{"id":1234748,"date":"2024-07-11T19:51:56","date_gmt":"2024-07-11T21:51:56","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-rat-poco-cible-les-victimes-hispanophones-dans-une-campagne-de-phishing\/"},"modified":"2024-07-11T19:52:01","modified_gmt":"2024-07-11T21:52:01","slug":"le-nouveau-rat-poco-cible-les-victimes-hispanophones-dans-une-campagne-de-phishing","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-rat-poco-cible-les-victimes-hispanophones-dans-une-campagne-de-phishing\/","title":{"rendered":"Le nouveau RAT Poco cible les victimes hispanophones dans une campagne de phishing"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Logiciels malveillants \/ Renseignements sur les menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Le-nouveau-RAT-Poco-cible-les-victimes-hispanophones-dans-une.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les victimes de la langue espagnole sont la cible d&#8217;une campagne de phishing par courrier \u00e9lectronique qui diffuse un nouveau cheval de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) appel\u00e9 <strong>Petit RAT<\/strong> depuis au moins f\u00e9vrier 2024.<\/p>\n<p>Selon la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Cofense, les attaques visent principalement les secteurs minier, manufacturier, de l&#8217;h\u00f4tellerie et des services publics.<\/p>\n<p>\u00ab La majorit\u00e9 du code personnalis\u00e9 du malware semble \u00eatre ax\u00e9e sur l&#8217;anti-analyse, la communication avec son centre de commande et de contr\u00f4le (C2) et le t\u00e9l\u00e9chargement et l&#8217;ex\u00e9cution de fichiers avec une attention limit\u00e9e \u00e0 la surveillance ou \u00e0 la collecte d&#8217;informations d&#8217;identification \u00bb, a-t-il d\u00e9clar\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/cofense.com\/blog\/new-malware-campaign-targeting-spanish-language-victims\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Les cha\u00eenes d\u2019infection commencent par des messages de phishing contenant des leurres \u00e0 th\u00e8me financier qui incitent les destinataires \u00e0 cliquer sur une URL int\u00e9gr\u00e9e pointant vers un fichier d\u2019archive 7-Zip h\u00e9berg\u00e9 sur Google Drive.<\/p>\n<p>D\u2019autres m\u00e9thodes observ\u00e9es incluent l\u2019utilisation de fichiers HTML ou PDF directement joints aux e-mails ou t\u00e9l\u00e9charg\u00e9s via un autre lien Google Drive int\u00e9gr\u00e9. L\u2019utilisation abusive de services l\u00e9gitimes par des acteurs malveillants n\u2019est pas un ph\u00e9nom\u00e8ne nouveau, car elle leur permet de contourner les passerelles de messagerie s\u00e9curis\u00e9es (SEG).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Des-pirates-informatiques-lies-a-la-Chine-infiltrent-une-entreprise.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les fichiers HTML propageant Poco RAT contiennent \u00e0 leur tour un lien qui, en cliquant, m\u00e8ne au t\u00e9l\u00e9chargement de l&#8217;archive contenant l&#8217;ex\u00e9cutable du malware.<\/p>\n<p>\u00ab Cette tactique serait probablement plus efficace que de simplement fournir une URL pour t\u00e9l\u00e9charger directement le logiciel malveillant, car tout SEG qui explorerait l&#8217;URL int\u00e9gr\u00e9e ne t\u00e9l\u00e9chargerait et ne v\u00e9rifierait que le fichier HTML, qui semblerait l\u00e9gitime \u00bb, a not\u00e9 Cofense.<\/p>\n<p>Les fichiers PDF ne sont pas diff\u00e9rents dans la mesure o\u00f9 ils contiennent \u00e9galement un lien Google Drive qui h\u00e9berge Poco RAT.<\/p>\n<p>Une fois lanc\u00e9, le malware bas\u00e9 sur Delphi \u00e9tablit une persistance sur l&#8217;h\u00f4te Windows compromis et contacte un serveur C2 afin de fournir des charges utiles suppl\u00e9mentaires. Il est ainsi nomm\u00e9 en raison de son utilisation du <a rel=\"nofollow noopener\" href=\"https:\/\/pocoproject.org\/\" target=\"_blank\">Biblioth\u00e8ques POCO C++<\/a>.<\/p>\n<p>L\u2019utilisation de Delphi est un signe que les acteurs de la menace non identifi\u00e9s derri\u00e8re la campagne se concentrent sur l\u2019Am\u00e9rique latine, connue pour \u00eatre la cible de chevaux de Troie bancaires \u00e9crits dans le langage de programmation.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1720734715_591_Le-nouveau-RAT-Poco-cible-les-victimes-hispanophones-dans-une.