{"id":1194294,"date":"2024-06-11T07:07:54","date_gmt":"2024-06-11T09:07:54","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-valleyrat-lie-a-la-chine-refait-surface-avec-des-tactiques-avancees-de-vol-de-donnees\/"},"modified":"2024-06-11T07:07:59","modified_gmt":"2024-06-11T09:07:59","slug":"le-logiciel-malveillant-valleyrat-lie-a-la-chine-refait-surface-avec-des-tactiques-avancees-de-vol-de-donnees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-valleyrat-lie-a-la-chine-refait-surface-avec-des-tactiques-avancees-de-vol-de-donnees\/","title":{"rendered":"Le logiciel malveillant ValleyRAT li\u00e9 \u00e0 la Chine refait surface avec des tactiques avanc\u00e9es de vol de donn\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Logiciel malveillant\/cyberattaque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Le-logiciel-malveillant-ValleyRAT-lie-a-la-Chine-refait-surface.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une version mise \u00e0 jour d&#8217;un malware appel\u00e9e <strong>Vall\u00e9eRAT<\/strong> qui est distribu\u00e9 dans le cadre d&#8217;une nouvelle campagne.<\/p>\n<p>&#8220;Dans la derni\u00e8re version, ValleyRAT a introduit de nouvelles commandes, telles que la capture de captures d&#8217;\u00e9cran, le filtrage des processus, l&#8217;arr\u00eat forc\u00e9 et l&#8217;effacement des journaux d&#8217;\u00e9v\u00e9nements Windows&#8221;, ont d\u00e9clar\u00e9 Muhammed Irfan VA et Manisha Ramcharan Prajapati, chercheurs de Zscaler ThreatLabz. <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/technical-analysis-latest-variant-valleyrat\" target=\"_blank\">dit<\/a>.<\/p>\n<p>ValleyRAT avait d\u00e9j\u00e0 \u00e9t\u00e9 document\u00e9 par QiAnXin et Proofpoint en 2023 dans le cadre d&#8217;une campagne de phishing ciblant les utilisateurs sinophones et les organisations japonaises qui distribuait diverses familles de malwares telles que Purple Fox et une variante du cheval de Troie Gh0st RAT connue sous le nom de Sainbox RAT (alias FatalRAT).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718041727_828_More_eggs-Un-logiciel-malveillant-deguise-en-CV-cible-les-recruteurs.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le malware a \u00e9t\u00e9 \u00e9valu\u00e9 comme \u00e9tant l&#8217;\u0153uvre d&#8217;un acteur malveillant bas\u00e9 en Chine, dot\u00e9 de capacit\u00e9s permettant de collecter des informations sensibles et de d\u00e9poser des charges utiles suppl\u00e9mentaires sur des h\u00f4tes compromis.<\/p>\n<p>Le point de d\u00e9part est un t\u00e9l\u00e9chargeur qui utilise un serveur de fichiers HTTP (HFS) pour r\u00e9cup\u00e9rer un fichier nomm\u00e9 \u00ab NTUSER.DXM \u00bb qui est d\u00e9cod\u00e9 pour extraire un fichier DLL responsable du t\u00e9l\u00e9chargement de \u00ab client.exe \u00bb \u00e0 partir du m\u00eame serveur.<\/p>\n<p>La DLL d\u00e9crypt\u00e9e est \u00e9galement con\u00e7ue pour d\u00e9tecter et mettre fin aux solutions anti-malware de Qihoo 360 et WinRAR dans le but d&#8217;\u00e9chapper \u00e0 l&#8217;analyse, apr\u00e8s quoi le t\u00e9l\u00e9chargeur proc\u00e8de \u00e0 la r\u00e9cup\u00e9ration de trois autres fichiers\u00a0: &#8220;WINWORD2013.EXE&#8221;, &#8220;wwlib.dll&#8221; et &#8220;xig.ppt&#8221; \u2013 depuis le serveur HFS.<\/p>\n<p>Ensuite, le malware lance \u00ab WINWORD2013.EXE \u00bb, un ex\u00e9cutable l\u00e9gitime associ\u00e9 \u00e0 Microsoft Word, en l&#8217;utilisant pour <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">chargement lat\u00e9ral<\/a> &#8220;wwlib.dll&#8221; qui, \u00e0 son tour, \u00e9tablit la persistance sur le syst\u00e8me et charge &#8220;xig.ppt&#8221; en m\u00e9moire.<\/p>\n<p>&#8220;A partir de l\u00e0, le &#8216;xig.ppt&#8217; d\u00e9chiffr\u00e9 poursuit le processus d&#8217;ex\u00e9cution en tant que m\u00e9canisme permettant de d\u00e9crypter et d&#8217;injecter du shellcode dans svchost.exe&#8221;, ont indiqu\u00e9 les chercheurs.  &#8220;Le malware cr\u00e9e svchost.exe en tant que processus suspendu, alloue de la m\u00e9moire au sein du processus et y \u00e9crit du shellcode.