{"id":1169917,"date":"2024-02-28T06:44:33","date_gmt":"2024-02-28T08:44:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-timbrestealer-se-propage-via-une-escroquerie-de-phishing-sur-le-theme-fiscal-ciblant-les-utilisateurs-informatiques\/"},"modified":"2024-02-28T06:44:38","modified_gmt":"2024-02-28T08:44:38","slug":"le-logiciel-malveillant-timbrestealer-se-propage-via-une-escroquerie-de-phishing-sur-le-theme-fiscal-ciblant-les-utilisateurs-informatiques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-timbrestealer-se-propage-via-une-escroquerie-de-phishing-sur-le-theme-fiscal-ciblant-les-utilisateurs-informatiques\/","title":{"rendered":"Le logiciel malveillant TimbreStealer se propage via une escroquerie de phishing sur le th\u00e8me fiscal ciblant les utilisateurs informatiques"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>28 f\u00e9vrier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Attaque de phishing\/logiciel malveillant<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Les utilisateurs mexicains sont cibl\u00e9s par des leurres de phishing \u00e0 caract\u00e8re fiscal au moins depuis novembre 2023 pour distribuer un malware Windows jusqu’alors non document\u00e9 appel\u00e9 TimbreStealer<\/strong>.<\/p>\n

Cisco Talos, qui d\u00e9couvert<\/a> l’activit\u00e9, a d\u00e9crit les auteurs comme \u00e9tant comp\u00e9tents et que \u00ab l’acteur mena\u00e7ant a d\u00e9j\u00e0 utilis\u00e9 des tactiques, techniques et proc\u00e9dures (TTP) similaires pour distribuer un cheval de Troie bancaire connu sous le nom de Mispadu en septembre 2023.<\/p>\n

En plus d’utiliser des techniques d’obscurcissement sophistiqu\u00e9es pour contourner la d\u00e9tection et assurer la persistance, la campagne de phishing utilise le g\u00e9ofencing pour identifier les utilisateurs au Mexique, renvoyant un fichier PDF vierge inoffensif au lieu du fichier malveillant si les sites de charge utile sont contact\u00e9s depuis d’autres endroits.<\/p>\n

Certaines des man\u0153uvres d’\u00e9vitement notables incluent l’exploitation de chargeurs personnalis\u00e9s et d’appels syst\u00e8me directs pour contourner la surveillance conventionnelle des API, en plus d’utiliser Heaven’s Gate pour ex\u00e9cuter du code 64 bits dans un processus 32 bits, une approche qui a \u00e9galement \u00e9t\u00e9 r\u00e9cemment adopt\u00e9e par HijackLoader.<\/p>\n

\"La<\/a><\/center><\/div>\n

Le malware est livr\u00e9 avec plusieurs modules int\u00e9gr\u00e9s pour l’orchestration, le d\u00e9cryptage et la protection du binaire principal, tout en ex\u00e9cutant \u00e9galement une s\u00e9rie de v\u00e9rifications pour d\u00e9terminer s’il ex\u00e9cute un environnement sandbox, si la langue du syst\u00e8me n’est pas le russe et si le fuseau horaire se situe dans un pays d’Am\u00e9rique latine. r\u00e9gion.<\/p>\n

Le module orchestrateur recherche \u00e9galement des fichiers et des cl\u00e9s de registre pour v\u00e9rifier que la machine n’a pas \u00e9t\u00e9 infect\u00e9e auparavant, avant de lancer un composant d’installation de charge utile qui affiche un fichier leurre inoffensif \u00e0 l’utilisateur, car il d\u00e9clenche finalement l’ex\u00e9cution de la charge utile principale de TimbreStealer. .<\/p>\n

La charge utile est con\u00e7ue pour collecter un large \u00e9ventail de donn\u00e9es, notamment les informations d’identification de diff\u00e9rents dossiers, les m\u00e9tadonn\u00e9es du syst\u00e8me et les URL consult\u00e9es, rechercher des fichiers correspondant \u00e0 des extensions sp\u00e9cifiques et v\u00e9rifier la pr\u00e9sence d’un logiciel de bureau \u00e0 distance. <\/p>\n

\"Logiciel<\/a><\/div>\n

Cisco Talos a d\u00e9clar\u00e9 avoir identifi\u00e9 des chevauchements avec une campagne de spam Mispadu observ\u00e9e en septembre 2023, bien que les secteurs cibles de TimbreStealer soient vari\u00e9s et se concentrent sur les secteurs de la fabrication et des transports.<\/p>\n

La divulgation intervient au milieu de l’\u00e9mergence d’une nouvelle version d’un autre voleur d’informations appel\u00e9 Atomic (alias AMOS), capable de collecter des donn\u00e9es \u00e0 partir des syst\u00e8mes Apple macOS telles que les mots de passe des comptes d’utilisateurs locaux, les informations d’identification de Mozilla Firefox et les navigateurs bas\u00e9s sur Chromium, le portefeuille crypto. informations et fichiers d’int\u00e9r\u00eat, en utilisant une combinaison inhabituelle de code Python et Apple Script.<\/p>\n

\"La<\/a><\/center><\/div>\n

“La nouvelle variante est abandonn\u00e9e et utilise un script Python pour rester secr\u00e8te”, Andrei Lapusneanu, chercheur chez Bitdefender. dit<\/a>notant que le bloc Apple Script permettant de collecter des fichiers sensibles sur l’ordinateur de la victime pr\u00e9sente un \u00ab niveau de similarit\u00e9 consid\u00e9rablement \u00e9lev\u00e9 \u00bb avec la porte d\u00e9rob\u00e9e RustDoor.<\/p>\n

\"\"<\/a><\/div>\n

Cela fait \u00e9galement suite \u00e0 l\u2019\u00e9mergence de nouvelles familles de malwares voleurs telles que XSSLite<\/a>qui a \u00e9t\u00e9 publi\u00e9 dans le cadre d’un concours de d\u00e9veloppement de logiciels malveillants organis\u00e9 par le forum XSS, alors m\u00eame que les souches existantes comme Agent Tesla<\/a> et Poney<\/a> (alias Fareit ou Siplog) a continu\u00e9 \u00e0 \u00eatre utilis\u00e9 pour le vol d’informations et la vente ult\u00e9rieure sur des march\u00e9s de journaux voleurs comme Exode<\/a>.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n