{"id":1548188,"date":"2025-02-20T17:37:00","date_gmt":"2025-02-20T19:37:00","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-cybercriminels-utilisent-un-jarsigner-eclipse-pour-deployer-des-logiciels-malveillants-xloader-via-des-archives-zip\/"},"modified":"2025-02-20T17:37:05","modified_gmt":"2025-02-20T19:37:05","slug":"les-cybercriminels-utilisent-un-jarsigner-eclipse-pour-deployer-des-logiciels-malveillants-xloader-via-des-archives-zip","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-cybercriminels-utilisent-un-jarsigner-eclipse-pour-deployer-des-logiciels-malveillants-xloader-via-des-archives-zip\/","title":{"rendered":"Les cybercriminels utilisent un jarsigner Eclipse pour d\u00e9ployer des logiciels malveillants Xloader via des archives Zip"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">20 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybercriminalit\u00e9 \/ malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Les-cybercriminels-utilisent-un-jarsigner-Eclipse-pour-deployer-des-logiciels.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Une campagne de logiciels malveillants distribuant le logiciel malveillant Xloader a \u00e9t\u00e9 observ\u00e9 \u00e0 l&#8217;aide du <a rel=\"noopener nofollow\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Technique de chargement lat\u00e9rale DLL<\/a> En utilisant une application l\u00e9gitime associ\u00e9e \u00e0 la Fondation Eclipse.<\/p>\n<p>&#8220;L&#8217;application l\u00e9gitime utilis\u00e9e dans l&#8217;attaque, Jarsigner, est un fichier cr\u00e9\u00e9 lors de l&#8217;installation du package IDE distribu\u00e9 par la Fondation Eclipse&#8221;, le Ahnlab Security Intelligence Center (ASEC) <a rel=\"noopener nofollow\" href=\"https:\/\/asec.ahnlab.com\/en\/84574\/\" target=\"_blank\">dit<\/a>. &#8220;Il s&#8217;agit d&#8217;un outil pour signer des fichiers JAR (Java Archive).&#8221;<\/p>\n<p>La soci\u00e9t\u00e9 sud-cor\u00e9enne de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que les logiciels malveillants se sont propag\u00e9s sous la forme d&#8217;une archive zip comprim\u00e9e qui comprend l&#8217;ex\u00e9cutable l\u00e9gitime ainsi que les DLL qui sont mis \u00e0 c\u00f4t\u00e9 pour lancer le malware &#8211;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Documents2012.exe, une version renomm\u00e9e du Jarsigner.exe binaire l\u00e9gitime JLI.dll, un fichier DLL qui est modifi\u00e9 par l&#8217;acteur de menace pour d\u00e9crypter et injecter CONCRT140E.DLL CONCRT140E.DLL, LA CONCROTURE PUDE XLOADER<\/p>\n<p>La cha\u00eene d&#8217;attaque traverse la phase malveillante lorsque &#8220;Documents2012.Exe&#8221; est ex\u00e9cut\u00e9, d\u00e9clenchant l&#8217;ex\u00e9cution de la biblioth\u00e8que falsifi\u00e9e &#8220;Jli.dll&#8221; pour charger le malware Xloader.<\/p>\n<p>&#8220;Le fichier CONCRT140E.DLL distribu\u00e9 est une charge utile crypt\u00e9e qui est d\u00e9crypt\u00e9e pendant le processus d&#8217;attaque et inject\u00e9e dans le fichier l\u00e9gitime aspnet_wp.exe pour l&#8217;ex\u00e9cution&#8221;, a d\u00e9clar\u00e9 ASEC.<\/p>\n<p>&#8220;Les logiciels malveillants inject\u00e9s, Xloader, volent des informations sensibles telles que les informations sur PC et le navigateur de l&#8217;utilisateur, et effectue diverses activit\u00e9s telles que le t\u00e9l\u00e9chargement de logiciels malveillants suppl\u00e9mentaires.&#8221;<\/p>\n<p>Successeur du Formbook malware, Xloader a \u00e9t\u00e9 d\u00e9tect\u00e9 pour la premi\u00e8re fois dans la nature en 2020. Il est disponible \u00e0 la vente \u00e0 d&#8217;autres acteurs criminels dans le cadre d&#8217;un mod\u00e8le de logiciel malveillant en tant que service (MAAS). En ao\u00fbt 2023, une version macOS du voleur d&#8217;informations et de Keylogger a \u00e9t\u00e9 d\u00e9couverte en imitant Microsoft Office.<\/p>\n<p>&#8220;Les versions Xloader 6 et 7 incluent des couches d&#8217;obscurcissement et de chiffrement suppl\u00e9mentaires destin\u00e9es \u00e0 prot\u00e9ger le code critique et les informations pour vaincre la d\u00e9tection bas\u00e9e sur la signature et compliquer les efforts d&#8217;ing\u00e9nierie inverse&#8221;, Zscaler ThreatLabz <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/technical-analysis-xloader-versions-6-and-7-part-1\" target=\"_blank\">dit<\/a> Dans un rapport en deux parties publi\u00e9 ce mois-ci.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740080219_683_Les-cybercriminels-utilisent-un-jarsigner-Eclipse-pour-deployer-des-logiciels.