{"id":1546194,"date":"2025-02-19T10:58:12","date_gmt":"2025-02-19T12:58:12","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouvelle-variante-snake-keylogger-tente-des-scripts-autoit-pour-echapper-a-la-detection\/"},"modified":"2025-02-19T10:58:17","modified_gmt":"2025-02-19T12:58:17","slug":"nouvelle-variante-snake-keylogger-tente-des-scripts-autoit-pour-echapper-a-la-detection","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouvelle-variante-snake-keylogger-tente-des-scripts-autoit-pour-echapper-a-la-detection\/","title":{"rendered":"Nouvelle variante Snake Keylogger Tente des scripts AUTOIT pour \u00e9chapper \u00e0 la d\u00e9tection"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">The Hacker News<\/span><\/span><span class=\"p-tags\">Intelligence malveillante \/ menace<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Nouvelle-variante-Snake-Keylogger-Tente-des-scripts-AUTOIT-pour-echapper.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Une nouvelle variante du malware de Keylogger Snake est utilis\u00e9e pour cibler activement les utilisateurs de Windows situ\u00e9s en Chine, en Turquie, en Indon\u00e9sie, en Ta\u00efwan et en Espagne.<\/p>\n<p>Fortinet Fortiguard Labs a d\u00e9clar\u00e9 que la nouvelle version du malware \u00e9tait \u00e0 derri\u00e8re plus de 280 millions de tentatives d&#8217;infection bloqu\u00e9es dans le monde depuis le d\u00e9but de l&#8217;ann\u00e9e.<\/p>\n<p>&#8220;G\u00e9n\u00e9ralement livr\u00e9 via des e-mails de phishing contenant des pi\u00e8ces jointes malveillantes ou des liens, Snake Keylogger est con\u00e7u pour voler des informations sensibles \u00e0 des navigateurs Web populaires comme Chrome, Edge et Firefox en enregistrant les touches, en capturant les informations d&#8217;identification et en surveillant le presse-papiers&#8221;, a d\u00e9clar\u00e9 Kevin Su. Kevin Su. Kevin Su. <a rel=\"noopener nofollow\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/fortisandbox-detects-evolving-snake-keylogger-variant\" target=\"_blank\">dit<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ses autres fonctionnalit\u00e9s lui permettent d&#8217;exfiltrer les informations vol\u00e9es \u00e0 un serveur contr\u00f4l\u00e9 par l&#8217;attaquant \u00e0 l&#8217;aide du protocole de transfert de courrier simple (SMTP) et des bots t\u00e9l\u00e9grammes, permettant aux acteurs de la menace d&#8217;acc\u00e9der aux informations d&#8217;identification vol\u00e9es et d&#8217;autres donn\u00e9es sensibles. &#8220;<\/p>\n<p>Ce qui est notable dans le dernier ensemble d&#8217;attaques, c&#8217;est qu&#8217;il utilise le langage de script AutOIT pour livrer et ex\u00e9cuter la charge utile principale. En d&#8217;autres termes, l&#8217;ex\u00e9cutable contenant les logiciels malveillants est un binaire compil\u00e9 automatiquement, lui permettant ainsi de contourner les m\u00e9canismes de d\u00e9tection traditionnels.<\/p>\n<p>&#8220;L&#8217;utilisation d&#8217;AutOIT complique non seulement l&#8217;analyse statique en int\u00e9grant la charge utile dans le script compil\u00e9, mais permet \u00e9galement un comportement dynamique qui imite les outils d&#8217;automatisation b\u00e9nin&#8221;, a ajout\u00e9 SU.<\/p>\n<p>Une fois lanc\u00e9, Snake Keylogger est con\u00e7u pour d\u00e9poser une copie de lui-m\u00eame dans un fichier nomm\u00e9 &#8220;Ageless.exe&#8221; dans le dossier &#8220;% local_appdata%  supergroup&#8221;. Il continue \u00e9galement \u00e0 supprimer un autre fichier appel\u00e9 &#8220;Ageless.vbs&#8221; dans le dossier de d\u00e9marrage Windows de sorte que le script Visual Basic (VBS) lance automatiquement le malware chaque fois que le syst\u00e8me est red\u00e9marr\u00e9.<\/p>\n<p>Gr\u00e2ce \u00e0 ce m\u00e9canisme de persistance, Snake Keylogger est capable de maintenir l&#8217;acc\u00e8s au syst\u00e8me compromis et de reprendre ses activit\u00e9s malveillantes m\u00eame si le processus associ\u00e9 est termin\u00e9.<\/p>\n<p>La cha\u00eene d&#8217;attaque culmine avec l&#8217;injection de la charge utile principale dans un processus .NET l\u00e9gitime tel que &#8220;Regsvcs.exe&#8221; en utilisant une technique appel\u00e9e proc\u00e9d\u00e9 creux, permettant au malware de cacher sa pr\u00e9sence dans un processus de confiance et de contourner la d\u00e9tection.<\/p>\n<p>Snake Keylogger s&#8217;est \u00e9galement av\u00e9r\u00e9 enregistrer des touches et utiliser des sites Web comme Checkip.Dyndns[.]org pour r\u00e9cup\u00e9rer l&#8217;adresse IP et la g\u00e9olocalisation de la victime.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739969891_387_Nouvelle-variante-Snake-Keylogger-Tente-des-scripts-AUTOIT-pour-echapper.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1739969891_387_Nouvelle-variante-Snake-Keylogger-Tente-des-scripts-AUTOIT-pour-echapper.png\" alt=\"Variante Snake Keylogger\" border=\"0\" data-original-height=\"502\" data-original-width=\"836\" title=\"Variante Snake Keylogger\"\/><\/a><\/div>\n<p>&#8220;Pour capturer des touches, il exploite l&#8217;API SetWindowshooKex avec le premier param\u00e8tre d\u00e9fini sur WH_KEYBOARD_LL (Flag 13), un crochet de clavier de bas niveau qui surveille les touches&#8221;, a d\u00e9clar\u00e9 Su. &#8220;Cette technique permet aux logiciels malveillants de enregistrer les entr\u00e9es sensibles telles que les informations d&#8217;identification bancaires.