{"id":1193260,"date":"2024-06-10T15:48:49","date_gmt":"2024-06-10T17:48:49","guid":{"rendered":"https:\/\/teknomers.com\/fr\/more_eggs-un-logiciel-malveillant-deguise-en-cv-cible-les-recruteurs-dans-une-attaque-de-phishing\/"},"modified":"2024-06-10T15:48:53","modified_gmt":"2024-06-10T17:48:53","slug":"more_eggs-un-logiciel-malveillant-deguise-en-cv-cible-les-recruteurs-dans-une-attaque-de-phishing","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/more_eggs-un-logiciel-malveillant-deguise-en-cv-cible-les-recruteurs-dans-une-attaque-de-phishing\/","title":{"rendered":"More_eggs Un logiciel malveillant d\u00e9guis\u00e9 en CV cible les recruteurs dans une attaque de phishing"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Attaque de phishing\/cybercriminalit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/More_eggs-Un-logiciel-malveillant-deguise-en-CV-cible-les-recruteurs.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont rep\u00e9r\u00e9 une attaque de phishing distribuant le malware More_eggs en le faisant passer pour un CV, une technique d\u00e9tect\u00e9e \u00e0 l&#8217;origine il y a plus de deux ans.<\/p>\n<p>L&#8217;attaque, qui n&#8217;a pas abouti, visait une entreprise anonyme du secteur des services industriels en mai 2024, selon la soci\u00e9t\u00e9 canadienne de cybers\u00e9curit\u00e9 eSentire. <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/more-eggs-activity-persists-via-fake-job-applicant-lures\" target=\"_blank\">divulgu\u00e9<\/a> la semaine derni\u00e8re.<\/p>\n<p>&#8220;Plus pr\u00e9cis\u00e9ment, l&#8217;individu cibl\u00e9 \u00e9tait un recruteur qui a \u00e9t\u00e9 tromp\u00e9 par l&#8217;acteur malveillant en lui faisant croire qu&#8217;il \u00e9tait un candidat \u00e0 un emploi et qui l&#8217;a attir\u00e9 vers son site Web pour t\u00e9l\u00e9charger le chargeur&#8221;, a-t-il indiqu\u00e9.<\/p>\n<p>More_eggs, consid\u00e9r\u00e9 comme l&#8217;\u0153uvre d&#8217;un acteur mena\u00e7ant connu sous le nom de Golden Chickens (alias Venom Spider), est une porte d\u00e9rob\u00e9e modulaire capable de collecter des informations sensibles.  Il est propos\u00e9 \u00e0 d&#8217;autres acteurs criminels dans le cadre d&#8217;un mod\u00e8le Malware-as-a-Service (MaaS).<\/p>\n<p>L&#8217;ann\u00e9e derni\u00e8re, eSentire a d\u00e9voil\u00e9 l&#8217;identit\u00e9 r\u00e9elle de deux individus \u2013 Chuck de Montr\u00e9al et Jack \u2013 qui dirigeraient l&#8217;op\u00e9ration.<\/p>\n<p>La derni\u00e8re cha\u00eene d&#8217;attaques implique que des acteurs malveillants r\u00e9pondent aux offres d&#8217;emploi de LinkedIn avec un lien vers un faux site de t\u00e9l\u00e9chargement de CV qui entra\u00eene le t\u00e9l\u00e9chargement d&#8217;un fichier de raccourci Windows (LNK) malveillant.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718041727_828_More_eggs-Un-logiciel-malveillant-deguise-en-CV-cible-les-recruteurs.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il convient de noter que l&#8217;activit\u00e9 pr\u00e9c\u00e9dente de More_eggs a cibl\u00e9 des professionnels sur LinkedIn avec des offres d&#8217;emploi militaris\u00e9es pour les inciter \u00e0 t\u00e9l\u00e9charger le malware.<\/p>\n<p>&#8220;La navigation vers la m\u00eame URL quelques jours plus tard aboutit au CV de l&#8217;individu en HTML brut, sans aucune indication de redirection ou de t\u00e9l\u00e9chargement&#8221;, a not\u00e9 eSentire.<\/p>\n<p>Le fichier LNK est ensuite utilis\u00e9 pour r\u00e9cup\u00e9rer une DLL malveillante en exploitant un programme Microsoft l\u00e9gitime appel\u00e9 ie4uinit.exe, apr\u00e8s quoi la biblioth\u00e8que est ex\u00e9cut\u00e9e \u00e0 l&#8217;aide de regsvr32.exe pour \u00e9tablir la persistance, collecter des donn\u00e9es sur l&#8217;h\u00f4te infect\u00e9 et supprimer des charges utiles suppl\u00e9mentaires, notamment le Bas\u00e9 sur JavaScript <a rel=\"nofollow noopener\" href=\"https:\/\/quointelligence.eu\/2020\/07\/golden-chickens-evolution-of-the-maas\/\" target=\"_blank\">More_eggs porte d\u00e9rob\u00e9e<\/a>.<\/p>\n<p>&#8220;Les campagnes More_eggs sont toujours actives et leurs op\u00e9rateurs continuent d&#8217;utiliser des tactiques d&#8217;ing\u00e9nierie sociale, telles que se faire passer pour des candidats cherchant \u00e0 postuler \u00e0 un poste particulier et inciter les victimes (en particulier les recruteurs) \u00e0 t\u00e9l\u00e9charger leurs logiciels malveillants&#8221;, a d\u00e9clar\u00e9 eSentire.<\/p>\n<p>&#8220;De plus, les campagnes comme more_eggs, qui utilisent l&#8217;offre MaaS, semblent rares et s\u00e9lectives par rapport aux r\u00e9seaux de distribution de spam classiques.&#8221;<\/p>\n<p>Cette \u00e9volution intervient alors que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a \u00e9galement r\u00e9v\u00e9l\u00e9 les d\u00e9tails d&#8217;une campagne de t\u00e9l\u00e9chargement en voiture qui utilise de faux sites Web pour l&#8217;outil d&#8217;activation Windows KMSPico afin de distribuer Vidar Stealer.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718041728_90_More_eggs-Un-logiciel-malveillant-deguise-en-CV-cible-les-recruteurs.