{"id":1189270,"date":"2024-03-11T13:13:51","date_gmt":"2024-03-11T15:13:51","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-cheval-de-troie-bancaire-chavecloak-cible-les-utilisateurs-bresiliens-via-des-tactiques-de-phishing\/"},"modified":"2024-03-11T13:13:56","modified_gmt":"2024-03-11T15:13:56","slug":"le-nouveau-cheval-de-troie-bancaire-chavecloak-cible-les-utilisateurs-bresiliens-via-des-tactiques-de-phishing","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-cheval-de-troie-bancaire-chavecloak-cible-les-utilisateurs-bresiliens-via-des-tactiques-de-phishing\/","title":{"rendered":"Le nouveau cheval de Troie bancaire CHAVECLOAK cible les utilisateurs br\u00e9siliens via des tactiques de phishing"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Le-nouveau-cheval-de-Troie-bancaire-CHAVECLOAK-cible-les-utilisateurs.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les utilisateurs du Br\u00e9sil sont la cible d&#8217;un nouveau cheval de Troie bancaire appel\u00e9 <strong>CHAVEMANTEAU<\/strong> qui se propage via des e-mails de phishing contenant des pi\u00e8ces jointes PDF.<\/p>\n<p>&#8220;Cette attaque complexe implique que le PDF t\u00e9l\u00e9charge un fichier ZIP et utilise ensuite des techniques de chargement lat\u00e9ral de DLL pour ex\u00e9cuter le malware final&#8221;, a d\u00e9clar\u00e9 Cara Lin, chercheuse chez Fortinet FortiGuard Labs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/banking-trojan-chavecloak-targets-brazil\" target=\"_blank\">dit<\/a>.<\/p>\n<p>La cha\u00eene d&#8217;attaque implique l&#8217;utilisation de leurres DocuSign sur le th\u00e8me des contrats pour inciter les utilisateurs \u00e0 ouvrir des fichiers PDF contenant un bouton pour lire et signer les documents.<\/p>\n<p>En r\u00e9alit\u00e9, cliquer sur le bouton entra\u00eene la r\u00e9cup\u00e9ration d&#8217;un fichier d&#8217;installation \u00e0 partir d&#8217;un lien distant raccourci \u00e0 l&#8217;aide du service de raccourcissement d&#8217;URL Goo.su.<\/p>\n<p>Le programme d&#8217;installation contient un ex\u00e9cutable nomm\u00e9 &#8220;Lightshot.exe&#8221; qui exploite le chargement lat\u00e9ral de DLL pour charger &#8220;Lightshot.dll&#8221;, qui est le malware CHAVECLOAK qui facilite le vol d&#8217;informations sensibles.<\/p>\n<p>Cela inclut la collecte de m\u00e9tadonn\u00e9es du syst\u00e8me et l&#8217;ex\u00e9cution de v\u00e9rifications pour d\u00e9terminer si la machine compromise se trouve au Br\u00e9sil et, si tel est le cas, la surveillance p\u00e9riodique de la fen\u00eatre de premier plan pour la comparer \u00e0 une liste pr\u00e9d\u00e9finie de cha\u00eenes li\u00e9es \u00e0 la banque.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/freedom728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708095444_689_RustDoor-macOS-Backdoor-cible-les-entreprises-de-crypto-monnaie-avec-de.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Si cela correspond, une connexion est \u00e9tablie avec un serveur de commande et de contr\u00f4le (C2) et proc\u00e8de \u00e0 la collecte de divers types d&#8217;informations et \u00e0 leur exfiltration vers des points de terminaison distincts sur le serveur en fonction de l&#8217;institution financi\u00e8re.<\/p>\n<p>\u00ab\u00a0Le logiciel malveillant facilite diverses actions visant \u00e0 voler les informations d&#8217;identification d&#8217;une victime, par exemple en permettant \u00e0 l&#8217;op\u00e9rateur de bloquer l&#8217;\u00e9cran de la victime, d&#8217;enregistrer les frappes au clavier et d&#8217;afficher des fen\u00eatres contextuelles trompeuses\u00a0\u00bb, a d\u00e9clar\u00e9 Lin.<\/p>\n<p>&#8220;Le malware surveille activement l&#8217;acc\u00e8s de la victime \u00e0 des portails financiers sp\u00e9cifiques, notamment plusieurs banques et Mercado Bitcoin, qui englobe \u00e0 la fois les plateformes bancaires traditionnelles et les plateformes de crypto-monnaie.