{"id":1242757,"date":"2024-07-17T16:43:58","date_gmt":"2024-07-17T18:43:58","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-nord-coreens-mettent-a-jour-le-malware-beavertail-pour-cibler-les-utilisateurs-de-macos\/"},"modified":"2024-07-17T16:44:03","modified_gmt":"2024-07-17T18:44:03","slug":"des-pirates-informatiques-nord-coreens-mettent-a-jour-le-malware-beavertail-pour-cibler-les-utilisateurs-de-macos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-nord-coreens-mettent-a-jour-le-malware-beavertail-pour-cibler-les-utilisateurs-de-macos\/","title":{"rendered":"Des pirates informatiques nord-cor\u00e9ens mettent \u00e0 jour le malware BeaverTail pour cibler les utilisateurs de MacOS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyber-espionnage \/ Crypto-monnaie<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-pirates-informatiques-nord-coreens-mettent-a-jour-le-malware-BeaverTail.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont <a rel=\"nofollow noopener\" href=\"https:\/\/x.com\/malwrhunterteam\/status\/1812792291876119034\" target=\"_blank\">d\u00e9couvert<\/a> une variante mise \u00e0 jour d&#8217;un logiciel malveillant voleur connu que des attaquants affili\u00e9s \u00e0 la R\u00e9publique populaire d\u00e9mocratique de Cor\u00e9e (RPDC) ont diffus\u00e9 dans le cadre de pr\u00e9c\u00e9dentes campagnes de cyberespionnage ciblant les demandeurs d&#8217;emploi.<\/p>\n<p>L&#8217;artefact en question est un fichier d&#8217;image disque Apple macOS (DMG) nomm\u00e9 \u00ab MiroTalk.dmg \u00bb qui imite le <a rel=\"nofollow noopener\" href=\"https:\/\/p2p.mirotalk.com\" target=\"_blank\">service d&#8217;appel vid\u00e9o l\u00e9gitime<\/a> du m\u00eame nom, mais, en r\u00e9alit\u00e9, sert de canal pour fournir une version native de BeaverTail, selon le chercheur en s\u00e9curit\u00e9 Patrick Wardle <a rel=\"nofollow noopener\" href=\"https:\/\/objective-see.org\/blog\/blog_0x7A.html\" target=\"_blank\">dit<\/a>.<\/p>\n<p>BeaverTail fait r\u00e9f\u00e9rence \u00e0 un malware de vol de code JavaScript qui a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par l&#8217;unit\u00e9 42 de Palo Alto Networks en novembre 2023 dans le cadre d&#8217;une campagne baptis\u00e9e Contagious Interview qui vise \u00e0 infecter les d\u00e9veloppeurs de logiciels avec des logiciels malveillants via un pr\u00e9tendu processus d&#8217;entretien d&#8217;embauche. Securonix suit la m\u00eame activit\u00e9 sous le nom de DEV#POPPER.<\/p>\n<p>En plus de siphonner des informations sensibles \u00e0 partir des navigateurs Web et des portefeuilles cryptographiques, le malware est capable de fournir des charges utiles suppl\u00e9mentaires comme InvisibleFerret, une porte d\u00e9rob\u00e9e Python responsable du t\u00e9l\u00e9chargement d&#8217;AnyDesk pour un acc\u00e8s \u00e0 distance persistant.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Bien que BeaverTail ait \u00e9t\u00e9 distribu\u00e9 via de faux packages npm h\u00e9berg\u00e9s sur GitHub et le registre de packages npm, les derni\u00e8res d\u00e9couvertes marquent un changement dans le vecteur de distribution.<\/p>\n<p>\u00ab Si je devais deviner, les pirates informatiques de la RPDC ont probablement approch\u00e9 leurs victimes potentielles, leur demandant de participer \u00e0 une r\u00e9union d&#8217;embauche, en t\u00e9l\u00e9chargeant et en ex\u00e9cutant la version infect\u00e9e de MiroTalk h\u00e9berg\u00e9e sur mirotalk.[.]&#8221;net&#8221;, a d\u00e9clar\u00e9 Wardle.<\/p>\n<p>Une analyse du fichier DMG non sign\u00e9 r\u00e9v\u00e8le qu&#8217;il facilite le vol de donn\u00e9es \u00e0 partir de navigateurs Web tels que Google Chrome, Brave et Opera, de portefeuilles de cryptomonnaie et du trousseau iCloud. De plus, il est con\u00e7u pour t\u00e9l\u00e9charger et ex\u00e9cuter des scripts Python suppl\u00e9mentaires \u00e0 partir d&#8217;un serveur distant (c&#8217;est-\u00e0-dire InvisibleFerret).<\/p>\n<p>\u00ab Les pirates informatiques nord-cor\u00e9ens sont une bande rus\u00e9e et tr\u00e8s habile \u00e0 pirater des cibles macOS, m\u00eame si leur technique repose souvent sur l&#8217;ing\u00e9nierie sociale (et donc, d&#8217;un point de vue technique, elle est plut\u00f4t peu impressionnante) \u00bb, a d\u00e9clar\u00e9 Wardle.<\/p>\n<p>La divulgation intervient alors que Phylum <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/new-tactics-from-a-familiar-threat\/\" target=\"_blank\">d\u00e9couvert<\/a> un nouveau package npm malveillant nomm\u00e9 call-blockflow qui est pratiquement identique au package l\u00e9gitime call-bind mais qui int\u00e8gre des fonctionnalit\u00e9s complexes pour t\u00e9l\u00e9charger un fichier binaire distant tout en d\u00e9ployant des efforts minutieux pour passer sous le radar.