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740080219_683_Les-cybercriminels-utilisent-un-jarsigner-Eclipse-pour-deployer-des-logiciels.png\" alt=\"Malware via des archives zip\" border=\"0\" data-original-height=\"575\" data-original-width=\"728\" title=\"Malware via des archives zip\"\/><\/a><\/div>\n<p>&#8220;Xloader a introduit des techniques qui ont \u00e9t\u00e9 observ\u00e9es pr\u00e9c\u00e9demment dans SmokeLoader, notamment en cryptage des parties de code lors de l&#8217;\u00e9vasion de l&#8217;ex\u00e9cution et du hook ntdll.&#8221;<\/p>\n<p>Une analyse plus approfondie des logiciels malveillants a r\u00e9v\u00e9l\u00e9 son utilisation de listes de leurre \u00e0 code dur pour m\u00e9langer les communications r\u00e9seau r\u00e9elles de commandement et de contr\u00f4le (C2) avec le trafic vers des sites Web l\u00e9gitimes. Les leurres et les serveurs C2 r\u00e9els sont chiffr\u00e9s \u00e0 l&#8217;aide de diff\u00e9rentes cl\u00e9s et algorithmes.<\/p>\n<p>Comme dans le cas de familles de logiciels malveillants comme <a rel=\"noopener nofollow\" href=\"https:\/\/www.secureworks.com\/research\/pushdo-downloader-variant-generating-fake-http-requests\" target=\"_blank\">Coup de pouss\u00e9e<\/a>l&#8217;intention derri\u00e8re l&#8217;utilisation de leurres est de g\u00e9n\u00e9rer du trafic r\u00e9seau vers des domaines l\u00e9gitimes afin de masquer le trafic r\u00e9el C2.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738603713_19_PYPI-introduit-le-statut-darchives-pour-alerter-les-utilisateurs-sur.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le chargement lat\u00e9ral DLL a \u00e9galement \u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/posts\/unit42_smartapesg-netsupportrat-stealc-activity-7297994624814432256-HOrX\/\" target=\"_blank\">maltrait\u00e9<\/a> Par l&#8217;acteur Smartapesg (AKA ZPHP ou Haneymaney) pour livrer le rat Netsupport via des sites Web l\u00e9gitimes compromis avec des injects Web JavaScript, le Troie \u00e0 l&#8217;acc\u00e8s \u00e0 distance agissant comme un conduit pour abandonner le Stealer Stealer.<\/p>\n<p>Le d\u00e9veloppement intervient alors que Zscaler a d\u00e9taill\u00e9 deux autres chargeurs de logiciels malveillants nomm\u00e9s <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/nodeloader-exposed-node-js-malware-evading-detection\" target=\"_blank\">Nodeloader<\/a> et <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/technical-analysis-riseloader\" target=\"_blank\">Riseloadeur<\/a> Cela a \u00e9t\u00e9 utilis\u00e9 pour distribuer un large \u00e9ventail de voleurs d&#8217;informations, de mineurs de crypto-monnaie et de logiciels malveillants de botnet tels que Vidar, Lumma, Phemedrone, XMRIG et SOCKS5Systemz.<\/p>\n<p>&#8220;Riseloader et Risepro partagent plusieurs similitudes dans leurs protocoles de communication de r\u00e9seau, y compris la structure des messages, le processus d&#8217;initialisation et la structure de la charge utile&#8221;, a-t-il not\u00e9. &#8220;Ces chevauchements peuvent indiquer que le m\u00eame acteur de menace est derri\u00e8re les deux familles de logiciels malveillants.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/cybercriminals-use-eclipse-jarsigner-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80220 f\u00e9vrier 2025\ue804Ravie LakshmananCybercriminalit\u00e9 \/ malware Une campagne de logiciels malveillants distribuant le logiciel malveillant Xloader a \u00e9t\u00e9 observ\u00e9 \u00e0 l&#8217;aide du Technique de chargement lat\u00e9rale DLL En utilisant une application l\u00e9gitime associ\u00e9e \u00e0 la Fondation Eclipse. &#8220;L&#8217;application l\u00e9gitime utilis\u00e9e dans l&#8217;attaque, Jarsigner, est un fichier cr\u00e9\u00e9 lors de l&#8217;installation du package IDE distribu\u00e9 par [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1548189,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,6055,4168,79002,274264,4161,274263,6124,37976,9886,133,15393,281804,65,4589,4590,274267,4160,185,238617,246491,4172,79016,10784,4166,4164,72889,78538],"class_list":["post-1548188","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-archives","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-cybercriminels","tag-deployer","tag-des","tag-eclipse","tag-jarsigner","tag-les","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-xloader","tag-zip"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1548188","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1548188"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1548188\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1548189"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1548188"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1548188"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1548188"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}