&#8221;<\/p>\n<p>Fortinet a d\u00e9clar\u00e9 avoir \u00e9galement d\u00e9couvert une variante Delphi de CHAVECLOAK, soulignant une fois de plus la pr\u00e9valence des logiciels malveillants bas\u00e9s sur Delphi ciblant l&#8217;Am\u00e9rique latine.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Le-nouveau-cheval-de-Troie-bancaire-CHAVECLOAK-cible-les-utilisateurs.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Le-nouveau-cheval-de-Troie-bancaire-CHAVECLOAK-cible-les-utilisateurs.png\" alt=\"Cheval de Troie bancaire CHAVECLOAK\" border=\"0\" data-original-height=\"315\" data-original-width=\"982\" title=\"Cheval de Troie bancaire CHAVECLOAK\"\/><\/a><\/div>\n<p>\u00ab L&#8217;\u00e9mergence du cheval de Troie bancaire CHAVECLOAK souligne l&#8217;\u00e9volution du paysage des cybermenaces ciblant le secteur financier, en particulier les utilisateurs au Br\u00e9sil \u00bb, a conclu Lin.<\/p>\n<p>Ces d\u00e9couvertes surviennent dans le cadre d&#8217;une campagne de fraude bancaire mobile en cours contre le Royaume-Uni, l&#8217;Espagne et l&#8217;Italie, qui consiste \u00e0 utiliser des tactiques de smishing et de vishing (c&#8217;est-\u00e0-dire phishing par SMS et voix) pour d\u00e9ployer un malware Android appel\u00e9 Copybara dans le but d&#8217;effectuer des transferts bancaires non autoris\u00e9s vers un pays. r\u00e9seau de comptes bancaires g\u00e9r\u00e9s par des mules d&#8217;argent.<\/p>\n<p>&#8220;TA [Threat actors] ont \u00e9t\u00e9 captur\u00e9s en utilisant une mani\u00e8re structur\u00e9e de g\u00e9rer toutes les campagnes de phishing en cours via un panneau Web centralis\u00e9 connu sous le nom de \u00ab\u00a0Mr.  &#8220;Robot&#8221;, Cleafy <a rel=\"nofollow noopener\" href=\"https:\/\/www.cleafy.com\/cleafy-labs\/on-device-fraud-on-the-rise-exposing-a-recent-copybara-fraud-campaign\" target=\"_blank\">dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/1710170030_756_Le-nouveau-cheval-de-Troie-bancaire-CHAVECLOAK-cible-les-utilisateurs.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/1710170030_756_Le-nouveau-cheval-de-Troie-bancaire-CHAVECLOAK-cible-les-utilisateurs.png\" alt=\"Cheval de Troie bancaire CHAVECLOAK\" border=\"0\" data-original-height=\"590\" data-original-width=\"1254\" title=\"Cheval de Troie bancaire CHAVECLOAK\"\/><\/a><\/div>\n<p>&#8220;Gr\u00e2ce \u00e0 ce panel, les TA peuvent activer et g\u00e9rer plusieurs campagnes de phishing (contre diff\u00e9rentes institutions financi\u00e8res) en fonction de leurs besoins.&#8221;<\/p>\n<p>Le cadre C2 permet \u00e9galement aux attaquants d&#8217;orchestrer des attaques sur mesure contre des institutions financi\u00e8res distinctes \u00e0 l&#8217;aide de kits de phishing con\u00e7us pour imiter l&#8217;interface utilisateur de l&#8217;entit\u00e9 cibl\u00e9e, tout en adoptant des m\u00e9thodes anti-d\u00e9tection via le g\u00e9orep\u00e9rage et les empreintes digitales des appareils pour limiter les connexions uniquement \u00e0 partir d&#8217;appareils mobiles.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/1710170031_676_Le-nouveau-cheval-de-Troie-bancaire-CHAVECLOAK-cible-les-utilisateurs.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/1710170031_676_Le-nouveau-cheval-de-Troie-bancaire-CHAVECLOAK-cible-les-utilisateurs.png\" alt=\"Cheval de Troie bancaire CHAVECLOAK\" border=\"0\" data-original-height=\"572\" data-original-width=\"1402\" title=\"Cheval de Troie bancaire CHAVECLOAK\"\/><\/a><\/div>\n<p>Le kit de phishing \u2013 qui sert de fausse page de connexion \u2013 est charg\u00e9 de capturer les informations d&#8217;identification et les num\u00e9ros de t\u00e9l\u00e9phone des clients des banques de d\u00e9tail et d&#8217;envoyer les d\u00e9tails \u00e0 un groupe Telegram.<\/p>\n<p>Une partie de l&#8217;infrastructure malveillante utilis\u00e9e pour la campagne est con\u00e7ue pour diffuser Copybara, qui est g\u00e9r\u00e9 \u00e0 l&#8217;aide d&#8217;un panneau C2 nomm\u00e9 JOKER RAT qui affiche tous les appareils infect\u00e9s et leur r\u00e9partition g\u00e9ographique sur une carte en direct.