{"id":1251473,"date":"2024-07-24T07:13:12","date_gmt":"2024-07-24T09:13:12","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-faille-de-microsoft-defender-exploitee-pour-fournir-des-voleurs-acr-lumma-et-meduza\/"},"modified":"2024-07-24T07:13:18","modified_gmt":"2024-07-24T09:13:18","slug":"une-faille-de-microsoft-defender-exploitee-pour-fournir-des-voleurs-acr-lumma-et-meduza","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-faille-de-microsoft-defender-exploitee-pour-fournir-des-voleurs-acr-lumma-et-meduza\/","title":{"rendered":"Une faille de Microsoft Defender exploit\u00e9e pour fournir des voleurs ACR, Lumma et Meduza"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Publicit\u00e9 malveillante \/ Renseignement sur les menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Une-faille-de-Microsoft-Defender-exploitee-pour-fournir-des-voleurs.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une faille de s\u00e9curit\u00e9 d\u00e9sormais corrig\u00e9e dans Microsoft Defender SmartScreen a \u00e9t\u00e9 exploit\u00e9e dans le cadre d&#8217;une nouvelle campagne con\u00e7ue pour diffuser des voleurs d&#8217;informations tels que ACR Stealer, Lumma et Meduza.<\/p>\n<p>Fortinet FortiGuard Labs a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 la campagne de vol ciblant l&#8217;Espagne, la Tha\u00eflande et les \u00c9tats-Unis en utilisant des fichiers pi\u00e9g\u00e9s exploitant CVE-2024-21412 (score CVSS : 8,1).<\/p>\n<p>Cette vuln\u00e9rabilit\u00e9 de gravit\u00e9 \u00e9lev\u00e9e permet \u00e0 un attaquant de contourner la protection SmartScreen et de d\u00e9poser des charges utiles malveillantes. Microsoft a r\u00e9solu ce probl\u00e8me dans le cadre de ses mises \u00e0 jour de s\u00e9curit\u00e9 mensuelles publi\u00e9es en f\u00e9vrier 2024.<\/p>\n<p>\u00ab Au d\u00e9part, les attaquants incitent les victimes \u00e0 cliquer sur un lien sp\u00e9cialement con\u00e7u vers un fichier URL con\u00e7u pour t\u00e9l\u00e9charger un fichier LNK \u00bb, explique Cara Lin, chercheuse en s\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/exploiting-cve-2024-21412-stealer-campaign-unleashed\" target=\"_blank\">dit<\/a>. &#8220;Le fichier LNK t\u00e9l\u00e9charge ensuite un fichier ex\u00e9cutable contenant un [HTML Application] sc\u00e9nario.&#8221;<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721628359_866_Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Le fichier HTA sert de conduit pour d\u00e9coder et d\u00e9crypter le code PowerShell charg\u00e9 de r\u00e9cup\u00e9rer un fichier PDF leurre et un injecteur de shellcode qui, \u00e0 son tour, conduit au d\u00e9ploiement de Meduza Stealer ou Hijack Loader, qui lance ensuite ACR Stealer ou Lumma.<\/p>\n<p>Voleur ACR, <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.acr_stealer\" target=\"_blank\">\u00e9valu\u00e9<\/a> \u00eatre une version \u00e9volu\u00e9e du GrMsk Stealer, a \u00e9t\u00e9 annonc\u00e9 fin mars 2024 par un acteur malveillant nomm\u00e9 SheldIO sur le forum clandestin en langue russe RAMP.<\/p>\n<p>&#8220;Ce voleur d&#8217;ACR cache son [command-and-control] avec une technique de r\u00e9solution de dead drop (DDR) sur le site Web de la communaut\u00e9 Steam&#8221;, a d\u00e9clar\u00e9 Lin, soulignant sa capacit\u00e9 \u00e0 siphonner des informations \u00e0 partir de navigateurs Web, de portefeuilles cryptographiques, d&#8217;applications de messagerie, de clients FTP, de clients de messagerie, de services VPN et de gestionnaires de mots de passe.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721812392_619_Une-faille-de-Microsoft-Defender-exploitee-pour-fournir-des-voleurs.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721812392_619_Une-faille-de-Microsoft-Defender-exploitee-pour-fournir-des-voleurs.png\" alt=\"Voleurs d'ACR, Lumma et Meduza\" border=\"0\" data-original-height=\"835\" data-original-width=\"1269\" title=\"Voleurs d'ACR, Lumma et Meduza\"\/><\/a><\/div>\n<p>Il convient de noter que des attaques r\u00e9centes de Lumma Stealer ont \u00e9galement \u00e9t\u00e9 observ\u00e9es en utilisant la m\u00eame technique, ce qui permet aux adversaires de modifier plus facilement les domaines C2 \u00e0 tout moment et de rendre l&#8217;infrastructure plus r\u00e9siliente. <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/ko\/68023\/\" target=\"_blank\">selon<\/a> au Centre de renseignement de s\u00e9curit\u00e9 AhnLab (ASEC).