{"id":1254653,"date":"2024-07-26T13:01:03","date_gmt":"2024-07-26T15:01:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/ce-service-de-cybercriminalite-base-sur-lia-regroupe-des-kits-de-phishing-avec-des-applications-android-malveillantes\/"},"modified":"2024-07-26T13:01:08","modified_gmt":"2024-07-26T15:01:08","slug":"ce-service-de-cybercriminalite-base-sur-lia-regroupe-des-kits-de-phishing-avec-des-applications-android-malveillantes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/ce-service-de-cybercriminalite-base-sur-lia-regroupe-des-kits-de-phishing-avec-des-applications-android-malveillantes\/","title":{"rendered":"Ce service de cybercriminalit\u00e9 bas\u00e9 sur l&#8217;IA regroupe des kits de phishing avec des applications Android malveillantes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Ce-service-de-cybercriminalite-base-sur-lIA-regroupe-des-kits.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un groupe de cybercriminalit\u00e9 hispanophone nomm\u00e9 <strong>\u00c9quipe GXC<\/strong> il a \u00e9t\u00e9 observ\u00e9 en train de regrouper des kits de phishing avec des applications Android malveillantes, faisant passer les offres de malware en tant que service (MaaS) \u00e0 un niveau sup\u00e9rieur.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 singapourienne Group-IB, qui traque l&#8217;acteur de la cybercriminalit\u00e9 depuis janvier 2023, a d\u00e9crit la solution de crimeware comme une \u00ab plate-forme sophistiqu\u00e9e de phishing-as-a-service aliment\u00e9e par l&#8217;IA \u00bb capable de cibler les utilisateurs de plus de 36 banques espagnoles, organismes gouvernementaux et 30 institutions dans le monde. <\/p>\n<p>Le kit de phishing co\u00fbte entre 150 et 900 dollars par mois, tandis que le pack comprenant le kit de phishing et le malware Android est disponible sur la base d&#8217;un abonnement pour environ 500 dollars par mois.<\/p>\n<p>Les cibles de la campagne incluent les utilisateurs d&#8217;institutions financi\u00e8res espagnoles, ainsi que les services fiscaux et gouvernementaux, les entreprises de commerce \u00e9lectronique, les banques et les bourses de cryptomonnaies aux \u00c9tats-Unis, au Royaume-Uni, en Slovaquie et au Br\u00e9sil. Jusqu&#8217;\u00e0 288 domaines de phishing li\u00e9s \u00e0 cette activit\u00e9 ont \u00e9t\u00e9 identifi\u00e9s \u00e0 ce jour.<\/p>\n<p>La gamme de services offerts comprend \u00e9galement la vente d&#8217;identifiants bancaires vol\u00e9s et des syst\u00e8mes de codage personnalis\u00e9 \u00e0 fa\u00e7on pour d&#8217;autres groupes de cybercriminels ciblant les entreprises bancaires, financi\u00e8res et de cryptomonnaie.<\/p>\n<p>\u00ab Contrairement aux d\u00e9veloppeurs de phishing classiques, l&#8217;\u00e9quipe GXC a combin\u00e9 des kits de phishing avec un malware de vol d&#8217;OTP par SMS, faisant pivoter un sc\u00e9nario d&#8217;attaque de phishing classique dans une direction l\u00e9g\u00e8rement nouvelle \u00bb, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Anton Ushakov et Martijn van den Berk. <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/blog\/gxc-team-unmasked\/\" target=\"_blank\">dit<\/a> dans un rapport de jeudi.<\/p>\n<p>Ce qui est remarquable ici, c&#8217;est que les auteurs de la menace, au lieu d&#8217;utiliser directement une fausse page pour r\u00e9cup\u00e9rer les identifiants, encouragent les victimes \u00e0 t\u00e9l\u00e9charger une application bancaire bas\u00e9e sur Android pour \u00e9viter les attaques de phishing. Ces pages sont diffus\u00e9es via le smishing et d&#8217;autres m\u00e9thodes.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721628359_866_Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Une fois install\u00e9e, l&#8217;application demande des autorisations pour \u00eatre configur\u00e9e comme application SMS par d\u00e9faut, permettant ainsi d&#8217;intercepter les mots de passe \u00e0 usage unique et autres messages et de les exfiltrer vers un bot Telegram sous leur contr\u00f4le.<\/p>\n<p>\u00ab Dans la derni\u00e8re \u00e9tape, l&#8217;application ouvre le site Web d&#8217;une v\u00e9ritable banque dans WebView, ce qui permet aux utilisateurs d&#8217;interagir avec lui normalement \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Ensuite, chaque fois que l&#8217;attaquant d\u00e9clenche l&#8217;invite OTP, le malware Android re\u00e7oit et transmet silencieusement des messages SMS avec des codes OTP au chat Telegram contr\u00f4l\u00e9 par l&#8217;acteur malveillant. \u00bb<\/p>\n<p>Parmi les autres services annonc\u00e9s par l&#8217;acteur malveillant sur une cha\u00eene Telegram d\u00e9di\u00e9e figurent des outils d&#8217;appel vocal infus\u00e9s d&#8217;IA qui permettent \u00e0 ses clients de g\u00e9n\u00e9rer des appels vocaux vers des cibles potentielles en fonction d&#8217;une s\u00e9rie d&#8217;invites directement \u00e0 partir du kit de phishing.