{"id":1254823,"date":"2024-07-26T15:35:00","date_gmt":"2024-07-26T17:35:00","guid":{"rendered":"https:\/\/teknomers.com\/fr\/crowdstrike-met-en-garde-contre-une-nouvelle-arnaque-par-phishing-ciblant-les-clients-allemands\/"},"modified":"2024-07-26T15:35:06","modified_gmt":"2024-07-26T17:35:06","slug":"crowdstrike-met-en-garde-contre-une-nouvelle-arnaque-par-phishing-ciblant-les-clients-allemands","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/crowdstrike-met-en-garde-contre-une-nouvelle-arnaque-par-phishing-ciblant-les-clients-allemands\/","title":{"rendered":"CrowdStrike met en garde contre une nouvelle arnaque par phishing ciblant les clients allemands"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Mohit Kumar<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 d&#8217;entreprise \/ S\u00e9curit\u00e9 du r\u00e9seau<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/CrowdStrike-met-en-garde-contre-une-nouvelle-arnaque-par-phishing.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>CrowdStrike alerte sur un acteur malveillant inconnu qui tente de capitaliser sur le fiasco de la mise \u00e0 jour du capteur Falcon pour distribuer des installateurs douteux ciblant les clients allemands dans le cadre d&#8217;une campagne tr\u00e8s cibl\u00e9e.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 avoir identifi\u00e9 ce qu&#8217;elle a d\u00e9crit comme une tentative de spear-phishing non attribu\u00e9e le 24 juillet 2024, distribuant un installateur CrowdStrike Crash Reporter non authentique via un site Web se faisant passer pour une entit\u00e9 allemande anonyme.<\/p>\n<p>Le site Web imposteur aurait \u00e9t\u00e9 cr\u00e9\u00e9 le 20 juillet, un jour apr\u00e8s que la mise \u00e0 jour rat\u00e9e a fait planter pr\u00e8s de 9 millions d&#8217;appareils Windows, provoquant d&#8217;importantes perturbations informatiques dans le monde entier.<\/p>\n<p>\u00ab Une fois que l&#8217;utilisateur a cliqu\u00e9 sur le bouton T\u00e9l\u00e9charger, le site Web utilise JavaScript (JS) qui se fait passer pour JQuery v3.7.1 pour t\u00e9l\u00e9charger et d\u00e9sobscurcir le programme d&#8217;installation \u00bb, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe Counter Adversary Operations de CrowdStrike. <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/malicious-inauthentic-falcon-crash-reporter-installer-spearphishing\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Le programme d&#8217;installation contient la marque CrowdStrike, la localisation allemande et un mot de passe [is] &#8220;oblig\u00e9 de continuer \u00e0 installer le logiciel malveillant.&#8221;<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, la page de spear-phishing comportait un lien de t\u00e9l\u00e9chargement vers un fichier d&#8217;archive ZIP contenant un programme d&#8217;installation InnoSetup malveillant, le code malveillant servant \u00e0 l&#8217;ex\u00e9cutable \u00e9tant inject\u00e9 dans un fichier JavaScript nomm\u00e9 \u00ab jquery-3.7.1.min.js \u00bb dans un effort apparent pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721628359_866_Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Les utilisateurs qui finissent par lancer le faux programme d&#8217;installation sont ensuite invit\u00e9s \u00e0 saisir un \u00ab\u00a0Backend-Server\u00a0\u00bb pour continuer. CrowdStrike a d\u00e9clar\u00e9 qu&#8217;il n&#8217;\u00e9tait pas en mesure de r\u00e9cup\u00e9rer la charge utile finale d\u00e9ploy\u00e9e via le programme d&#8217;installation.