&#8221;<\/p>\n<p>Le shellcode, quant \u00e0 lui, contient la configuration n\u00e9cessaire pour contacter un serveur de commande et de contr\u00f4le (C2) et t\u00e9l\u00e9charger la charge utile ValleyRAT sous la forme d&#8217;un fichier DLL. <\/p>\n<p>&#8220;ValleyRAT utilise un processus alambiqu\u00e9 en plusieurs \u00e9tapes pour infecter un syst\u00e8me avec la charge utile finale qui effectue la majorit\u00e9 des op\u00e9rations malveillantes&#8221;, ont expliqu\u00e9 les chercheurs.  &#8220;Cette approche par \u00e9tapes combin\u00e9e au chargement lat\u00e9ral des DLL est probablement con\u00e7ue pour mieux \u00e9chapper aux solutions de s\u00e9curit\u00e9 bas\u00e9es sur l&#8217;h\u00f4te telles que les EDR et les applications antivirus.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ce d\u00e9veloppement intervient alors que les laboratoires Fortinet FortiGuard ont d\u00e9couvert une campagne de phishing ciblant les hispanophones avec une version mise \u00e0 jour d&#8217;un enregistreur de frappe et voleur d&#8217;informations appel\u00e9 Agent Tesla.<\/p>\n<p>La cha\u00eene d&#8217;attaque tire parti des pi\u00e8ces jointes de Microsoft Excel Add-Ins (XLA) qui exploitent des failles de s\u00e9curit\u00e9 connues (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2017-0199\" target=\"_blank\">CVE-2017-0199<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-11882\" target=\"_blank\">CVE-2017-11882<\/a>) pour d\u00e9clencher l&#8217;ex\u00e9cution d&#8217;un code JavaScript qui charge un script PowerShell, con\u00e7u pour lancer un chargeur afin de r\u00e9cup\u00e9rer l&#8217;agent Tesla \u00e0 partir d&#8217;un serveur distant.<\/p>\n<p>&#8220;Cette variante collecte les informations d&#8217;identification et les contacts \u00e9lectroniques de l&#8217;appareil de la victime, le logiciel \u00e0 partir duquel elle collecte les donn\u00e9es et les informations de base de l&#8217;appareil de la victime&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Xiaopeng Zhang. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/new-agent-tesla-campaign-targeting-spanish-speaking-people\" target=\"_blank\">dit<\/a>.  &#8220;L&#8217;agent Tesla peut \u00e9galement collecter les contacts de messagerie de la victime si celle-ci utilise Thunderbird comme client de messagerie.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/china-linked-valleyrat-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 juin 2024\ue804R\u00e9dactionLogiciel malveillant\/cyberattaque Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une version mise \u00e0 jour d&#8217;un malware appel\u00e9e Vall\u00e9eRAT qui est distribu\u00e9 dans le cadre d&#8217;une nouvelle campagne. &#8220;Dans la derni\u00e8re version, ValleyRAT a introduit de nouvelles commandes, telles que la capture de captures d&#8217;\u00e9cran, le filtrage des processus, l&#8217;arr\u00eat forc\u00e9 et l&#8217;effacement des journaux [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1194295,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,53595,84,109,4168,4165,4161,200267,133,1343,4159,4171,7754,6816,200271,7733,200268,200269,200270,4309,128318,4172,4169,4310,11977,205382,4166,1976,4164],"class_list":["post-1194294","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-avancees","tag-avec","tag-chine","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-donnees","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-lie","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-refait","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-surface","tag-tactiques","tag-valleyrat","tag-violation-de-donnees","tag-vol","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1194294","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1194294"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1194294\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1194295"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1194294"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1194294"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1194294"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}