<\/p>\n<p>\u00ab Dans cette attaque, bien que le package call-bind n&#8217;ait pas \u00e9t\u00e9 compromis, le package call-blockflow militaris\u00e9 copie toute la confiance et la l\u00e9gitimit\u00e9 de l&#8217;original pour renforcer le succ\u00e8s de l&#8217;attaque \u00bb, a-t-il d\u00e9clar\u00e9 dans un communiqu\u00e9 partag\u00e9 avec The Hacker News.<\/p>\n<p>Le paquet, soup\u00e7onn\u00e9 d&#8217;\u00eatre l&#8217;\u0153uvre du groupe Lazarus li\u00e9 \u00e0 la Cor\u00e9e du Nord et rendu in\u00e9dit environ une heure et demie plus tard apr\u00e8s avoir \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 sur npm, a attir\u00e9 un total de <a rel=\"nofollow noopener\" href=\"https:\/\/npm-stat.com\/charts.html?package=call-blockflow\" target=\"_blank\">18 t\u00e9l\u00e9chargements<\/a>Les preuves sugg\u00e8rent que l\u2019activit\u00e9, comprenant plus de trois douzaines de packages malveillants, se d\u00e9roule par vagues depuis septembre 2023.<\/p>\n<p>\u00ab Ces packages, une fois install\u00e9s, t\u00e9l\u00e9chargeraient un fichier distant, le d\u00e9crypteraient, ex\u00e9cuteraient une fonction export\u00e9e \u00e0 partir de celui-ci, puis couvriraient m\u00e9ticuleusement leurs traces en supprimant et en renommant les fichiers \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement en logiciels. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/update-to-novembers-crypto-themed-npm-attack\/\" target=\"_blank\">dit<\/a>. \u00ab Cela a laiss\u00e9 le r\u00e9pertoire du package dans un \u00e9tat apparemment b\u00e9nin apr\u00e8s l&#8217;installation. \u00bb<\/p>\n<p>Cette alerte fait \u00e9galement suite \u00e0 un avis du JPCERT\/CC, mettant en garde contre des cyberattaques orchestr\u00e9es par l&#8217;acteur nord-cor\u00e9en Kimsuky visant des organisations japonaises.<\/p>\n<p>Le processus d&#8217;infection commence par des messages de phishing se faisant passer pour des organisations de s\u00e9curit\u00e9 et diplomatiques, et contient un ex\u00e9cutable malveillant qui, une fois ouvert, conduit au t\u00e9l\u00e9chargement d&#8217;un script Visual Basic (VBS), qui, \u00e0 son tour, r\u00e9cup\u00e8re un script PowerShell pour r\u00e9colter les informations sur les comptes d&#8217;utilisateurs, le syst\u00e8me et le r\u00e9seau, ainsi que pour \u00e9num\u00e9rer les fichiers et les processus.<\/p>\n<p>Les informations collect\u00e9es sont ensuite exfiltr\u00e9es vers un serveur de commande et de contr\u00f4le (C2), qui r\u00e9pond avec un deuxi\u00e8me fichier VBS qui est ensuite ex\u00e9cut\u00e9 pour r\u00e9cup\u00e9rer et ex\u00e9cuter un enregistreur de frappe bas\u00e9 sur PowerShell nomm\u00e9 InfoKey.<\/p>\n<p>\u00ab Bien qu&#8217;il y ait eu peu de rapports d&#8217;activit\u00e9s d&#8217;attaques de Kimsuky ciblant des organisations au Japon, il est possible que le Japon soit \u00e9galement activement cibl\u00e9 \u00bb, a d\u00e9clar\u00e9 JPCERT\/CC. <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.jpcert.or.jp\/en\/2024\/07\/attack-activities-by-kimsuky-targeting-japanese-organizations.html\" target=\"_blank\">dit<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/north-korean-hackers-update-beavertail.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 juillet 2024\ue804R\u00e9dactionCyber-espionnage \/ Crypto-monnaie Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une variante mise \u00e0 jour d&#8217;un logiciel malveillant voleur connu que des attaquants affili\u00e9s \u00e0 la R\u00e9publique populaire d\u00e9mocratique de Cor\u00e9e (RPDC) ont diffus\u00e9 dans le cadre de pr\u00e9c\u00e9dentes campagnes de cyberespionnage ciblant les demandeurs d&#8217;emploi. L&#8217;artefact en question est un fichier d&#8217;image disque [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1242758,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,242262,11338,4168,4165,133,8154,3995,65,238584,200271,34503,4174,3915,238334,98340,24722,4394,185,238617,4172,4169,7529,4166,238583],"class_list":["post-1242757","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-beavertail","tag-cibler","tag-comment-pirater","tag-cyber-attaques","tag-des","tag-informatiques","tag-jour","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-macos","tag-malware","tag-mettent","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-nordcoreens","tag-pirates","tag-pour","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-utilisateurs","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1242757","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1242757"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1242757\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1242758"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1242757"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1242757"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1242757"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}