{"id":1257844,"date":"2024-07-29T05:01:57","date_gmt":"2024-07-29T07:01:57","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-cheval-de-troie-rat-gh0st-cible-les-utilisateurs-chinois-de-windows-via-un-faux-site-chrome\/"},"modified":"2024-07-29T05:02:03","modified_gmt":"2024-07-29T07:02:03","slug":"le-cheval-de-troie-rat-gh0st-cible-les-utilisateurs-chinois-de-windows-via-un-faux-site-chrome","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-cheval-de-troie-rat-gh0st-cible-les-utilisateurs-chinois-de-windows-via-un-faux-site-chrome\/","title":{"rendered":"Le cheval de Troie RAT Gh0st cible les utilisateurs chinois de Windows via un faux site Chrome"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cybers\u00e9curit\u00e9 \/ Cyberespionnage<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Le-cheval-de-Troie-RAT-Gh0st-cible-les-utilisateurs-chinois.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Le cheval de Troie d&#8217;acc\u00e8s \u00e0 distance connu sous le nom de Gh0st RAT a \u00e9t\u00e9 observ\u00e9 en train d&#8217;\u00eatre diffus\u00e9 par un \u00ab dropper \u00e9vasif \u00bb appel\u00e9 Gh0stGambit dans le cadre d&#8217;un syst\u00e8me de t\u00e9l\u00e9chargement furtif ciblant les utilisateurs Windows parlant chinois.<\/p>\n<p>Ces infections proviennent d&#8217;un faux site Web (\u00ab chrome-web[.]com&#8221;) qui diffuse des packages d&#8217;installation malveillants se faisant passer pour le navigateur Chrome de Google, ce qui indique que les utilisateurs qui recherchent le logiciel sur le Web sont cibl\u00e9s.<\/p>\n<p>Gh0st RAT est un malware de longue date observ\u00e9 dans la nature depuis 2008, se manifestant sous la forme de diff\u00e9rentes variantes au fil des ans dans des campagnes principalement orchestr\u00e9es par des groupes de cyberespionnage li\u00e9s \u00e0 la Chine.<\/p>\n<p>Certaines it\u00e9rations du cheval de Troie ont \u00e9galement \u00e9t\u00e9 d\u00e9ploy\u00e9es pr\u00e9c\u00e9demment en infiltrant des instances de serveur MS SQL mal s\u00e9curis\u00e9es, l&#8217;utilisant comme conduit pour installer le rootkit open source Hidden.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721628359_866_Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Selon la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 eSentire, qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/a-dropper-for-deploying-gh0st-rat\" target=\"_blank\">d\u00e9couvert<\/a> La derni\u00e8re activit\u00e9, le ciblage des utilisateurs parlant chinois, est bas\u00e9e sur \u00ab l&#8217;utilisation de leurres Web en langue chinoise et d&#8217;applications chinoises cibl\u00e9es pour le vol de donn\u00e9es et l&#8217;\u00e9vasion de la d\u00e9fense par les logiciels malveillants \u00bb.<\/p>\n<p>Le programme d&#8217;installation MSI t\u00e9l\u00e9charg\u00e9 \u00e0 partir du faux site Web contient deux fichiers, un ex\u00e9cutable d&#8217;installation Chrome l\u00e9gitime et un programme d&#8217;installation malveillant (\u00ab WindowsProgram.msi \u00bb), ce dernier \u00e9tant utilis\u00e9 pour lancer le shellcode responsable du chargement de Gh0stGambit.<\/p>\n<p>Le dropper v\u00e9rifie \u00e0 son tour la pr\u00e9sence d&#8217;un logiciel de s\u00e9curit\u00e9 (par exemple, 360 Safe Guard et Microsoft Defender Antivirus) avant d&#8217;\u00e9tablir le contact avec un serveur de commande et de contr\u00f4le (C2) afin de r\u00e9cup\u00e9rer Gh0st RAT.<\/p>\n<p>\u00ab Gh0st RAT est \u00e9crit en C++ et poss\u00e8de de nombreuses fonctionnalit\u00e9s, notamment la terminaison des processus, la suppression de fichiers, la capture audio et de captures d&#8217;\u00e9cran, l&#8217;ex\u00e9cution de commandes \u00e0 distance, l&#8217;enregistrement des frappes, l&#8217;exfiltration de donn\u00e9es, le masquage du registre, des fichiers et des r\u00e9pertoires via les capacit\u00e9s du rootkit, et bien d&#8217;autres encore \u00bb, a d\u00e9clar\u00e9 eSentire.