{"id":1232350,"date":"2024-07-10T05:32:55","date_gmt":"2024-07-10T07:32:55","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-malware-vipersoftx-se-fait-passer-pour-des-livres-electroniques-sur-des-torrents-pour-diffuser-des-attaques-furtives\/"},"modified":"2024-07-10T05:32:58","modified_gmt":"2024-07-10T07:32:58","slug":"le-malware-vipersoftx-se-fait-passer-pour-des-livres-electroniques-sur-des-torrents-pour-diffuser-des-attaques-furtives","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-malware-vipersoftx-se-fait-passer-pour-des-livres-electroniques-sur-des-torrents-pour-diffuser-des-attaques-furtives\/","title":{"rendered":"Le malware ViperSoftX se fait passer pour des livres \u00e9lectroniques sur des torrents pour diffuser des attaques furtives"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des terminaux \/ Renseignements sur les menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Le-malware-ViperSoftX-se-fait-passer-pour-des-livres-electroniques.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Le malware sophistiqu\u00e9 connu sous le nom de ViperSoftX a \u00e9t\u00e9 observ\u00e9 en train d&#8217;\u00eatre distribu\u00e9 sous forme de livres \u00e9lectroniques via des torrents.<\/p>\n<p>&#8220;Un aspect notable de la variante actuelle de ViperSoftX est qu&#8217;elle utilise le Common Language Runtime (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/dotnet\/standard\/clr\" target=\"_blank\">CLR<\/a>) pour charger et ex\u00e9cuter dynamiquement des commandes PowerShell, cr\u00e9ant ainsi un environnement PowerShell dans AutoIt pour les op\u00e9rations&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 de Trellix Mathanraj Thangaraju et Sijo Jacob <a rel=\"nofollow noopener\" href=\"https:\/\/www.trellix.com\/blogs\/research\/the-mechanics-of-vipersofts-exploiting-autoit-and-clr-for-stealthy-powershell-execution\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>\u00ab En utilisant CLR, ViperSoftX peut int\u00e9grer de mani\u00e8re transparente les fonctionnalit\u00e9s PowerShell, ce qui lui permet d&#8217;ex\u00e9cuter des fonctions malveillantes tout en \u00e9chappant aux m\u00e9canismes de d\u00e9tection qui pourraient autrement signaler une activit\u00e9 PowerShell autonome. \u00bb<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Des-pirates-informatiques-lies-a-la-Chine-infiltrent-une-entreprise.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>D\u00e9tect\u00e9 initialement par Fortinet en 2020, ViperSoftX est connu pour sa capacit\u00e9 \u00e0 exfiltrer des informations sensibles \u00e0 partir d&#8217;h\u00f4tes Windows compromis. Au fil des ans, le malware est devenu un exemple pertinent de la mani\u00e8re dont les acteurs de la menace innovent en permanence dans leurs tactiques pour tenter de rester furtifs et de contourner les d\u00e9fenses.<\/p>\n<p>Ceci est illustr\u00e9 par la complexit\u00e9 accrue et l\u2019adoption de techniques anti-analyse avanc\u00e9es telles que le remappage d\u2019octets et le blocage des communications du navigateur Web, comme document\u00e9 par Trend Micro en avril 2023.<\/p>\n<p>Pas plus tard qu&#8217;en mai 2024, des campagnes malveillantes ont utilis\u00e9 ViperSoftX comme <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/65426\/\" target=\"_blank\">v\u00e9hicule de livraison<\/a> pour distribuer Quasar RAT et un autre voleur d&#8217;informations nomm\u00e9 TesseractStealer.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque qui propagent le malware sont connues pour utiliser des logiciels pirat\u00e9s et des sites de torrents, mais l&#8217;utilisation de leurres pour livres \u00e9lectroniques est une approche nouvellement observ\u00e9e. Dans le fichier d&#8217;archive RAR suppos\u00e9 du livre \u00e9lectronique se trouvent un dossier cach\u00e9 ainsi qu&#8217;un fichier de raccourci Windows trompeur qui pr\u00e9tend \u00eatre un document inoffensif.