{"id":1248631,"date":"2024-07-22T06:39:03","date_gmt":"2024-07-22T08:39:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-malware-socgholish-exploite-le-projet-boinc-pour-des-cyberattaques-secretes\/"},"modified":"2024-07-22T06:39:07","modified_gmt":"2024-07-22T08:39:07","slug":"le-malware-socgholish-exploite-le-projet-boinc-pour-des-cyberattaques-secretes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-malware-socgholish-exploite-le-projet-boinc-pour-des-cyberattaques-secretes\/","title":{"rendered":"Le malware SocGholish exploite le projet BOINC pour des cyberattaques secr\u00e8tes"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 juillet 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Vuln\u00e9rabilit\u00e9 \/ Malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Le malware de t\u00e9l\u00e9chargement JavaScript connu sous le nom de SocGholish (alias FakeUpdates) est utilis\u00e9 pour diffuser un cheval de Troie d’acc\u00e8s \u00e0 distance appel\u00e9 AsyncRAT ainsi qu’un projet open source l\u00e9gitime appel\u00e9 BOINC.<\/p>\n

BOINC<\/a>abr\u00e9viation de Berkeley Open Infrastructure Network Computing Client, est un \u00ab\u00a0calcul volontaire\u00a0\u00bb open source plate-forme<\/a> maintenu par l’Universit\u00e9 de Californie dans le but de r\u00e9aliser un \u00ab calcul \u00e0 haut d\u00e9bit distribu\u00e9 \u00e0 grande \u00e9chelle \u00bb en utilisant les ordinateurs personnels participants sur lesquels l’application est install\u00e9e.<\/p>\n

\u00ab C’est similaire \u00e0 un mineur de crypto-monnaie de cette fa\u00e7on (utiliser les ressources informatiques pour faire du travail), et il est en fait con\u00e7u pour r\u00e9compenser les utilisateurs avec un type sp\u00e9cifique de crypto-monnaie appel\u00e9 Gridcoin, con\u00e7u \u00e0 cet effet \u00bb, ont d\u00e9clar\u00e9 les chercheurs de Huntress Matt Anderson, Alden Schmidt et Greg Linares. dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n

\"La<\/a><\/center><\/section>\n

Ces installations malveillantes sont con\u00e7ues pour se connecter \u00e0 un domaine contr\u00f4l\u00e9 par un acteur (\u00ab rosettahome[.]cn” ou “rosettahome[.]”top”), agissant essentiellement comme un serveur de commande et de contr\u00f4le (C2) pour collecter les donn\u00e9es de l’h\u00f4te, transmettre des charges utiles et envoyer d’autres commandes. Au 15 juillet, 10 032 clients sont connect\u00e9s aux deux domaines.<\/p>\n

L’entreprise de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que m\u00eame si elle n’avait observ\u00e9 aucune activit\u00e9 ou t\u00e2che de suivi ex\u00e9cut\u00e9e par les h\u00f4tes infect\u00e9s, elle a \u00e9mis l’hypoth\u00e8se que \u00ab les connexions h\u00f4tes pourraient \u00eatre vendues comme vecteurs d’acc\u00e8s initiaux \u00e0 utiliser par d’autres acteurs et potentiellement utilis\u00e9es pour ex\u00e9cuter des ransomwares \u00bb.<\/p>\n

Les s\u00e9quences d’attaque de SocGholish commencent g\u00e9n\u00e9ralement lorsque les utilisateurs atterrissent sur des sites Web compromis, o\u00f9 ils sont invit\u00e9s \u00e0 t\u00e9l\u00e9charger une fausse mise \u00e0 jour de navigateur qui, une fois ex\u00e9cut\u00e9e, d\u00e9clenche la r\u00e9cup\u00e9ration de charges utiles suppl\u00e9mentaires sur les machines infiltr\u00e9es.<\/p>\n

Le t\u00e9l\u00e9chargeur JavaScript, dans ce cas, active deux cha\u00eenes disjointes, l’une qui conduit au d\u00e9ploiement d’une variante sans fichier d’AsyncRAT et l’autre aboutissant \u00e0 l’installation de BOINC.<\/p>\n

\"Logiciel<\/a><\/div>\n

L’application BOINC, renomm\u00e9e \u00ab SecurityHealthService.exe \u00bb ou \u00ab trustedinstaller.exe \u00bb pour \u00e9chapper \u00e0 la d\u00e9tection, d\u00e9finit la persistance \u00e0 l’aide d’une t\u00e2che planifi\u00e9e au moyen d’un script PowerShell.<\/p>\n

L’utilisation abusive de BOINC \u00e0 des fins malveillantes n’est pas pass\u00e9e inaper\u00e7ue aupr\u00e8s des responsables du projet, qui sont enqu\u00eate actuellement<\/a> le probl\u00e8me et trouver un moyen de \u00ab vaincre ce malware \u00bb. Les preuves de l’abus remontent au moins au 26 juin 2024.<\/p>\n

\u00ab La motivation et l\u2019intention de l\u2019acteur malveillant en chargeant ce logiciel sur des h\u00f4tes infect\u00e9s ne sont pas claires \u00e0 ce stade \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n

\u00ab Les clients infect\u00e9s se connectant activement \u00e0 des serveurs BOINC malveillants pr\u00e9sentent un risque assez \u00e9lev\u00e9, car il existe un risque pour un acteur malveillant motiv\u00e9 d’utiliser cette connexion \u00e0 mauvais escient et d’ex\u00e9cuter un certain nombre de commandes ou de logiciels malveillants sur l’h\u00f4te pour augmenter davantage les privil\u00e8ges ou se d\u00e9placer lat\u00e9ralement sur un r\u00e9seau et compromettre un domaine entier. \u00bb<\/p>\n

Cette \u00e9volution intervient alors que Check Point a d\u00e9clar\u00e9 avoir suivi l’utilisation de JavaScript V8 compil\u00e9 par les auteurs de logiciels malveillants pour contourner les d\u00e9tections statiques et dissimuler les chevaux de Troie d’acc\u00e8s \u00e0 distance, les voleurs, les chargeurs, les mineurs de crypto-monnaie, les effaceurs et les ransomwares.<\/p>\n

\u00ab Dans la bataille en cours entre les experts en s\u00e9curit\u00e9 et les acteurs malveillants, les d\u00e9veloppeurs de logiciels malveillants continuent de proposer de nouvelles astuces pour dissimuler leurs attaques \u00bb, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Moshe Marelus. \u00ab Il n’est pas surprenant qu’ils aient commenc\u00e9 \u00e0 utiliser V8, car cette technologie est couramment utilis\u00e9e pour cr\u00e9er des logiciels car elle est tr\u00e8s r\u00e9pandue et extr\u00eamement difficile \u00e0 analyser. \u00bb<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n