{"id":1191976,"date":"2024-03-13T08:50:27","date_gmt":"2024-03-13T10:50:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/alerte-cybercriminels-deployant-les-chevaux-de-troie-vcurms-et-strrat-via-aws-et-github\/"},"modified":"2024-03-13T08:50:32","modified_gmt":"2024-03-13T10:50:32","slug":"alerte-cybercriminels-deployant-les-chevaux-de-troie-vcurms-et-strrat-via-aws-et-github","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/alerte-cybercriminels-deployant-les-chevaux-de-troie-vcurms-et-strrat-via-aws-et-github\/","title":{"rendered":"Alerte : Cybercriminels d\u00e9ployant les chevaux de Troie VCURMS et STRRAT via AWS et GitHub"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 mars 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Attaque de phishing \/ renseignements sur les menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Alerte-Cybercriminels-deployant-les-chevaux-de-Troie-VCURMS-et.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une nouvelle campagne de phishing a \u00e9t\u00e9 observ\u00e9e d\u00e9livrant des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) tels que VCURMS et STRRAT au moyen d&#8217;un t\u00e9l\u00e9chargeur malveillant bas\u00e9 sur Java.<\/p>\n<p>&#8220;Les attaquants ont stock\u00e9 des logiciels malveillants sur des services publics comme Amazon Web Services (AWS) et GitHub, en utilisant un protecteur commercial pour \u00e9viter la d\u00e9tection du logiciel malveillant&#8221;, a d\u00e9clar\u00e9 Yurren Wan, chercheur chez Fortinet FortiGuard Labs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/vcurms-a-simple-and-functional-weapon\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Un aspect inhabituel de la campagne est l&#8217;utilisation par VCURMS d&#8217;une adresse e-mail Proton Mail (&#8220;sacriliage@proton[.]me&#8221;) pour communiquer avec un serveur de commande et de contr\u00f4le (C2).<\/p>\n<p>La cha\u00eene d&#8217;attaque commence par un e-mail de phishing invitant les destinataires \u00e0 cliquer sur un bouton pour v\u00e9rifier les informations de paiement, entra\u00eenant le t\u00e9l\u00e9chargement d&#8217;un fichier JAR malveillant (\u00ab Payment-Advice.jar \u00bb) h\u00e9berg\u00e9 sur AWS.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/freedom728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708095444_689_RustDoor-macOS-Backdoor-cible-les-entreprises-de-crypto-monnaie-avec-de.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;ex\u00e9cution du fichier JAR entra\u00eene la r\u00e9cup\u00e9ration de deux fichiers JAR suppl\u00e9mentaires, qui sont ensuite ex\u00e9cut\u00e9s s\u00e9par\u00e9ment pour lancer les chevaux de Troie jumeaux.<\/p>\n<p>En plus d&#8217;envoyer un e-mail avec le message &#8220;Hey ma\u00eetre, je suis en ligne&#8221; \u00e0 l&#8217;adresse contr\u00f4l\u00e9e par l&#8217;acteur, VCURMS RAT v\u00e9rifie p\u00e9riodiquement dans la bo\u00eete aux lettres les e-mails avec des lignes d&#8217;objet sp\u00e9cifiques pour extraire la commande \u00e0 ex\u00e9cuter du corps de la missive.<\/p>\n<p>Cela inclut l&#8217;ex\u00e9cution de commandes arbitraires \u00e0 l&#8217;aide de cmd.exe, la collecte d&#8217;informations syst\u00e8me, la recherche et le t\u00e9l\u00e9chargement de fichiers d&#8217;int\u00e9r\u00eat, ainsi que le t\u00e9l\u00e9chargement de modules de vol d&#8217;informations et d&#8217;enregistreur de frappe suppl\u00e9mentaires \u00e0 partir du m\u00eame point de terminaison AWS.<\/p>\n<p>Le voleur d&#8217;informations est dot\u00e9 de capacit\u00e9s permettant de siphonner les donn\u00e9es sensibles d&#8217;applications telles que Discord et Steam, les informations d&#8217;identification, les cookies et les donn\u00e9es de remplissage automatique de divers navigateurs Web, des captures d&#8217;\u00e9cran et des informations d\u00e9taill\u00e9es sur le mat\u00e9riel et le r\u00e9seau sur les h\u00f4tes compromis.<\/p>\n<p>VCURMS partagerait des similitudes avec un autre voleur d&#8217;informations bas\u00e9 sur Java nomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/gridinsoft.com\/blogs\/rude-stealer\/\" target=\"_blank\">Voleur grossier<\/a>, qui a \u00e9merg\u00e9 \u00e0 l&#8217;\u00e9tat sauvage \u00e0 la fin de l&#8217;ann\u00e9e derni\u00e8re.  STRRAT, en revanche, est d\u00e9tect\u00e9 dans la nature depuis au moins 2020, souvent propag\u00e9 sous la forme de fichiers JAR frauduleux.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-hardened-images-platforms\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Un-nouveau-kit-de-phishing-exploite-les-SMS-et-les.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;STRRAT est un RAT construit \u00e0 l&#8217;aide de Java, qui poss\u00e8de un large \u00e9ventail de fonctionnalit\u00e9s, telles que servir d&#8217;enregistreur de frappe et extraire les informations d&#8217;identification des navigateurs et des applications&#8221;, a not\u00e9 Wan.<\/p>\n<p>Cette divulgation intervient alors que Darktrace a r\u00e9v\u00e9l\u00e9 une nouvelle campagne de phishing qui tire parti des e-mails automatis\u00e9s envoy\u00e9s depuis le service de stockage cloud Dropbox via \u00ab no-reply@dropbox \u00bb.[.]com&#8221; pour propager un faux lien imitant la page de connexion de Microsoft 365.<\/p>\n<p>&#8220;L&#8217;e-mail lui-m\u00eame contenait un lien qui m\u00e8nerait un utilisateur vers un fichier PDF h\u00e9berg\u00e9 sur Dropbox, qui portait apparemment le nom d&#8217;un partenaire de l&#8217;organisation&#8221;, a expliqu\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/darktrace.com\/blog\/legitimate-services-malicious-intentions-getting-the-drop-on-phishing-attacks-abusing-dropbox\" target=\"_blank\">dit<\/a>.  &#8220;le fichier PDF contenait un lien suspect vers un domaine qui n&#8217;avait jamais \u00e9t\u00e9 vu auparavant sur l&#8217;environnement du client, &#8216;mmv-security[.]haut.'&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/03\/alert-cybercriminals-deploying-vcurms.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 mars 2024\ue804R\u00e9dactionAttaque de phishing \/ renseignements sur les menaces Une nouvelle campagne de phishing a \u00e9t\u00e9 observ\u00e9e d\u00e9livrant des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) tels que VCURMS et STRRAT au moyen d&#8217;un t\u00e9l\u00e9chargeur malveillant bas\u00e9 sur Java. &#8220;Les attaquants ont stock\u00e9 des logiciels malveillants sur des services publics comme Amazon Web Services [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1191977,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4747,45034,4454,4168,4165,4161,200267,37976,174530,50438,4159,4171,65,200271,200268,200269,200270,128318,4172,4169,234898,8915,234897,4166,4164],"class_list":["post-1191976","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-alerte","tag-aws","tag-chevaux","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-cybercriminels","tag-deployant","tag-github","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-strrat","tag-troie","tag-vcurms","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1191976","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1191976"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1191976\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1191977"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1191976"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1191976"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1191976"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}