{"id":1235792,"date":"2024-07-12T13:44:57","date_gmt":"2024-07-12T15:44:57","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-malware-darkgate-exploite-les-partages-de-fichiers-samba-dans-une-campagne-de-courte-duree\/"},"modified":"2024-07-12T13:45:02","modified_gmt":"2024-07-12T15:45:02","slug":"le-malware-darkgate-exploite-les-partages-de-fichiers-samba-dans-une-campagne-de-courte-duree","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-malware-darkgate-exploite-les-partages-de-fichiers-samba-dans-une-campagne-de-courte-duree\/","title":{"rendered":"Le malware DarkGate exploite les partages de fichiers Samba dans une campagne de courte dur\u00e9e"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Malware \/ Cyberattaque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Le-malware-DarkGate-exploite-les-partages-de-fichiers-Samba-dans.jpg\" style=\"display: block; text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re une campagne de malware DarkGate de courte dur\u00e9e qui exploitait les partages de fichiers Samba pour lancer les infections.<\/p>\n<p>L&#8217;unit\u00e9 42 de Palo Alto Networks a d\u00e9clar\u00e9 que l&#8217;activit\u00e9 s&#8217;est \u00e9tendue sur les mois de mars et avril 2024, les cha\u00eenes d&#8217;infection utilisant des serveurs ex\u00e9cutant des partages de fichiers Samba publics h\u00e9bergeant des fichiers Visual Basic Script (VBS) et JavaScript. Les cibles comprenaient l&#8217;Am\u00e9rique du Nord, l&#8217;Europe et certaines r\u00e9gions d&#8217;Asie.<\/p>\n<p>\u00ab Il s&#8217;agit d&#8217;une campagne relativement courte qui illustre la mani\u00e8re dont les acteurs malveillants peuvent abuser de mani\u00e8re cr\u00e9ative d&#8217;outils et de services l\u00e9gitimes pour diffuser leurs logiciels malveillants \u00bb, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh et Brad Duncan. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/darkgate-malware-uses-excel-files\/\" target=\"_blank\">dit<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Des-pirates-informatiques-lies-a-la-Chine-infiltrent-une-entreprise.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>DarkGate, qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/enter-the-darkgate-new-cryptocurrency-mining-and-ransomware-campaign\" target=\"_blank\">est apparu pour la premi\u00e8re fois<\/a> en 2018, a <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/darkgate-internals\/\" target=\"_blank\">\u00e9volu\u00e9<\/a> dans une offre de malware en tant que service (MaaS) utilis\u00e9e par un nombre \u00e9troitement contr\u00f4l\u00e9 de clients. Il est dot\u00e9 de fonctionnalit\u00e9s permettant de contr\u00f4ler \u00e0 distance les h\u00f4tes compromis, d&#8217;ex\u00e9cuter du code, d&#8217;exploiter des cryptomonnaies, de lancer des shells invers\u00e9s et de supprimer des fichiers. <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/from-darkgate-to-danabot\" target=\"_blank\">suppl\u00e9mentaire<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/blog.eclecticiq.com\/darkgate-opening-gates-for-financially-motivated-threat-actors\" target=\"_blank\">charges utiles<\/a>.<\/p>\n<p>Les attaques impliquant le logiciel malveillant ont particuli\u00e8rement connu une augmentation ces derniers mois \u00e0 la suite du d\u00e9mant\u00e8lement de l&#8217;infrastructure QakBot par les forces de l&#8217;ordre multinationales en ao\u00fbt 2023.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1720799096_309_Le-malware-DarkGate-exploite-les-partages-de-fichiers-Samba-dans.jpg\" style=\"display: block; text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1720799096_309_Le-malware-DarkGate-exploite-les-partages-de-fichiers-Samba-dans.jpg\" alt=\"\" border=\"0\" data-original-height=\"417\" data-original-width=\"728\"\/><\/a><\/div>\n<p>La campagne document\u00e9e par l&#8217;Unit\u00e9 42 commence avec des fichiers Microsoft Excel (.xlsx) qui, une fois ouverts, incitent les cibles \u00e0 cliquer sur un bouton Ouvrir int\u00e9gr\u00e9, qui, \u00e0 son tour, r\u00e9cup\u00e8re et ex\u00e9cute le code VBS h\u00e9berg\u00e9 sur un partage de fichiers Samba.<\/p>\n<p>Le script PowerShell est configur\u00e9 pour r\u00e9cup\u00e9rer et ex\u00e9cuter un script PowerShell, qui est ensuite utilis\u00e9 pour t\u00e9l\u00e9charger un package DarkGate bas\u00e9 sur AutoHotKey. <\/p>\n<p>Les s\u00e9quences alternatives utilisant des fichiers JavaScript au lieu de VBS ne sont pas diff\u00e9rentes dans la mesure o\u00f9 elles sont \u00e9galement con\u00e7ues pour t\u00e9l\u00e9charger et ex\u00e9cuter le script PowerShell de suivi.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>DarkGate fonctionne en recherchant divers programmes anti-malware et en v\u00e9rifiant les informations du processeur pour d\u00e9terminer s&#8217;il s&#8217;ex\u00e9cute sur un h\u00f4te physique ou un environnement virtuel, ce qui lui permet d&#8217;entraver l&#8217;analyse. Il examine \u00e9galement les processus en cours d&#8217;ex\u00e9cution de l&#8217;h\u00f4te pour d\u00e9terminer la pr\u00e9sence d&#8217;outils d&#8217;ing\u00e9nierie inverse, de d\u00e9bogueurs ou de logiciels de virtualisation. <\/p>\n<p>\u00ab Le trafic DarkGate C2 utilise des requ\u00eates HTTP non chiffr\u00e9es, mais les donn\u00e9es sont obscurcies et apparaissent sous forme de texte cod\u00e9 en Base64 \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>\u00ab Alors que DarkGate continue d&#8217;\u00e9voluer et d&#8217;affiner ses m\u00e9thodes d&#8217;infiltration et de r\u00e9sistance \u00e0 l&#8217;analyse, il reste un puissant rappel de la n\u00e9cessit\u00e9 de d\u00e9fenses de cybers\u00e9curit\u00e9 robustes et proactives. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/darkgate-malware-exploits-samba-file.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 juillet 2024\ue804R\u00e9dactionMalware \/ Cyberattaque Des chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re une campagne de malware DarkGate de courte dur\u00e9e qui exploitait les partages de fichiers Samba pour lancer les infections. L&#8217;unit\u00e9 42 de Palo Alto Networks a d\u00e9clar\u00e9 que l&#8217;activit\u00e9 s&#8217;est \u00e9tendue sur les mois de mars et avril 2024, les cha\u00eenes d&#8217;infection [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1235793,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,2930,4168,7222,4158,4165,429,201457,18941,7727,21769,65,238584,200271,4174,238334,98340,17987,29922,238617,4172,4169,196,4166,238583],"class_list":["post-1235792","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-campagne","tag-comment-pirater","tag-courte","tag-cyber-actualites","tag-cyber-attaques","tag-dans","tag-darkgate","tag-duree","tag-exploite","tag-fichiers","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-malware","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-partages","tag-samba","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1235792","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1235792"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1235792\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1235793"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1235792"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1235792"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1235792"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}