9l\u00e8bre chargeur de logiciels malveillants et courtier d&#8217;acc\u00e8s initial connu sous le nom de <strong>Bourdon<\/strong> a refait surface apr\u00e8s quatre mois d&#8217;absence dans le cadre d&#8217;une nouvelle campagne de phishing observ\u00e9e en f\u00e9vrier 2024.<\/p>\n<p>La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Proofpoint a d\u00e9clar\u00e9 que cette activit\u00e9 cible les organisations aux \u00c9tats-Unis avec des leurres sur le th\u00e8me de la messagerie vocale contenant des liens vers des URL OneDrive.<\/p>\n<p>&#8220;Les URL menaient \u00e0 un fichier Word portant des noms tels que &#8220;ReleaseEvans#96.docm&#8221; (les chiffres pr\u00e9c\u00e9dant l&#8217;extension du fichier variaient)&#8221;, a expliqu\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/bumblebee-buzzes-back-black\" target=\"_blank\">dit<\/a> dans un rapport de mardi.  &#8220;Le document Word a usurp\u00e9 la soci\u00e9t\u00e9 d&#8217;\u00e9lectronique grand public Humane.&#8221;<\/p>\n<p>L&#8217;ouverture du document exploite les macros VBA pour lancer une commande PowerShell afin de t\u00e9l\u00e9charger et d&#8217;ex\u00e9cuter un autre script PowerShell \u00e0 partir d&#8217;un serveur distant qui, \u00e0 son tour, r\u00e9cup\u00e8re et ex\u00e9cute le chargeur Bumblebee.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Microsoft-et-OpenAI-mettent-en-garde-contre-les-pirates-informatiques.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Bumblebee, rep\u00e9r\u00e9 pour la premi\u00e8re fois en mars 2022, est principalement con\u00e7u pour t\u00e9l\u00e9charger et ex\u00e9cuter des charges utiles ult\u00e9rieures telles que des ransomwares.  Il a \u00e9t\u00e9 utilis\u00e9 par plusieurs auteurs de menaces de logiciels criminels qui avaient d\u00e9j\u00e0 observ\u00e9 la livraison de BazaLoader (alias BazarLoader) et d&#8217;IcedID.<\/p>\n<p>Il est \u00e9galement soup\u00e7onn\u00e9 d&#8217;avoir \u00e9t\u00e9 d\u00e9velopp\u00e9 par des acteurs malveillants, le syndicat de cybercriminalit\u00e9 Conti et TrickBot, en remplacement de BazarLoader.  En septembre 2023, Intel 471 a divulgu\u00e9 une campagne de distribution Bumblebee qui utilisait des serveurs Web Distributed Authoring and Versioning (WebDAV) pour diffuser le chargeur.<\/p>\n<p>La cha\u00eene d&#8217;attaque se distingue par sa d\u00e9pendance \u00e0 l&#8217;\u00e9gard de documents prenant en charge les macros, d&#8217;autant plus que Microsoft a commenc\u00e9 \u00e0 bloquer par d\u00e9faut les macros dans les fichiers Office t\u00e9l\u00e9charg\u00e9s sur Internet \u00e0 partir de juillet 2022, ce qui a incit\u00e9 les acteurs malveillants \u00e0 modifier et \u00e0 diversifier leurs approches.<\/p>\n<p>Le retour de Bumblebee co\u00efncide \u00e9galement avec la r\u00e9apparition de nouvelles variantes de QakBot, ZLoader et PikaBot, avec des \u00e9chantillons de QakBot distribu\u00e9s sous forme de fichiers Microsoft Software Installer (MSI).<\/p>\n<p>&#8220;Le .MSI d\u00e9pose une archive Windows .cab (Cabinet), qui \u00e0 son tour contient une DLL&#8221;, explique la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Sophos. <a rel=\"nofollow noopener\" href=\"https:\/\/infosec.exchange\/@SophosXOps\/111925140107889131\" target=\"_blank\">dit<\/a> sur Mastodonte.  &#8220;Le .MSI extrait la DLL du .cab et l&#8217;ex\u00e9cute \u00e0 l&#8217;aide d&#8217;un shellcode. Le shellcode am\u00e8ne la DLL \u00e0 g\u00e9n\u00e9rer une deuxi\u00e8me copie d&#8217;elle-m\u00eame et \u00e0 injecter le code du robot dans l&#8217;espace m\u00e9moire de la deuxi\u00e8me instance.&#8221;<\/p>\n<p>Il a \u00e9t\u00e9 constat\u00e9 que les derniers artefacts de QakBot renforcent le cryptage utilis\u00e9 pour dissimuler des cha\u00eenes et d&#8217;autres informations, notamment en utilisant un logiciel malveillant de cryptage appel\u00e9 DaveCrypter, ce qui rend son analyse plus difficile.  La nouvelle g\u00e9n\u00e9ration r\u00e9tablit \u00e9galement la possibilit\u00e9 de d\u00e9tecter si le malware s&#8217;ex\u00e9cutait dans une machine virtuelle ou un bac \u00e0 sable.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-logiciel-malveillant-Bumblebee-revient-avec-de-nouvelles-astuces-ciblant.