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1720734715_591_Le-nouveau-RAT-Poco-cible-les-victimes-hispanophones-dans-une.png\" alt=\"Campagne de phishing\" border=\"0\" data-original-height=\"395\" data-original-width=\"728\" title=\"Campagne de phishing\"\/><\/a><\/div>\n<p>Ce lien est renforc\u00e9 par le fait que le serveur C2 ne r\u00e9pond pas aux requ\u00eates provenant d\u2019ordinateurs infect\u00e9s qui ne sont pas g\u00e9olocalis\u00e9s dans la r\u00e9gion.<\/p>\n<p>Ce d\u00e9veloppement intervient alors que les auteurs de logiciels malveillants sont <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonicwall.com\/en-us\/2024\/07\/the-hidden-danger-of-pdf-files-with-embedded-qr-codes\/\" target=\"_blank\">de plus en plus utilis\u00e9<\/a> Codes QR int\u00e9gr\u00e9s aux fichiers PDF pour inciter les utilisateurs \u00e0 visiter des pages de phishing con\u00e7ues pour r\u00e9colter les informations de connexion \u00e0 Microsoft 365.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Il suit \u00e9galement les campagnes d&#8217;ing\u00e9nierie sociale qui utilisent des sites trompeurs faisant la publicit\u00e9 de logiciels populaires pour diffuser des logiciels malveillants tels que des RAT et des voleurs d&#8217;informations comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/exploring-the-infection-chain-screenconnects-link-to-asyncrat-deployment\" target=\"_blank\">AsyncRAT<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.blackberry.com\/en\/2024\/06\/threat-analysis-insight-risepro-information-stealer\" target=\"_blank\">RisePro<\/a>.<\/p>\n<p>Des attaques de vol de donn\u00e9es similaires ont \u00e9galement cibl\u00e9 les internautes en Inde avec de faux messages SMS affirmant \u00e0 tort que la livraison des colis avait \u00e9chou\u00e9 et leur demandant de cliquer sur un lien fourni pour mettre \u00e0 jour leurs coordonn\u00e9es.<\/p>\n<p>La campagne de phishing par SMS a \u00e9t\u00e9 attribu\u00e9e \u00e0 un acteur malveillant parlant chinois appel\u00e9 Smishing Triad, qui a pour habitude d&#8217;utiliser des comptes iCloud Apple compromis ou enregistr\u00e9s intentionnellement (par exemple, \u00ab fredyma514@hlh-web.de \u00bb) pour envoyer des messages de smishing afin de commettre des fraudes financi\u00e8res.<\/p>\n<p>\u00ab Les acteurs ont enregistr\u00e9 des noms de domaine se faisant passer pour l&#8217;India Post vers le mois de juin, mais ne les utilisaient pas activement, se pr\u00e9parant probablement \u00e0 une activit\u00e9 \u00e0 grande \u00e9chelle, qui est devenue visible en juillet \u00bb, a d\u00e9clar\u00e9 Resecurity. <a rel=\"nofollow noopener\" href=\"https:\/\/www.resecurity.com\/blog\/article\/smishing-triad-is-targeting-india-to-steal-personal-and-payment-data-at-scale\" target=\"_blank\">dit<\/a>\u00ab L\u2019objectif de cette campagne est de voler des quantit\u00e9s massives d\u2019informations personnelles identifiables (PII) et de donn\u00e9es de paiement. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/new-poco-rat-targets-spanish-speaking.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 juillet 2024\ue804R\u00e9dactionLogiciels malveillants \/ Renseignements sur les menaces Les victimes de la langue espagnole sont la cible d&#8217;une campagne de phishing par courrier \u00e9lectronique qui diffuse un nouveau cheval de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) appel\u00e9 Petit RAT depuis au moins f\u00e9vrier 2024. Selon la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Cofense, les attaques visent principalement les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1234749,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,2930,7087,4168,4158,4165,429,165968,65,238584,200271,238334,98340,680,8153,9736,46743,238617,4172,4169,196,1884,4166,238583],"class_list":["post-1234748","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-campagne","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-dans","tag-hispanophones","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-nouveau","tag-phishing","tag-poco","tag-rat","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-une","tag-victimes","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1234748","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1234748"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1234748\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1234749"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1234748"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1234748"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1234748"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}