<\/p>\n<p>Il permet \u00e9galement aux acteurs malveillants d&#8217;interagir \u00e0 distance et en temps r\u00e9el avec un appareil infect\u00e9 \u00e0 l&#8217;aide d&#8217;un module VNC, en plus d&#8217;injecter de fausses superpositions au-dessus des applications bancaires pour siphonner les informations d&#8217;identification, d&#8217;enregistrer les frappes au clavier en abusant des services d&#8217;accessibilit\u00e9 d&#8217;Android et d&#8217;intercepter les messages SMS.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-hardened-images-platforms\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Un-nouveau-kit-de-phishing-exploite-les-SMS-et-les.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En plus de cela, JOKER RAT est livr\u00e9 avec un g\u00e9n\u00e9rateur d&#8217;APK qui permet de personnaliser le nom de l&#8217;application malveillante, le nom du package et les ic\u00f4nes.<\/p>\n<p>&#8220;Une autre fonctionnalit\u00e9 disponible \u00e0 l&#8217;int\u00e9rieur du panneau est la &#8220;notification push&#8221;, probablement utilis\u00e9e pour envoyer aux appareils infect\u00e9s de fausses notifications push qui ressemblent \u00e0 une notification bancaire pour inciter l&#8217;utilisateur \u00e0 ouvrir l&#8217;application de la banque de telle mani\u00e8re que le malware puisse voler les informations d&#8217;identification. &#8220;, ont d\u00e9clar\u00e9 Francesco Iubatti et Federico Valentini, chercheurs de Cleafy.<\/p>\n<p>La sophistication croissante des stratag\u00e8mes de fraude sur les appareils (ODF) est \u00e9galement mise en \u00e9vidence par une campagne TeaBot (alias Anatsa) r\u00e9cemment r\u00e9v\u00e9l\u00e9e qui a r\u00e9ussi \u00e0 infiltrer le Google Play Store sous le couvert d&#8217;applications de lecture de PDF.<\/p>\n<p>&#8220;Cette application sert de compte-gouttes, facilitant le t\u00e9l\u00e9chargement d&#8217;un cheval de Troie bancaire de la famille TeaBot en plusieurs \u00e9tapes&#8221;, d\u00e9clare Iubatti <a rel=\"nofollow noopener\" href=\"https:\/\/www.cleafy.com\/cleafy-labs\/a-stealthy-threat-uncovered-teabot-on-google-play-store\" target=\"_blank\">dit<\/a>.  &#8220;Avant de t\u00e9l\u00e9charger le cheval de Troie bancaire, le dropper ex\u00e9cute des techniques d&#8217;\u00e9vasion avanc\u00e9es, notamment l&#8217;obscurcissement et la suppression de fichiers, ainsi que de multiples v\u00e9rifications sur les pays victimes.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/03\/new-banking-trojan-chavecloak-targets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les utilisateurs du Br\u00e9sil sont la cible d&#8217;un nouveau cheval de Troie bancaire appel\u00e9 CHAVEMANTEAU qui se propage via des e-mails de phishing contenant des pi\u00e8ces jointes PDF. &#8220;Cette attaque complexe implique que le PDF t\u00e9l\u00e9charge un fichier ZIP et utilise ensuite des techniques de chargement lat\u00e9ral de DLL pour ex\u00e9cuter le malware final&#8221;, a [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1189271,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,173,9112,234557,7968,7087,4168,4165,4161,200267,133,4159,4171,65,200271,200268,680,200269,200270,8153,128318,4172,4169,11977,8915,7529,4166,4164],"class_list":["post-1189270","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-bancaire","tag-bresiliens","tag-chavecloak","tag-cheval","tag-cible","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouveau","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-phishing","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-tactiques","tag-troie","tag-utilisateurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1189270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1189270"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1189270\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1189271"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1189270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1189270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1189270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}