<\/p>\n<p>Il est \u00e9galement capable de supprimer Mimikatz, d&#8217;activer RDP sur les h\u00f4tes compromis, d&#8217;acc\u00e9der aux identifiants de compte associ\u00e9s \u00e0 Tencent QQ, d&#8217;effacer les journaux d&#8217;\u00e9v\u00e9nements Windows et d&#8217;effacer les donn\u00e9es de 360 \u200b\u200bSecure Browser, QQ Browser et Sogou Explorer.<\/p>\n<p>La soci\u00e9t\u00e9 canadienne a d\u00e9clar\u00e9 que les parts d&#8217;artefacts se chevauchent avec une variante de Gh0st RAT suivie par l&#8217;AhnLab Security Intelligence Center (ASEC) sous le surnom de HiddenGh0st.<\/p>\n<p>\u00ab Gh0st RAT a \u00e9t\u00e9 largement utilis\u00e9 et modifi\u00e9 par des groupes APT et criminels au cours des derni\u00e8res ann\u00e9es \u00bb, a d\u00e9clar\u00e9 eSentire. \u00ab Les r\u00e9centes d\u00e9couvertes mettent en \u00e9vidence la diffusion de cette menace via des t\u00e9l\u00e9chargements furtifs, incitant les utilisateurs \u00e0 t\u00e9l\u00e9charger un programme d&#8217;installation Chrome malveillant \u00e0 partir d&#8217;un site Web trompeur. \u00bb<\/p>\n<p>\u00ab Le succ\u00e8s continu des t\u00e9l\u00e9chargements intempestifs renforce la n\u00e9cessit\u00e9 de programmes continus de formation et de sensibilisation \u00e0 la s\u00e9curit\u00e9. \u00bb<\/p>\n<p>Cette \u00e9volution intervient alors que Symantec, propri\u00e9t\u00e9 de Broadcom, a d\u00e9clar\u00e9 avoir observ\u00e9 une augmentation des campagnes de phishing exploitant probablement des mod\u00e8les de langage volumineux (LLM) pour g\u00e9n\u00e9rer du code PowerShell et HTML malveillant utilis\u00e9 pour t\u00e9l\u00e9charger plusieurs chargeurs et voleurs.<\/p>\n<p>Les e-mails contenaient \u00ab du code utilis\u00e9 pour t\u00e9l\u00e9charger diverses charges utiles, notamment Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot et Dunihi (H-Worm) \u00bb, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Nguyen Hoang Giang et Yi Helen Zhang. <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/threat-intelligence\/malware-ai-llm\" target=\"_blank\">dit<\/a>\u00ab L&#8217;analyse des scripts utilis\u00e9s pour diffuser les programmes malveillants lors de ces attaques sugg\u00e8re qu&#8217;ils ont \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9s \u00e0 l&#8217;aide de LLM. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/gh0st-rat-trojan-targets-chinese.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 juillet 2024\ue804R\u00e9dactionCybers\u00e9curit\u00e9 \/ Cyberespionnage Le cheval de Troie d&#8217;acc\u00e8s \u00e0 distance connu sous le nom de Gh0st RAT a \u00e9t\u00e9 observ\u00e9 en train d&#8217;\u00eatre diffus\u00e9 par un \u00ab dropper \u00e9vasif \u00bb appel\u00e9 Gh0stGambit dans le cadre d&#8217;un syst\u00e8me de t\u00e9l\u00e9chargement furtif ciblant les utilisateurs Windows parlant chinois. Ces infections proviennent d&#8217;un faux site Web [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1257845,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,7968,5663,16757,7087,4168,4158,4165,5971,205383,65,238584,200271,238334,98340,46743,238617,4172,4169,2648,8915,7529,4166,238583,45020],"class_list":["post-1257844","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-cheval","tag-chinois","tag-chrome","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-faux","tag-gh0st","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-rat","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-site","tag-troie","tag-utilisateurs","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1257844","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1257844"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1257844\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1257845"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1257844"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1257844"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1257844"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}