{"id":1195967,"date":"2024-06-12T08:47:54","date_gmt":"2024-06-12T10:47:54","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-nouvelle-campagne-de-phishing-deploie-une-porte-derobee-warmcookie-ciblant-les-demandeurs-demploi\/"},"modified":"2024-06-12T08:47:59","modified_gmt":"2024-06-12T10:47:59","slug":"une-nouvelle-campagne-de-phishing-deploie-une-porte-derobee-warmcookie-ciblant-les-demandeurs-demploi","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-nouvelle-campagne-de-phishing-deploie-une-porte-derobee-warmcookie-ciblant-les-demandeurs-demploi\/","title":{"rendered":"Une nouvelle campagne de phishing d\u00e9ploie une porte d\u00e9rob\u00e9e WARMCOOKIE ciblant les demandeurs d&#8217;emploi"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyberattaque\/logiciel malveillant<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Une-nouvelle-campagne-de-phishing-deploie-une-porte-derobee-WARMCOOKIE.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont divulgu\u00e9 les d\u00e9tails d&#8217;une campagne de phishing en cours qui exploite des leurres sur le th\u00e8me du recrutement et de l&#8217;emploi pour proposer une porte d\u00e9rob\u00e9e bas\u00e9e sur Windows nomm\u00e9e WARMCOOKIE.<\/p>\n<p>&#8220;WARMCOOKIE semble \u00eatre un premier outil de porte d\u00e9rob\u00e9e utilis\u00e9 pour rep\u00e9rer les r\u00e9seaux victimes et d\u00e9ployer des charges utiles suppl\u00e9mentaires&#8221;, a d\u00e9clar\u00e9 Daniel Stepanic, chercheur \u00e0 Elastic Security Labs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/dipping-into-danger\" target=\"_blank\">dit<\/a> dans une nouvelle analyse.  &#8220;Chaque \u00e9chantillon est compil\u00e9 avec un code cod\u00e9 en dur [command-and-control] Adresse IP et cl\u00e9 RC4.&#8221;<\/p>\n<p>La porte d\u00e9rob\u00e9e est dot\u00e9e de fonctionnalit\u00e9s permettant de prendre des empreintes digitales sur les machines infect\u00e9es, de capturer des captures d&#8217;\u00e9cran et de supprimer davantage de programmes malveillants.  La soci\u00e9t\u00e9 suit l&#8217;activit\u00e9 sous le nom REF6127.<\/p>\n<p>Les cha\u00eenes d&#8217;attaques observ\u00e9es depuis fin avril impliquent l&#8217;utilisation de messages \u00e9lectroniques pr\u00e9tendant provenir de soci\u00e9t\u00e9s de recrutement telles que Hays, Michael Page et PageGroup, invitant les destinataires \u00e0 cliquer sur un lien int\u00e9gr\u00e9 pour afficher les d\u00e9tails d&#8217;une opportunit\u00e9 d&#8217;emploi.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718041727_828_More_eggs-Un-logiciel-malveillant-deguise-en-CV-cible-les-recruteurs.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les utilisateurs qui finissent par cliquer sur le lien sont ensuite invit\u00e9s \u00e0 t\u00e9l\u00e9charger un document en r\u00e9solvant un d\u00e9fi CAPTCHA, apr\u00e8s quoi un fichier JavaScript (&#8220;Update_23_04_2024_5689382.js&#8221;) est supprim\u00e9.<\/p>\n<p>&#8220;Ce script obscurci ex\u00e9cute PowerShell, lan\u00e7ant la premi\u00e8re t\u00e2che de chargement de WARMCOOKIE&#8221;, a d\u00e9clar\u00e9 Elastic.  &#8220;Le script PowerShell abuse du service de transfert intelligent en arri\u00e8re-plan (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/bits\/background-intelligent-transfer-service-portal\" target=\"_blank\">MORCEAUX<\/a>) pour t\u00e9l\u00e9charger WARMCOOKIE.&#8221;<\/p>\n<p>Un \u00e9l\u00e9ment crucial de la campagne est l\u2019utilisation d\u2019une infrastructure compromise pour h\u00e9berger l\u2019URL de phishing initiale, qui est ensuite utilis\u00e9e pour rediriger les victimes vers la page de destination appropri\u00e9e.<\/p>\n<p>WARMCOOKIE, une DLL Windows, suit un processus en deux \u00e9tapes qui permet d&#8217;\u00e9tablir la persistance \u00e0 l&#8217;aide d&#8217;une t\u00e2che planifi\u00e9e et de lancer la fonctionnalit\u00e9 de base, mais pas avant d&#8217;effectuer une s\u00e9rie de contr\u00f4les anti-analyse pour contourner la d\u00e9tection.<\/p>\n<p>La porte d\u00e9rob\u00e9e est con\u00e7ue pour capturer des informations sur l&#8217;h\u00f4te infect\u00e9 d&#8217;une mani\u00e8re similaire \u00e0 un artefact utilis\u00e9 dans le cadre d&#8217;une campagne pr\u00e9c\u00e9dente nomm\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/esentire-threat-intelligence-malware-analysis-resident-campaign\" target=\"_blank\">R\u00e9sident<\/a> qui ciblait les organisations manufacturi\u00e8res, commerciales et de sant\u00e9.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718189273_629_Une-nouvelle-campagne-de-phishing-deploie-une-porte-derobee-WARMCOOKIE.