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Une autre modification cruciale consiste \u00e0 chiffrer toutes les communications entre le malware et le serveur de commande et de contr\u00f4le (C2) \u00e0 l&#8217;aide d&#8217;AES-256, une m\u00e9thode plus puissante que celle utilis\u00e9e dans les versions ant\u00e9rieures au d\u00e9mant\u00e8lement de l&#8217;infrastructure de QakBot fin ao\u00fbt 2023.<\/p>\n<p>&#8220;Le d\u00e9mant\u00e8lement de l&#8217;infrastructure du botnet QakBot a \u00e9t\u00e9 une victoire, mais les cr\u00e9ateurs du bot restent libres, et quelqu&#8217;un ayant acc\u00e8s au code source original de QakBot a exp\u00e9riment\u00e9 de nouvelles versions et test\u00e9 le terrain avec ces derni\u00e8res variantes&#8221;, a d\u00e9clar\u00e9 Andrew Brandt, chercheur principal. chez Sophos X-Ops, a d\u00e9clar\u00e9.<\/p>\n<p>\u00ab L&#8217;un des changements les plus notables concerne une modification de l&#8217;algorithme de chiffrement que le bot utilise pour dissimuler les configurations par d\u00e9faut cod\u00e9es en dur dans le bot, ce qui rend plus difficile pour les analystes de voir comment le malware fonctionne ; les attaquants restaurent \u00e9galement des fonctionnalit\u00e9s pr\u00e9c\u00e9demment obsol\u00e8tes, telles que connaissance des machines virtuelles (VM) et les tester dans ces nouvelles versions.<\/p>\n<p>QakBot est \u00e9galement apparu comme le <a rel=\"nofollow noopener\" href=\"https:\/\/blog.checkpoint.com\/research\/january-2024s-most-wanted-malware-major-vextrio-broker-operation-uncovered-and-lockbit3-tops-the-ransomware-threats\/\" target=\"_blank\">deuxi\u00e8me malware le plus r\u00e9pandu<\/a> pour janvier 2024, derri\u00e8re FakeUpdates (alias SocGholish) mais devant d&#8217;autres familles comme Formbook, Nanocore, AsyncRAT, Remcos RAT et Agent Tesla.<\/p>\n<p>Le d\u00e9veloppement arrive sous le nom de Malwarebytes <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2024\/02\/remote-monitoring-management-software-used-in-phishing-attacks\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> une nouvelle campagne dans laquelle des sites de phishing imitant des institutions financi\u00e8res comme Barclays incitent des cibles potentielles \u00e0 t\u00e9l\u00e9charger un logiciel de bureau \u00e0 distance l\u00e9gitime comme AnyDesk pour pr\u00e9tendument r\u00e9soudre des probl\u00e8mes inexistants et finalement permettre aux acteurs malveillants de prendre le contr\u00f4le de la machine.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/bumblebee-malware-returns-with-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 f\u00e9vrier 2024\ue804R\u00e9dactionLogiciels malveillants\/cybercriminalit\u00e9 Le tristement c\u00e9l\u00e8bre chargeur de logiciels malveillants et courtier d&#8217;acc\u00e8s initial connu sous le nom de Bourdon a refait surface apr\u00e8s quatre mois d&#8217;absence dans le cadre d&#8217;une nouvelle campagne de phishing observ\u00e9e en f\u00e9vrier 2024. La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Proofpoint a d\u00e9clar\u00e9 que cette activit\u00e9 cible les organisations aux [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1149189,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,1076,3686,84,57278,4175,4168,4165,4161,200267,3244,4159,4171,65,6816,200271,7733,200268,120,200269,200270,3145,128318,4172,4169,4166,4164],"class_list":["post-1149188","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-americaines","tag-astuces","tag-avec","tag-bumblebee","tag-ciblant","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-entreprises","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-revient","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1149188","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1149188"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1149188\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1149189"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1149188"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1149188"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1149188"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}