<\/p>\n<p>La campagne est consid\u00e9r\u00e9e comme tr\u00e8s cibl\u00e9e en raison du fait que le programme d&#8217;installation est prot\u00e9g\u00e9 par un mot de passe et n\u00e9cessite des informations qui ne sont probablement connues que des entit\u00e9s cibl\u00e9es. De plus, la pr\u00e9sence de la langue allemande sugg\u00e8re que l&#8217;activit\u00e9 est destin\u00e9e aux clients germanophones de CrowdStrike.<\/p>\n<p>\u00ab L&#8217;acteur de la menace semble \u00eatre tr\u00e8s conscient des pratiques de s\u00e9curit\u00e9 des op\u00e9rations (OPSEC), car il s&#8217;est concentr\u00e9 sur les techniques anti-forensiques au cours de cette campagne \u00bb, a d\u00e9clar\u00e9 CrowdStrike.<\/p>\n<p>&#8220;Par exemple, l&#8217;acteur a enregistr\u00e9 un sous-domaine sous le domaine informatique[.]com, emp\u00eachant l&#8217;analyse historique des d\u00e9tails d&#8217;enregistrement du domaine. De plus, le cryptage du contenu du programme d&#8217;installation et le fait d&#8217;emp\u00eacher toute activit\u00e9 ult\u00e9rieure sans mot de passe emp\u00eachent toute analyse et attribution ult\u00e9rieures.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1722015300_241_CrowdStrike-met-en-garde-contre-une-nouvelle-arnaque-par-phishing.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1722015300_241_CrowdStrike-met-en-garde-contre-une-nouvelle-arnaque-par-phishing.png\" alt=\"Gr\u00e8ve de foule\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\" title=\"Gr\u00e8ve de foule\"\/><\/a><\/div>\n<p>Ce d\u00e9veloppement intervient au milieu d&#8217;une vague d&#8217;attaques de phishing profitant du probl\u00e8me de mise \u00e0 jour de CrowdStrike pour propager des logiciels malveillants voleurs &#8211;<\/p>\n<ul>\n<li>Un domaine de phishing crowdstrike-office365[.]avec \u00e7a <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/lumma-stealer-with-cypherit-phishing-lure\/\" target=\"_blank\">h\u00f4tes<\/a> fichiers d&#8217;archive malveillants contenant un chargeur Microsoft Installer (MSI) qui ex\u00e9cute en fin de compte un voleur d&#8217;informations sur les produits de base appel\u00e9 Lumma.<\/li>\n<\/ul>\n<ul>\n<li>Un fichier ZIP (\u00ab CrowdStrike Falcon.zip \u00bb) qui contient un voleur d&#8217;informations bas\u00e9 sur Python suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/threat-actor-distributes-python-based-information-stealer\/\" target=\"_blank\">Connexion<\/a> qui collecte des informations syst\u00e8me, des adresses IP externes et des donn\u00e9es provenant de divers navigateurs Web et les exfiltre vers des comptes SMTP r\u00e9pertori\u00e9s sur une URL de destination Pastebin.<\/li>\n<\/ul>\n<p>Jeudi, le PDG de CrowdStrike, George Kurtz, a d\u00e9clar\u00e9 que 97 % des appareils Windows mis hors ligne lors de la panne informatique mondiale sont d\u00e9sormais op\u00e9rationnels.<\/p>\n<p>\u00ab Chez CrowdStrike, notre mission est de gagner votre confiance en prot\u00e9geant vos op\u00e9rations. Je suis profond\u00e9ment d\u00e9sol\u00e9 pour la perturbation caus\u00e9e par cette panne et je pr\u00e9sente mes excuses personnelles \u00e0 toutes les personnes concern\u00e9es \u00bb, a d\u00e9clar\u00e9 Kurtz. <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/posts\/georgekurtz_falcon-content-update-remediation-and-guidance-activity-7222323091652108289-19Xv\" target=\"_blank\">dit<\/a>\u00ab Bien que je ne puisse pas promettre la perfection, je peux promettre une r\u00e9ponse cibl\u00e9e, efficace et avec un sentiment d&#8217;urgence. \u00bb<\/p>\n<p>Auparavant, le responsable de la s\u00e9curit\u00e9 de l&#8217;entreprise, Shawn Henry, s&#8217;\u00e9tait excus\u00e9 de ne pas avoir \u00ab prot\u00e9g\u00e9 les bonnes personnes des mauvaises choses \u00bb et d&#8217;avoir \u00ab laiss\u00e9 tomber les personnes m\u00eames que nous nous \u00e9tions engag\u00e9s \u00e0 prot\u00e9ger \u00bb.