<\/p>\n<p>Ces appels se font g\u00e9n\u00e9ralement passer pour provenir d\u2019une banque, leur demandant de fournir leurs codes d\u2019authentification \u00e0 deux facteurs (2FA), d\u2019installer des applications malveillantes ou d\u2019effectuer d\u2019autres actions arbitraires.<\/p>\n<p>\u00ab L\u2019utilisation de ce m\u00e9canisme simple mais efficace rend le sc\u00e9nario d\u2019escroquerie encore plus convaincant pour leurs victimes et d\u00e9montre avec quelle rapidit\u00e9 et facilit\u00e9 les outils d\u2019IA sont adopt\u00e9s et mis en \u0153uvre par les criminels dans leurs stratag\u00e8mes, transformant les sc\u00e9narios de fraude traditionnels en de nouvelles tactiques plus sophistiqu\u00e9es \u00bb, ont soulign\u00e9 les chercheurs.<\/p>\n<p>Dans un rapport r\u00e9cent, Mandiant, propri\u00e9t\u00e9 de Google, a r\u00e9v\u00e9l\u00e9 comment le clonage vocal aliment\u00e9 par l&#8217;IA a la capacit\u00e9 d&#8217;imiter la parole humaine avec une \u00ab pr\u00e9cision surnaturelle \u00bb, permettant ainsi des sch\u00e9mas de phishing (ou vishing) plus authentiques qui facilitent l&#8217;acc\u00e8s initial, l&#8217;escalade des privil\u00e8ges et le mouvement lat\u00e9ral.<\/p>\n<p>\u00ab Les acteurs de la menace peuvent se faire passer pour des dirigeants, des coll\u00e8gues ou m\u00eame du personnel de support informatique pour inciter les victimes \u00e0 r\u00e9v\u00e9ler des informations confidentielles, \u00e0 accorder un acc\u00e8s \u00e0 distance aux syst\u00e8mes ou \u00e0 transf\u00e9rer des fonds \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de renseignement sur les menaces. <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/ai-powered-voice-spoofing-vishing-attacks\/\" target=\"_blank\">dit<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1722006063_102_Ce-service-de-cybercriminalite-base-sur-lIA-regroupe-des-kits.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1722006063_102_Ce-service-de-cybercriminalite-base-sur-lIA-regroupe-des-kits.png\" alt=\"Applications Android malveillantes\" border=\"0\" data-original-height=\"591\" data-original-width=\"1216\" title=\"Applications Android malveillantes\"\/><\/a><\/div>\n<p>\u00ab La confiance inh\u00e9rente associ\u00e9e \u00e0 une voix famili\u00e8re peut \u00eatre exploit\u00e9e pour manipuler les victimes et les amener \u00e0 entreprendre des actions qu&#8217;elles ne feraient pas normalement, comme cliquer sur des liens malveillants, t\u00e9l\u00e9charger des logiciels malveillants ou divulguer des donn\u00e9es sensibles. \u00bb<\/p>\n<p>Les kits de phishing, qui sont \u00e9galement dot\u00e9s de fonctionnalit\u00e9s d&#8217;adversaire du milieu (AiTM), sont devenus de plus en plus populaires car ils abaissent la barri\u00e8re technique \u00e0 l&#8217;entr\u00e9e pour mener des campagnes de phishing \u00e0 grande \u00e9chelle.<\/p>\n<p>Le chercheur en s\u00e9curit\u00e9 M. D0X, dans un <a rel=\"nofollow noopener\" href=\"https:\/\/mrd0x.com\/progressive-web-apps-pwa-phishing\/\" target=\"_blank\">rapport<\/a> publi\u00e9 le mois dernier, il a d\u00e9clar\u00e9 qu&#8217;il est possible pour les mauvais acteurs de profiter des applications Web progressives (PWA) pour concevoir des pages de connexion convaincantes \u00e0 des fins de phishing en manipulant les \u00e9l\u00e9ments de l&#8217;interface utilisateur pour afficher une fausse barre d&#8217;URL.<\/p>\n<p>De plus, ces kits de phishing AiTM peuvent \u00e9galement \u00eatre utilis\u00e9s pour p\u00e9n\u00e9trer dans des comptes prot\u00e9g\u00e9s par des cl\u00e9s d&#8217;acc\u00e8s sur diverses plateformes en ligne au moyen de ce qu&#8217;on appelle une attaque de r\u00e9daction de m\u00e9thode d&#8217;authentification, qui tire parti du fait que ces services offrent toujours une m\u00e9thode d&#8217;authentification moins s\u00e9curis\u00e9e comme m\u00e9canisme de secours m\u00eame lorsque des cl\u00e9s d&#8217;acc\u00e8s ont \u00e9t\u00e9 configur\u00e9es.