{"id":130469,"date":"2022-05-06T07:37:46","date_gmt":"2022-05-06T09:37:46","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-utilisent-le-service-privateloader-ppi-pour-distribuer-de-nouveaux-logiciels-malveillants-netdooka\/"},"modified":"2022-05-06T07:37:54","modified_gmt":"2022-05-06T09:37:54","slug":"les-pirates-utilisent-le-service-privateloader-ppi-pour-distribuer-de-nouveaux-logiciels-malveillants-netdooka","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-utilisent-le-service-privateloader-ppi-pour-distribuer-de-nouveaux-logiciels-malveillants-netdooka\/","title":{"rendered":"Les pirates utilisent le service PrivateLoader PPI pour distribuer de nouveaux logiciels malveillants NetDooka"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un service de malware pay-per-install (PPI) connu sous le nom de PrivateLoader a \u00e9t\u00e9 rep\u00e9r\u00e9 distribuant un framework “assez sophistiqu\u00e9” appel\u00e9 NetDooka, accordant aux attaquants un contr\u00f4le total sur les appareils infect\u00e9s.<\/p>\n

“Le framework est distribu\u00e9 via un service de paiement par installation (PPI) et contient plusieurs parties, notamment un chargeur, un dropper, un pilote de protection et un cheval de Troie d’acc\u00e8s \u00e0 distance (RAT) complet qui impl\u00e9mente son propre protocole de communication r\u00e9seau. “, Trend Micro mentionn\u00e9<\/a> dans un rapport publi\u00e9 jeudi.<\/p>\n

PrivateLoader, tel que document\u00e9 par Intel 471 en f\u00e9vrier 2022, fonctionne comme un t\u00e9l\u00e9chargeur responsable du t\u00e9l\u00e9chargement et de l’installation de logiciels malveillants suppl\u00e9mentaires sur le syst\u00e8me infect\u00e9, notamment SmokeLoader, RedLine Stealer, Vidar, Raccoon, GCleaner et Anubis<\/a>.<\/p>\n

Dot\u00e9 de techniques d’anti-analyse, PrivateLoader est \u00e9crit dans le langage de programmation C++ et serait en cours de d\u00e9veloppement actif, la famille des logiciels malveillants de t\u00e9l\u00e9chargement gagnant du terrain parmi plusieurs acteurs de la menace.<\/p>\n

Les infections de PrivateLoader se propagent g\u00e9n\u00e9ralement par le biais de logiciels pirat\u00e9s t\u00e9l\u00e9charg\u00e9s \u00e0 partir de sites Web malveillants qui sont pouss\u00e9s en haut des r\u00e9sultats de recherche via des techniques d’empoisonnement de l’optimisation des moteurs de recherche (SEO).<\/p>\n

“PrivateLoader est actuellement utilis\u00e9 pour distribuer des ransomwares, des voleurs, des banquiers et d’autres logiciels malveillants de base”, Zscaler c’est not\u00e9<\/a> La semaine derni\u00e8re. “Le chargeur continuera probablement \u00e0 \u00eatre mis \u00e0 jour avec de nouvelles fonctionnalit\u00e9s pour \u00e9chapper \u00e0 la d\u00e9tection et fournir efficacement des charges utiles de logiciels malveillants de deuxi\u00e8me \u00e9tape.”<\/p>\n

\"\"<\/div>\n

Le framework, encore en phase de d\u00e9veloppement, contient diff\u00e9rents modules : un dropper, un loader, un processus en mode noyau et un pilote de protection de fichiers, et un cheval de Troie d’acc\u00e8s \u00e0 distance qui utilise un protocole personnalis\u00e9 pour communiquer avec le command-and-control (C2 ) serveur.<\/p>\n

L’ensemble d’infections nouvellement observ\u00e9 impliquant le framework NetDooka commence par PrivateLoader agissant comme un conduit pour d\u00e9ployer un composant dropper, qui d\u00e9crypte et ex\u00e9cute ensuite un chargeur qui, \u00e0 son tour, r\u00e9cup\u00e8re un autre dropper \u00e0 partir d’un serveur distant pour installer un cheval de Troie complet comme ainsi qu’un pilote de noyau.<\/p>\n

“Le composant du pilote agit comme une protection au niveau du noyau pour le composant RAT”, ont d\u00e9clar\u00e9 les chercheurs Aliakbar Zahravi et Leandro Froes. “Il le fait en essayant d’emp\u00eacher la suppression du fichier et l’arr\u00eat du processus du composant RAT.”<\/p>\n

La porte d\u00e9rob\u00e9e, baptis\u00e9e NetDookaRAT, se distingue par l’\u00e9tendue de ses fonctionnalit\u00e9s, lui permettant d’ex\u00e9cuter des commandes sur l’appareil de la cible, d’effectuer des attaques par d\u00e9ni de service distribu\u00e9 (DDoS), d’acc\u00e9der et d’envoyer des fichiers, de consigner les frappes au clavier, de t\u00e9l\u00e9charger et d’ex\u00e9cuter d’autres charges utiles.<\/p>\n

Cela indique que les capacit\u00e9s de NetDooka lui permettent non seulement d’agir comme un point d’entr\u00e9e pour d’autres logiciels malveillants, mais peuvent \u00e9galement \u00eatre transform\u00e9s en armes pour voler des informations sensibles et former des botnets t\u00e9l\u00e9command\u00e9s.<\/p>\n

“Les services de logiciels malveillants PPI permettent aux cr\u00e9ateurs de logiciels malveillants de d\u00e9ployer facilement leurs charges utiles”, ont conclu Zahravi et Froes.<\/p>\n

“L’utilisation d’un pilote malveillant cr\u00e9e une grande surface d’attaque que les attaquants peuvent exploiter, tout en leur permettant de tirer parti d’approches telles que la protection des processus et des fichiers, le contournement des programmes antivirus et le masquage du logiciel malveillant ou de ses communications r\u00e9seau du syst\u00e8me”.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Un service de malware pay-per-install (PPI) connu sous le nom de PrivateLoader a \u00e9t\u00e9 rep\u00e9r\u00e9 distribuant un framework “assez sophistiqu\u00e9” appel\u00e9 NetDooka, accordant aux attaquants un contr\u00f4le total sur les appareils infect\u00e9s. “Le framework est distribu\u00e9 via un service de paiement par installation (PPI) et contient plusieurs parties, notamment un chargeur, un dropper, un pilote […]<\/p>\n","protected":false},"author":1,"featured_media":130470,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,28,4157,4159,4171,4170,65,4167,4589,4590,4160,61120,4588,4163,4162,4394,185,61119,61118,4172,4169,2314,10784,4166,4164],"class_list":["post-130469","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-distribuer","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-netdooka","tag-nouveaux","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-ppi","tag-privateloader","tag-securite-informatique","tag-securite-internet","tag-service","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/130469","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=130469"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/130469\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/130470"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=130469"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=130469"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=130469"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}