<\/p>\n<p>\u00ab La confiance que nous avions accumul\u00e9e au fil des ans s&#8217;est \u00e9vapor\u00e9e en quelques heures, et ce fut un coup dur \u00bb, a d\u00e9clar\u00e9 Henry. <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/posts\/shawn-henry-372bb74b_on-friday-we-failed-you-and-for-that-im-activity-7220983915421806592-VhPP\" target=\"_blank\">reconnu<\/a>\u00ab Nous nous engageons \u00e0 regagner votre confiance en vous offrant la protection dont vous avez besoin pour perturber les adversaires qui vous ciblent. Malgr\u00e9 ce revers, la mission perdure. \u00bb<\/p>\n<p>Dans le m\u00eame temps, l&#8217;analyse par Bitsight des mod\u00e8les de trafic pr\u00e9sent\u00e9s par les machines CrowdStrike dans les organisations du monde entier a r\u00e9v\u00e9l\u00e9 deux points de donn\u00e9es \u00ab int\u00e9ressants \u00bb qui, selon elle, m\u00e9ritent une enqu\u00eate plus approfondie.<\/p>\n<p>\u00ab Tout d&#8217;abord, le 16 juillet vers 22h00, il y a eu un \u00e9norme pic de trafic, suivi d&#8217;une baisse claire et significative du trafic sortant des organisations vers CrowdStrike \u00bb, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Pedro Umbelino. <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitsight.com\/blog\/crowdstrike-timeline-mystery\" target=\"_blank\">dit<\/a>\u00ab Deuxi\u00e8mement, il y a eu une baisse significative, entre 15 et 20 %, du nombre d&#8217;adresses IP uniques et d&#8217;organisations connect\u00e9es aux serveurs CrowdStrike Falcon, apr\u00e8s l&#8217;aube du 19e si\u00e8cle. \u00bb<\/p>\n<p>\u00ab Bien que nous ne puissions pas d\u00e9terminer \u00e0 quoi peut \u00eatre attribu\u00e9e la cause profonde du changement dans les sch\u00e9mas de trafic du 16, cela justifie la question fondamentale suivante : \u00ab Existe-t-il une corr\u00e9lation entre les observations du 16 et la panne du 19 ? \u00bb \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/crowdstrike-warns-of-new-phishing-scam.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 juillet 2024\ue804Mohit KumarS\u00e9curit\u00e9 d&#8217;entreprise \/ S\u00e9curit\u00e9 du r\u00e9seau CrowdStrike alerte sur un acteur malveillant inconnu qui tente de capitaliser sur le fiasco de la mise \u00e0 jour du capteur Falcon pour distribuer des installateurs douteux ciblant les clients allemands dans le cadre d&#8217;une campagne tr\u00e8s cibl\u00e9e. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 avoir identifi\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1254824,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,6010,3931,4175,8004,4168,841,233721,4165,525,65,238584,200271,4955,238334,98340,197,164,8153,238617,4172,4169,196,4166,238583],"class_list":["post-1254823","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-allemands","tag-arnaque","tag-ciblant","tag-clients","tag-comment-pirater","tag-contre","tag-crowdstrike","tag-cyber-attaques","tag-garde","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-met","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-nouvelle","tag-par","tag-phishing","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1254823","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1254823"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1254823\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1254824"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1254823"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1254823"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1254823"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}