<\/p>\n<p>\u00ab \u00c9tant donn\u00e9 que l&#8217;AitM peut manipuler la vue pr\u00e9sent\u00e9e \u00e0 l&#8217;utilisateur en modifiant le code HTML, le CSS et les images ou le JavaScript dans la page de connexion, au fur et \u00e0 mesure qu&#8217;elle est transmise \u00e0 l&#8217;utilisateur final, il peut contr\u00f4ler le flux d&#8217;authentification et supprimer toutes les r\u00e9f\u00e9rences \u00e0 l&#8217;authentification par cl\u00e9 d&#8217;acc\u00e8s \u00bb, explique la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 eSentire <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/securing-passkeys-thwarting-authentication-method-redaction-attacks\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Cette r\u00e9v\u00e9lation intervient dans un contexte de recrudescence r\u00e9cente des campagnes de phishing int\u00e9grant des URL d\u00e9j\u00e0 cod\u00e9es \u00e0 l&#8217;aide d&#8217;outils de s\u00e9curit\u00e9 tels que les passerelles de messagerie s\u00e9curis\u00e9es (SEG) dans le but de masquer les liens de phishing et d&#8217;\u00e9chapper \u00e0 l&#8217;analyse, selon <a rel=\"nofollow noopener\" href=\"https:\/\/blog.barracuda.com\/2024\/07\/15\/threat-spotlight-attackers-abuse-url-protection-services\" target=\"_blank\">R\u00e9seaux Barracuda<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/cofense.com\/blog\/seg-vs-seg-how-threat-actors-are-pitting-email-security-products-against-each-other\/\" target=\"_blank\">Cofense<\/a>.<\/p>\n<p>Des attaques d&#8217;ing\u00e9nierie sociale ont \u00e9galement \u00e9t\u00e9 observ\u00e9es, recourant \u00e0 des m\u00e9thodes inhabituelles dans lesquelles les utilisateurs sont incit\u00e9s \u00e0 visiter des sites Web apparemment l\u00e9gitimes et sont ensuite invit\u00e9s \u00e0 copier, coller et ex\u00e9cuter manuellement du code obscurci dans un terminal PowerShell sous pr\u00e9texte de r\u00e9soudre des probl\u00e8mes d&#8217;affichage de contenu dans un navigateur Web.<\/p>\n<p>Les d\u00e9tails de la m\u00e9thode de diffusion du malware ont d\u00e9j\u00e0 \u00e9t\u00e9 document\u00e9s par ReliaQuest et Proofpoint. McAfee Labs suit l&#8217;activit\u00e9 sous le nom ClickFix.<\/p>\n<p>\u00ab En int\u00e9grant des scripts cod\u00e9s en Base64 dans des messages d&#8217;erreur apparemment l\u00e9gitimes, les attaquants trompent les utilisateurs en les incitant \u00e0 effectuer une s\u00e9rie d&#8217;actions qui aboutissent \u00e0 l&#8217;ex\u00e9cution de commandes PowerShell malveillantes \u00bb, expliquent les chercheurs Yashvi Shah et Vignesh Dhatchanamoorthy. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mcafee.com\/blogs\/other-blogs\/mcafee-labs\/clickfix-deception-a-social-engineering-tactic-to-deploy-malware\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>\u00ab Ces commandes t\u00e9l\u00e9chargent et ex\u00e9cutent g\u00e9n\u00e9ralement des charges utiles, telles que des fichiers HTA, \u00e0 partir de serveurs distants, d\u00e9ployant ensuite des logiciels malveillants tels que <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/the-gatekeepers-secrets-darkgate-malware-analysis\" target=\"_blank\">Porte sombre<\/a> et Lumma Stealer. &#8220;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? <span class=\"\">Cet article est une contribution de l\u2019un de nos pr\u00e9cieux partenaires.<\/span> Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/spanish-hackers-bundle-phishing-kits.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe de cybercriminalit\u00e9 hispanophone nomm\u00e9 \u00c9quipe GXC il a \u00e9t\u00e9 observ\u00e9 en train de regrouper des kits de phishing avec des applications Android malveillantes, faisant passer les offres de malware en tant que service (MaaS) \u00e0 un niveau sup\u00e9rieur. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 singapourienne Group-IB, qui traque l&#8217;acteur de la cybercriminalit\u00e9 depuis janvier 2023, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1254654,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,8738,8361,84,3283,4168,4165,28420,133,40696,238584,13717,200271,7306,238334,98340,8153,30434,238617,4172,4169,2314,60,4166,238583],"class_list":["post-1254653","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-android","tag-applications","tag-avec","tag-base","tag-comment-pirater","tag-cyber-attaques","tag-cybercriminalite","tag-des","tag-kits","tag-les-nouvelles-des-hackers","tag-lia","tag-logiciel-malveillant-rancongiciel","tag-malveillantes","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-phishing","tag-regroupe","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-service","tag-sur","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1254653","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1254653"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1254653\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1254654"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1254653"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1254653"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1254653"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}