<\/p>\n<p>Cette r\u00e9v\u00e9lation intervient alors que CrowdStrike a <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/fake-recovery-manual-used-to-deliver-unidentified-stealer\/\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> que les acteurs de la menace profitent de la panne de la semaine derni\u00e8re pour distribuer un voleur d&#8217;informations jusqu&#8217;alors non document\u00e9 appel\u00e9 Daolpu, ce qui en fait le dernier exemple de la <a rel=\"nofollow noopener\" href=\"https:\/\/www.securonix.com\/blog\/threat-actors-are-exploiting-the-recent-crowdstrike-outage-in-an-effort-to-deploy-malware-and-to-stage-ecrime-operations\/\" target=\"_blank\">retomb\u00e9es en cours<\/a> r\u00e9sultant d&#8217;une mise \u00e0 jour d\u00e9fectueuse qui a paralys\u00e9 des millions d&#8217;appareils Windows.<\/p>\n<p>L&#8217;attaque implique l&#8217;utilisation d&#8217;un document Microsoft Word contenant des macros qui se fait passer pour une liste de manuels de r\u00e9cup\u00e9ration Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/techcommunity.microsoft.com\/t5\/intune-customer-success\/new-recovery-tool-to-help-with-crowdstrike-issue-impacting\/ba-p\/4196959\" target=\"_blank\">instructions l\u00e9gitimes<\/a> \u00e9mis par le fabricant de Windows pour r\u00e9soudre le probl\u00e8me, l&#8217;utilisant comme leurre pour activer le processus d&#8217;infection.<\/p>\n<p>Le <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-us\/office\/file-formats-for-saving-documents-88de3863-c9e5-4f89-be60-906f9065e43c\" target=\"_blank\">Fichier DOCM<\/a>une fois ouvert, ex\u00e9cute la macro pour r\u00e9cup\u00e9rer un fichier DLL de deuxi\u00e8me \u00e9tape \u00e0 partir d&#8217;une t\u00e9l\u00e9commande qui est d\u00e9cod\u00e9 pour lancer Daolpu, un malware voleur \u00e9quip\u00e9 pour r\u00e9colter les informations d&#8217;identification et les cookies de Google Chrome, Microsoft Edge, Mozilla Firefox et d&#8217;autres navigateurs bas\u00e9s sur Chromium.<\/p>\n<p>Elle fait \u00e9galement suite \u00e0 l\u2019\u00e9mergence de <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyfirma.com\/research\/braodo-info-stealer-targeting-vietnam-and-abroad\/\" target=\"_blank\">nouvelles familles de malwares voleurs<\/a> tels que Braodo et DeerStealer, alors m\u00eame que les cybercriminels exploitent des techniques de malvertising faisant la promotion de logiciels l\u00e9gitimes tels que Microsoft Teams pour d\u00e9ployer Atomic Stealer.<\/p>\n<p>\u00ab Alors que les cybercriminels intensifient leurs campagnes de distribution, il devient plus dangereux de t\u00e9l\u00e9charger des applications via les moteurs de recherche \u00bb, explique J\u00e9r\u00f4me Segura, chercheur chez Malwarebytes. <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2024\/07\/fake-microsoft-teams-for-mac-delivers-atomic-stealer\" target=\"_blank\">dit<\/a>\u00ab Les utilisateurs doivent naviguer entre le malvertising (r\u00e9sultats sponsoris\u00e9s) et l&#8217;empoisonnement SEO (sites Web compromis). \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/microsoft-defender-flaw-exploited-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 juillet 2024\ue804R\u00e9dactionPublicit\u00e9 malveillante \/ Renseignement sur les menaces Une faille de s\u00e9curit\u00e9 d\u00e9sormais corrig\u00e9e dans Microsoft Defender SmartScreen a \u00e9t\u00e9 exploit\u00e9e dans le cadre d&#8217;une nouvelle campagne con\u00e7ue pour diffuser des voleurs d&#8217;informations tels que ACR Stealer, Lumma et Meduza. Fortinet FortiGuard Labs a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 la campagne de vol ciblant l&#8217;Espagne, la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1251474,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[243326,238714,200292,238582,240744,238778,4168,4165,62688,133,36372,9048,6670,238584,200271,223639,172003,8362,238334,98340,185,238617,4172,4169,196,4166,11956,238583],"class_list":["post-1251473","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-acr","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-comment-pirater","tag-cyber-attaques","tag-defender","tag-des","tag-exploitee","tag-faille","tag-fournir","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-lumma","tag-meduza","tag-microsoft","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-pour","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-voleurs","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1251473","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1251473"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1251473\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1251474"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1251473"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1251473"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1251473"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}