{"id":1283594,"date":"2024-08-16T18:48:06","date_gmt":"2024-08-16T20:48:06","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-russes-utilisent-de-faux-sites-de-marques-pour-diffuser-les-logiciels-malveillants-danabot-et-stealc\/"},"modified":"2024-08-16T18:48:10","modified_gmt":"2024-08-16T20:48:10","slug":"des-pirates-informatiques-russes-utilisent-de-faux-sites-de-marques-pour-diffuser-les-logiciels-malveillants-danabot-et-stealc","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-russes-utilisent-de-faux-sites-de-marques-pour-diffuser-les-logiciels-malveillants-danabot-et-stealc\/","title":{"rendered":"Des pirates informatiques russes utilisent de faux sites de marques pour diffuser les logiciels malveillants DanaBot et StealC"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Logiciels malveillants \/ vol de donn\u00e9es<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Des-pirates-informatiques-russes-utilisent-de-faux-sites-de-marques.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re une campagne sophistiqu\u00e9e de vol d&#8217;informations qui se fait passer pour des marques l\u00e9gitimes pour distribuer des logiciels malveillants comme DanaBot et StealC.<\/p>\n<p>Le groupe d&#8217;activit\u00e9s, orchestr\u00e9 par des cybercriminels russophones et collectivement baptis\u00e9 Tusk, engloberait plusieurs sous-campagnes, exploitant la r\u00e9putation des plateformes pour inciter les utilisateurs \u00e0 t\u00e9l\u00e9charger le malware en utilisant de faux sites et comptes de r\u00e9seaux sociaux.<\/p>\n<p>\u00ab Toutes les sous-campagnes actives h\u00e9bergent le t\u00e9l\u00e9chargeur initial sur Dropbox \u00bb, ont d\u00e9clar\u00e9 les chercheurs de Kaspersky Elsayed Elrefaei et AbdulRhman Alfaifi <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/tusk-infostealers-campaign\/113367\/\" target=\"_blank\">dit<\/a>\u00ab Ce t\u00e9l\u00e9chargeur est charg\u00e9 de fournir des \u00e9chantillons de programmes malveillants suppl\u00e9mentaires \u00e0 la machine de la victime, qui sont principalement des voleurs d&#8217;informations (DanaBot et StealC) et des clippers. \u00bb<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-b-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Microsoft-revele-quatre-failles-OpenVPN-pouvant-conduire-a-des-RCE.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Sur les 19 sous-campagnes identifi\u00e9es \u00e0 ce jour, trois seraient actuellement actives. Le nom \u00ab Tusk \u00bb fait r\u00e9f\u00e9rence au mot \u00ab Mammoth \u00bb utilis\u00e9 par les acteurs de la menace dans les messages de journal associ\u00e9s au t\u00e9l\u00e9chargeur initial. Il convient de noter que \u00ab mammoth \u00bb est un terme d&#8217;argot souvent utilis\u00e9 par les groupes de cybercriminalit\u00e9 russes pour d\u00e9signer les victimes.<\/p>\n<p>Ces campagnes sont \u00e9galement connues pour employer des tactiques de phishing pour tromper les victimes et les amener \u00e0 divulguer leurs informations personnelles et financi\u00e8res, qui sont ensuite vendues sur le dark web ou utilis\u00e9es pour obtenir un acc\u00e8s non autoris\u00e9 \u00e0 leurs comptes de jeu et \u00e0 leurs portefeuilles de crypto-monnaie.<\/p>\n<p>La premi\u00e8re des trois sous-campagnes, connue sous le nom de TidyMe, imite peerme[.]io avec un site similaire h\u00e9berg\u00e9 sur tidyme[.]io (ainsi que tidymeapp[.]io et tidyme[.](application) qui sollicite un clic pour t\u00e9l\u00e9charger un programme malveillant pour les syst\u00e8mes Windows et macOS diffus\u00e9 depuis Dropbox.<\/p>\n<p>Le t\u00e9l\u00e9chargeur est une application Electron qui, une fois lanc\u00e9e, invite la victime \u00e0 saisir le CAPTCHA affich\u00e9, apr\u00e8s quoi l&#8217;interface principale de l&#8217;application s&#8217;affiche, tandis que deux fichiers malveillants suppl\u00e9mentaires sont r\u00e9cup\u00e9r\u00e9s et ex\u00e9cut\u00e9s secr\u00e8tement en arri\u00e8re-plan.<\/p>\n<p>Les deux charges utiles observ\u00e9es dans la campagne sont des artefacts Hijack Loader, qui lancent en fin de compte une variante du malware voleur StealC avec des capacit\u00e9s permettant de r\u00e9colter un large \u00e9ventail d&#8217;informations.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723841285_202_Des-pirates-informatiques-russes-utilisent-de-faux-sites-de-marques.