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718041728_90_More_eggs-Un-logiciel-malveillant-deguise-en-CV-cible-les-recruteurs.png\" alt=\"Une attaque par phishing\" border=\"0\" data-original-height=\"661\" data-original-width=\"728\" title=\"Une attaque par phishing\"\/><\/a><\/div>\n<p>&#8220;Le kmspico[.]&#8221;Le site ws est h\u00e9berg\u00e9 derri\u00e8re Cloudflare Turnstile et n\u00e9cessite une intervention humaine (saisie d&#8217;un code) pour t\u00e9l\u00e9charger le package ZIP final&#8221;, eSentire <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/autoit-delivering-vidar-stealer-via-drive-by-downloads\" target=\"_blank\">not\u00e9<\/a>.  &#8220;Ces \u00e9tapes sont inhabituelles pour une page de t\u00e9l\u00e9chargement d&#8217;application l\u00e9gitime et visent \u00e0 masquer la page et la charge utile finale aux robots d&#8217;exploration automatis\u00e9s.&#8221;<\/p>\n<p>Des campagnes d&#8217;ing\u00e9nierie sociale similaires ont \u00e9galement mis en place des sites similaires usurpant l&#8217;identit\u00e9 de logiciels l\u00e9gitimes comme Advanced IP Scanner pour d\u00e9ployer Cobalt Strike, Trustwave SpiderLabs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/fake-advanced-ip-scanner-installer-delivers-dangerous-cobaltstrike-backdoor\/\" target=\"_blank\">dit<\/a> la semaine derni\u00e8re.<\/p>\n<p>Cela fait \u00e9galement suite \u00e0 l&#8217;\u00e9mergence d&#8217;un nouveau kit de phishing appel\u00e9 V3B, utilis\u00e9 pour identifier les clients bancaires dans l&#8217;Union europ\u00e9enne dans le but de voler des informations d&#8217;identification et des mots de passe \u00e0 usage unique (OTP).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le kit, propos\u00e9 entre 130 et 450 dollars par mois via un mod\u00e8le Phishing-as-a-Service (PhaaS) via le dark web et un canal Telegram d\u00e9di\u00e9, serait actif depuis mars 2023. Il est con\u00e7u pour prendre en charge plus de 54 banques. implant\u00e9 en Autriche, Belgique, Finlande, France, Allemagne, Gr\u00e8ce, Irlande, Italie, Luxembourg et Pays-Bas.<\/p>\n<p>L&#8217;aspect le plus important de V3B est qu&#8217;il propose des mod\u00e8les personnalis\u00e9s et localis\u00e9s pour imiter divers processus d&#8217;authentification et de v\u00e9rification communs aux syst\u00e8mes bancaires en ligne et de commerce \u00e9lectronique de la r\u00e9gion.<\/p>\n<p>Il est \u00e9galement dot\u00e9 de fonctionnalit\u00e9s avanc\u00e9es pour interagir avec les victimes en temps r\u00e9el et obtenir leur OTP et leur <a rel=\"nofollow noopener\" href=\"https:\/\/www.commerzbank.com\/portal\/fr\/cb\/de\/firmenkunden\/services\/apps\/phototan-15\/photoTan.html\" target=\"_blank\">PhotoTAN<\/a> codes, ainsi qu&#8217;ex\u00e9cuter un d\u00e9tournement de connexion par code QR (alias <a rel=\"nofollow noopener\" href=\"https:\/\/intel471.com\/blog\/phishing-emails-abusing-qr-codes-surge\" target=\"_blank\">QRLJacking<\/a>) attaque contre des services tels que WhatsApp qui permettent la connexion via des codes QR.<\/p>\n<p>&#8220;Ils ont depuis construit une client\u00e8le ax\u00e9e sur le ciblage des institutions financi\u00e8res europ\u00e9ennes&#8221;, Resecurity <a rel=\"nofollow noopener\" href=\"https:\/\/www.resecurity.com\/blog\/article\/cybercriminals-attack-banking-customers-in-eu-with-v3b-phishing-kit\" target=\"_blank\">dit<\/a>.  &#8220;Actuellement, on estime que des centaines de cybercriminels utilisent ce kit pour commettre des fraudes, laissant les victimes avec des comptes bancaires vides.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/moreeggs-malware-disguised-as-resumes.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 juin 2024\ue804R\u00e9dactionAttaque de phishing\/cybercriminalit\u00e9 Des chercheurs en cybers\u00e9curit\u00e9 ont rep\u00e9r\u00e9 une attaque de phishing distribuant le malware More_eggs en le faisant passer pour un CV, une technique d\u00e9tect\u00e9e \u00e0 l&#8217;origine il y a plus de deux ans. L&#8217;attaque, qui n&#8217;a pas abouti, visait une entreprise anonyme du secteur des services industriels en mai 2024, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1193261,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,1933,7087,4168,4165,4161,200267,429,8989,4159,4171,65,6816,200271,7733,200268,235095,200269,200270,8153,40346,128318,4172,4169,196,4166,4164],"class_list":["post-1193260","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-attaque","tag-cible","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dans","tag-deguise","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-mises-a-jour-sur-la-cybersecurite","tag-more_eggs","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-phishing","tag-recruteurs","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1193260","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1193260"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1193260\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1193261"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1193260"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1193260"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1193260"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}