<\/p>\n<p>L&#8217;ex\u00e9cution du fichier de raccourci lance une s\u00e9quence d&#8217;infection en plusieurs \u00e9tapes qui commence par l&#8217;extraction du code PowerShell qui r\u00e9v\u00e8le le dossier cach\u00e9 et configure la persistance sur le syst\u00e8me pour lancer un script AutoIt qui, \u00e0 son tour, interagit avec le framework .NET CLR, pour d\u00e9crypter et ex\u00e9cuter un script PowerShell secondaire, qui est ViperSoftX.<\/p>\n<p>\u00ab AutoIt ne prend pas en charge par d\u00e9faut le Common Language Runtime (CLR) .NET \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Cependant, les fonctions d\u00e9finies par l&#8217;utilisateur du langage (<a rel=\"nofollow noopener\" href=\"https:\/\/www.autoitscript.com\/wiki\/User_Defined_Functions\" target=\"_blank\">FDU<\/a>) offrent une passerelle vers la biblioth\u00e8que CLR, permettant aux acteurs malveillants d&#8217;acc\u00e9der aux formidables capacit\u00e9s de PowerShell. \u00bb<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>ViperSoftX collecte les informations syst\u00e8me, recherche les portefeuilles de crypto-monnaie via des extensions de navigateur, capture le contenu du presse-papiers et t\u00e9l\u00e9charge et ex\u00e9cute de mani\u00e8re dynamique des charges utiles et des commandes suppl\u00e9mentaires en fonction des r\u00e9ponses re\u00e7ues d&#8217;un serveur distant. Il est \u00e9galement dot\u00e9 de m\u00e9canismes d&#8217;auto-suppression pour d\u00e9fier la d\u00e9tection.<\/p>\n<p>\u00ab L&#8217;une des caract\u00e9ristiques distinctives de ViperSoftX est son utilisation habile du Common Language Runtime (CLR) pour orchestrer les op\u00e9rations PowerShell dans l&#8217;environnement AutoIt \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Cette int\u00e9gration permet une ex\u00e9cution transparente des fonctions malveillantes tout en \u00e9chappant aux m\u00e9canismes de d\u00e9tection qui signalent g\u00e9n\u00e9ralement l&#8217;activit\u00e9 PowerShell autonome. \u00bb<\/p>\n<p>\u00ab De plus, la capacit\u00e9 de ViperSoftX \u00e0 corriger l&#8217;interface d&#8217;analyse anti-programme malveillant (AMSI) avant d&#8217;ex\u00e9cuter des scripts PowerShell souligne sa d\u00e9termination \u00e0 contourner les mesures de s\u00e9curit\u00e9 traditionnelles. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/vipersoftx-malware-disguises-as-ebooks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 juillet 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 des terminaux \/ Renseignements sur les menaces Le malware sophistiqu\u00e9 connu sous le nom de ViperSoftX a \u00e9t\u00e9 observ\u00e9 en train d&#8217;\u00eatre distribu\u00e9 sous forme de livres \u00e9lectroniques via des torrents. &#8220;Un aspect notable de la variante actuelle de ViperSoftX est qu&#8217;elle utilise le Common Language Runtime (CLR) pour charger et ex\u00e9cuter [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1232351,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,8074,4168,4165,133,773,48609,369,103005,238584,8012,200271,4174,238334,98340,1627,185,238617,4172,4169,60,240915,4166,159231,238583],"class_list":["post-1232350","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-attaques","tag-comment-pirater","tag-cyber-attaques","tag-des","tag-diffuser","tag-electroniques","tag-fait","tag-furtives","tag-les-nouvelles-des-hackers","tag-livres","tag-logiciel-malveillant-rancongiciel","tag-malware","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-passer","tag-pour","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-sur","tag-torrents","tag-violation-de-donnees","tag-vipersoftx","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1232350","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1232350"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1232350\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1232351"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1232350"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1232350"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1232350"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}