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient alors que CloudSek a d\u00e9taill\u00e9 une campagne qui exploite l&#8217;infrastructure compromise associ\u00e9e aux \u00e9tablissements d&#8217;enseignement pour distribuer des fichiers LNK malveillants d\u00e9guis\u00e9s en documents PDF pour d\u00e9ployer finalement le malware Lumma Stealer.<\/p>\n<p>L&#8217;activit\u00e9, ciblant les industries comme la finance, les soins de sant\u00e9, la technologie et les m\u00e9dias, est une s\u00e9quence d&#8217;attaque en plusieurs \u00e9tapes qui se traduit par le vol de mots de passe, de donn\u00e9es de navigateur et de portefeuilles de crypto-monnaie.<\/p>\n<p>&#8220;Le vecteur d&#8217;infection primaire de la campagne implique d&#8217;utiliser des fichiers LNK (raccourci) malveillants qui sont fabriqu\u00e9s pour appara\u00eetre comme des documents PDF l\u00e9gitimes&#8221;, cherche \u00e0 \u00eatre en s\u00e9curit\u00e9 Mayank Sahariya <a rel=\"noopener nofollow\" href=\"https:\/\/www.cloudsek.com\/blog\/lumma-stealer-chronicles-pdf-themed-campaign-using-compromised-educational-institutions-infrastructure\" target=\"_blank\">dit<\/a>l&#8217;ajout des fichiers est h\u00e9berg\u00e9 sur un serveur WebDAV que les visiteurs sans m\u00e9fiance sont redirig\u00e9es apr\u00e8s les sites visitants.<\/p>\n<p>Le fichier LNK, pour sa part, ex\u00e9cute une commande PowerShell pour se connecter \u00e0 un serveur distant et r\u00e9cup\u00e9rer le malware malveillant, un code JavaScript obscurci qui abrite un autre PowerShell qui t\u00e9l\u00e9charge Lumma Stealer du m\u00eame serveur et l&#8217;ex\u00e9cute.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ces derni\u00e8res semaines, des logiciels malveillants de voleur ont \u00e9galement \u00e9t\u00e9 observ\u00e9s distribu\u00e9s via <a rel=\"noopener nofollow\" href=\"https:\/\/www.virustotal.com\/gui\/file\/944c7070cb77d937c9bae8c30a367b1c15b2f8951329cdb64d4b02a5e145ea44\/details\" target=\"_blank\">Fichiers JavaScript obscurcis<\/a> Pour r\u00e9colter un large \u00e9ventail de donn\u00e9es sensibles, des syst\u00e8mes Windows compromis et l&#8217;exfiltrer \u00e0 un bot t\u00e9l\u00e9gramme exploit\u00e9 par l&#8217;attaquant.<\/p>\n<p>&#8220;L&#8217;attaque commence par un fichier JavaScript obscurci, qui r\u00e9cup\u00e8re les cha\u00eenes cod\u00e9es d&#8217;un service open source pour ex\u00e9cuter un script PowerShell&#8221;, Cyfirma <a rel=\"noopener nofollow\" href=\"https:\/\/www.cyfirma.com\/research\/javascript-to-command-and-control-c2-server-malware\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Ce script t\u00e9l\u00e9charge ensuite une image JPG et un fichier texte \u00e0 partir d&#8217;une adresse IP et d&#8217;un raccourcissement d&#8217;URL, qui contiennent tous deux des ex\u00e9cutables MZ DOS malveillants int\u00e9gr\u00e9s \u00e0 l&#8217;aide de techniques st\u00e9ganographiques. Une fois ex\u00e9cut\u00e9es, ces charges utiles d\u00e9ploient des logiciels malveillants de voleur.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? <span class=\"\">Cet article est un article contribu\u00e9 de l&#8217;un de nos pr\u00e9cieux partenaires.<\/span> Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/new-snake-keylogger-variant-leverages.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 f\u00e9vrier 2025\ue804The Hacker NewsIntelligence malveillante \/ menace Une nouvelle variante du malware de Keylogger Snake est utilis\u00e9e pour cibler activement les utilisateurs de Windows situ\u00e9s en Chine, en Turquie, en Indon\u00e9sie, en Ta\u00efwan et en Espagne. Fortinet Fortiguard Labs a d\u00e9clar\u00e9 que la nouvelle version du malware \u00e9tait \u00e0 derri\u00e8re plus de 280 millions [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1546195,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,281456,4168,79002,274264,4161,274263,6124,133,41161,21314,273102,274267,4160,197,185,54464,238617,246491,4172,6352,1978,79016,25900,4166,4164],"class_list":["post-1546194","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-autoit","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-detection","tag-echapper","tag-keylogger","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-pour","tag-scripts","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-snake","tag-tente","tag-the-hacker-news","tag-variante","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1546194","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1546194"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1546194\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1546195"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1546194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1546194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1546194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}