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718189273_629_Une-nouvelle-campagne-de-phishing-deploie-une-porte-derobee-WARMCOOKIE.png\" alt=\"WARMCOOKIE Porte d\u00e9rob\u00e9e\" border=\"0\" data-original-height=\"482\" data-original-width=\"728\" title=\"WARMCOOKIE Porte d\u00e9rob\u00e9e\"\/><\/a><\/div>\n<p>Il prend \u00e9galement en charge les commandes permettant de lire et d&#8217;\u00e9crire dans des fichiers, d&#8217;ex\u00e9cuter des commandes \u00e0 l&#8217;aide de cmd.exe, de r\u00e9cup\u00e9rer la liste des applications install\u00e9es et de prendre des captures d&#8217;\u00e9cran.<\/p>\n<p>&#8220;WARMCOOKIE est une porte d\u00e9rob\u00e9e r\u00e9cemment d\u00e9couverte qui gagne en popularit\u00e9 et est utilis\u00e9e dans des campagnes ciblant les utilisateurs du monde entier&#8221;, a d\u00e9clar\u00e9 Elastic.<\/p>\n<p>Cette divulgation intervient alors que Trustwave SpiderLabs a d\u00e9taill\u00e9 une campagne de phishing sophistiqu\u00e9e qui utilise des leurres li\u00e9s aux factures et tire parti de la fonctionnalit\u00e9 de recherche Windows int\u00e9gr\u00e9e dans le code HTML pour d\u00e9ployer des logiciels malveillants.<\/p>\n<p>\u00ab\u00a0La fonctionnalit\u00e9 fournie est relativement simple, permettant aux groupes de menaces qui ont besoin d&#8217;une porte d\u00e9rob\u00e9e l\u00e9g\u00e8re de surveiller les victimes et de d\u00e9ployer d&#8217;autres charges utiles dommageables telles que des ransomwares.\u00a0\u00bb<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les e-mails contiennent une archive ZIP contenant un fichier HTML, qui utilise l&#8217;h\u00e9ritage <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/previous-versions\/windows\/desktop\/legacy\/cc144083(v=vs.85)\" target=\"_blank\">Windows \u00ab\u00a0recherche\u00a0:\u00a0\u00bb gestionnaire de protocole URI<\/a> pour afficher un fichier de raccourci (LNK) h\u00e9berg\u00e9 sur un serveur distant dans l&#8217;Explorateur Windows, donnant l&#8217;impression qu&#8217;il s&#8217;agit d&#8217;un r\u00e9sultat de recherche locale.<\/p>\n<p>&#8220;Ce fichier LNK pointe vers un script batch (BAT) h\u00e9berg\u00e9 sur le m\u00eame serveur, qui, lors du clic de l&#8217;utilisateur, pourrait potentiellement d\u00e9clencher des op\u00e9rations malveillantes suppl\u00e9mentaires&#8221;, Trustwave <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/search-spoof-abuse-of-windows-search-to-redirect-to-malware\/\" target=\"_blank\">dit<\/a>en ajoutant qu&#8217;il n&#8217;a pas pu r\u00e9cup\u00e9rer le script batch car le serveur ne r\u00e9pondait pas.<\/p>\n<p>Il convient de noter que l&#8217;utilisation abusive de search-ms: et search: en tant que vecteur de distribution de logiciels malveillants a \u00e9t\u00e9 document\u00e9e par Trellix en juillet 2023.<\/p>\n<p>&#8220;Bien que cette attaque n&#8217;utilise pas l&#8217;installation automatis\u00e9e de logiciels malveillants, elle oblige les utilisateurs \u00e0 r\u00e9pondre \u00e0 diverses invites et clics&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.  &#8220;Cependant, cette technique obscurcit intelligemment la v\u00e9ritable intention de l&#8217;attaquant, en exploitant la confiance que les utilisateurs accordent aux interfaces famili\u00e8res et aux actions courantes comme l&#8217;ouverture de pi\u00e8ces jointes \u00e0 un e-mail.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/new-phishing-campaign-deploys.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 juin 2024\ue804R\u00e9dactionCyberattaque\/logiciel malveillant Des chercheurs en cybers\u00e9curit\u00e9 ont divulgu\u00e9 les d\u00e9tails d&#8217;une campagne de phishing en cours qui exploite des leurres sur le th\u00e8me du recrutement et de l&#8217;emploi pour proposer une porte d\u00e9rob\u00e9e bas\u00e9e sur Windows nomm\u00e9e WARMCOOKIE. &#8220;WARMCOOKIE semble \u00eatre un premier outil de porte d\u00e9rob\u00e9e utilis\u00e9 pour rep\u00e9rer les r\u00e9seaux victimes [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1195968,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,2930,4175,4168,4165,4161,200267,19453,5927,7050,7084,4159,4171,65,200271,200268,197,200269,200270,8153,2742,128318,4172,4169,196,4166,4164,235508],"class_list":["post-1195967","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-campagne","tag-ciblant","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-demandeurs","tag-demploi","tag-deploie","tag-derobee","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelle","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-phishing","tag-porte","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-warmcookie"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1195967","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1195967"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1195967\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1195968"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1195967"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1195967"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1195967"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}