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723841285_202_Des-pirates-informatiques-russes-utilisent-de-faux-sites-de-marques.png\" alt=\"Logiciels malveillants DanaBot et StealC\" border=\"0\" data-original-height=\"3235\" data-original-width=\"4615\" title=\"Logiciels malveillants DanaBot et StealC\"\/><\/a><\/div>\n<p>RuneOnlineWorld (\u00ab monde en ligne de Rune \u00bb)[.]&#8221;io&#8221;), la deuxi\u00e8me sous-campagne, implique l&#8217;utilisation d&#8217;un faux site Web simulant un jeu en ligne massivement multijoueur (MMO) nomm\u00e9 Rise Online World pour distribuer un t\u00e9l\u00e9chargeur similaire qui ouvre la voie \u00e0 DanaBot et StealC sur des h\u00f4tes compromis.<\/p>\n<p>\u00c9galement distribu\u00e9 via Hijack Loader dans cette campagne, un malware Clipper bas\u00e9 sur Go est con\u00e7u pour surveiller le contenu du presse-papiers et remplacer les adresses de portefeuille copi\u00e9es par la victime par un portefeuille Bitcoin contr\u00f4l\u00e9 par l&#8217;attaquant pour effectuer des transactions frauduleuses.<\/p>\n<p>Pour compl\u00e9ter les campagnes actives, Voico se fait passer pour un projet de traducteur IA appel\u00e9 YOUS (yous[.]ai) avec un homologue malveillant surnomm\u00e9 voico[.]io afin de diffuser un t\u00e9l\u00e9chargeur initial qui, lors de l&#8217;installation, demande \u00e0 la victime de remplir un formulaire d&#8217;inscription contenant ses identifiants puis enregistre les informations sur la console.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723195626_70_Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Les charges utiles finales pr\u00e9sentent un comportement similaire \u00e0 celui de la deuxi\u00e8me sous-campagne, la seule distinction \u00e9tant que le malware StealC utilis\u00e9 dans ce cas communique avec un serveur de commande et de contr\u00f4le (C2) diff\u00e9rent.<\/p>\n<p>&#8220;Les campagnes [&#8230;] \u00ab Ces r\u00e9sultats d\u00e9montrent la menace persistante et \u00e9volutive que repr\u00e9sentent les cybercriminels, qui savent imiter des projets l\u00e9gitimes pour tromper leurs victimes \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Le recours aux techniques d&#8217;ing\u00e9nierie sociale telles que le phishing, associ\u00e9 \u00e0 des m\u00e9canismes de diffusion de programmes malveillants \u00e0 plusieurs \u00e9tapes, met en \u00e9vidence les capacit\u00e9s avanc\u00e9es des acteurs de la menace impliqu\u00e9s. \u00bb<\/p>\n<p>\u00ab En exploitant la confiance que les utilisateurs accordent \u00e0 des plateformes connues, ces attaquants d\u00e9ploient efficacement une gamme de programmes malveillants con\u00e7us pour voler des informations sensibles, compromettre les syst\u00e8mes et, en fin de compte, r\u00e9aliser des gains financiers. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/russian-hackers-using-fake-brand-sites.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 ao\u00fbt 2024\ue804Ravie LakshmananLogiciels malveillants \/ vol de donn\u00e9es Des chercheurs en cybers\u00e9curit\u00e9 ont mis en lumi\u00e8re une campagne sophistiqu\u00e9e de vol d&#8217;informations qui se fait passer pour des marques l\u00e9gitimes pour distribuer des logiciels malveillants comme DanaBot et StealC. Le groupe d&#8217;activit\u00e9s, orchestr\u00e9 par des cybercriminels russophones et collectivement baptis\u00e9 Tusk, engloberait plusieurs sous-campagnes, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1283595,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,4168,4158,6124,248106,133,773,5971,8154,65,238584,200271,4589,4590,5810,238334,98340,4394,185,248,238617,246491,4172,2783,147361,10784,4166,238583],"class_list":["post-1283594","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-comment-pirater","tag-cyber-actualites","tag-cyberattaques","tag-danabot","tag-des","tag-diffuser","tag-faux","tag-informatiques","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-logiciels","tag-malveillants","tag-marques","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-pirates","tag-pour","tag-russes","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-sites","tag-stealc","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1283594","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1283594"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1283594\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1283595"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1283594"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1283594"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1283594"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}