{"id":1198176,"date":"2024-06-13T20:39:10","date_gmt":"2024-06-13T22:39:10","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-cybercriminels-utilisent-phantomloader-pour-distribuer-le-logiciel-malveillant-ssload\/"},"modified":"2024-06-13T20:39:14","modified_gmt":"2024-06-13T22:39:14","slug":"les-cybercriminels-utilisent-phantomloader-pour-distribuer-le-logiciel-malveillant-ssload","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-cybercriminels-utilisent-phantomloader-pour-distribuer-le-logiciel-malveillant-ssload\/","title":{"rendered":"Les cybercriminels utilisent PhantomLoader pour distribuer le logiciel malveillant SSLoad"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Logiciel malveillant\/cyberattaque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Les-cybercriminels-utilisent-PhantomLoader-pour-distribuer-le-logiciel-malveillant-SSLoad.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Le malware naissant connu sous le nom de <strong>Chargement SSL<\/strong> est livr\u00e9 au moyen d&#8217;un chargeur jusqu&#8217;alors non document\u00e9 appel\u00e9 PhantomLoader, selon les conclusions de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Intezer.<\/p>\n<p>&#8220;Le chargeur est ajout\u00e9 \u00e0 une DLL l\u00e9gitime, g\u00e9n\u00e9ralement des produits EDR ou AV, en appliquant un correctif binaire au fichier et en employant des techniques d&#8217;auto-modification pour \u00e9chapper \u00e0 la d\u00e9tection&#8221;, chercheurs en s\u00e9curit\u00e9 Nicole Fishbein et Ryan Robinson. <a rel=\"nofollow noopener\" href=\"https:\/\/intezer.com\/blog\/research\/ssload-technical-malware-analysis\/\" target=\"_blank\">dit<\/a> dans un rapport publi\u00e9 cette semaine.<\/p>\n<p>SSLoad, probablement propos\u00e9 \u00e0 d&#8217;autres acteurs malveillants dans le cadre d&#8217;un mod\u00e8le Malware-as-a-Service (MaaS) en raison de ses diff\u00e9rentes m\u00e9thodes de livraison, infiltre les syst\u00e8mes via des e-mails de phishing, effectue des reconnaissances et transmet d&#8217;autres types de logiciels malveillants aux victimes.<\/p>\n<p>Des rapports ant\u00e9rieurs de Palo Alto Networks Unit 42 et Securonix ont r\u00e9v\u00e9l\u00e9 l&#8217;utilisation de SSLoad pour d\u00e9ployer Cobalt Strike, un logiciel de simulation d&#8217;adversaire l\u00e9gitime souvent utilis\u00e9 \u00e0 des fins de post-exploitation.  Le malware est d\u00e9tect\u00e9 depuis avril 2024.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718041727_828_More_eggs-Un-logiciel-malveillant-deguise-en-CV-cible-les-recruteurs.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les cha\u00eenes d&#8217;attaque impliquent g\u00e9n\u00e9ralement l&#8217;utilisation d&#8217;un programme d&#8217;installation MSI qui, une fois lanc\u00e9, lance la s\u00e9quence d&#8217;infection.  Plus pr\u00e9cis\u00e9ment, cela conduit \u00e0 l&#8217;ex\u00e9cution de PhantomLoader, une DLL 32 bits \u00e9crite en C\/C++ qui se fait passer pour un module DLL pour un logiciel antivirus appel\u00e9 360 Total Security (&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.dll4free.com\/menuex64.dll.html\" target=\"_blank\">MenuEx.dll<\/a>&#8220;).<\/p>\n<p>Le malware de premi\u00e8re \u00e9tape est con\u00e7u pour extraire et ex\u00e9cuter la charge utile, une DLL de t\u00e9l\u00e9chargement bas\u00e9e sur Rust qui, \u00e0 son tour, r\u00e9cup\u00e8re la charge utile SSLoad principale \u00e0 partir d&#8217;un serveur distant, dont les d\u00e9tails sont cod\u00e9s dans un canal Telegram contr\u00f4l\u00e9 par un acteur et que les serveurs comme r\u00e9solveur de chute morte.<\/p>\n<p>\u00c9galement \u00e9crite en Rust, la charge utile finale empreinte le syst\u00e8me compromis et envoie les informations sous la forme d&#8217;une cha\u00eene JSON au serveur de commande et de contr\u00f4le (C2), apr\u00e8s quoi le serveur r\u00e9pond avec une commande pour t\u00e9l\u00e9charger davantage de logiciels malveillants.<\/p>\n<p>&#8220;SSLoad d\u00e9montre sa capacit\u00e9 \u00e0 rassembler des reconnaissances, \u00e0 tenter d&#8217;\u00e9chapper \u00e0 la d\u00e9tection et \u00e0 d\u00e9ployer d&#8217;autres charges utiles gr\u00e2ce \u00e0 diverses m\u00e9thodes et techniques de livraison&#8221;, ont d\u00e9clar\u00e9 les chercheurs, ajoutant que son d\u00e9cryptage dynamique de cha\u00eenes et ses mesures anti-d\u00e9bogage &#8220;soulignent sa complexit\u00e9 et son adaptabilit\u00e9&#8221;.<\/p>\n<p>Ce d\u00e9veloppement intervient alors que des campagnes de phishing ont \u00e9galement \u00e9t\u00e9 observ\u00e9es diffusant des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance tels que <a rel=\"nofollow noopener\" href=\"https:\/\/www.gdatasoftware.com\/blog\/2024\/06\/37955-jscript-rat-and-cobaltstrike\" target=\"_blank\">RAT JScript<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/66463\/\" target=\"_blank\">Remcos RAT<\/a> pour permettre le fonctionnement persistant et l&#8217;ex\u00e9cution des commandes re\u00e7ues du serveur.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/cybercriminals-employ-phantomloader-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 juin 2024\ue804R\u00e9dactionLogiciel malveillant\/cyberattaque Le malware naissant connu sous le nom de Chargement SSL est livr\u00e9 au moyen d&#8217;un chargeur jusqu&#8217;alors non document\u00e9 appel\u00e9 PhantomLoader, selon les conclusions de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Intezer. &#8220;Le chargeur est ajout\u00e9 \u00e0 une DLL l\u00e9gitime, g\u00e9n\u00e9ralement des produits EDR ou AV, en appliquant un correctif binaire au fichier [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1198177,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,4165,4161,200267,37976,28,4159,4171,65,6816,200271,7733,200268,200269,200270,235831,185,128318,4172,4169,235832,10784,4166,4164],"class_list":["post-1198176","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-cybercriminels","tag-distribuer","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-phantomloader","tag-pour","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-ssload","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1198176","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1198176"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1198176\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1198177"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1198176"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1198176"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1198176"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}