{"id":1578548,"date":"2025-03-14T04:09:33","date_gmt":"2025-03-14T06:09:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/obscure-bat-malware-utilise-de-fausses-pages-captcha-pour-deployer-rootkit-r77-et-echapper-a-la-detection\/"},"modified":"2025-03-14T04:09:38","modified_gmt":"2025-03-14T06:09:38","slug":"obscure-bat-malware-utilise-de-fausses-pages-captcha-pour-deployer-rootkit-r77-et-echapper-a-la-detection","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/obscure-bat-malware-utilise-de-fausses-pages-captcha-pour-deployer-rootkit-r77-et-echapper-a-la-detection\/","title":{"rendered":"Obscure # Bat Malware utilise de fausses pages CAPTCHA pour d\u00e9ployer RootKit R77 et \u00e9chapper \u00e0 la d\u00e9tection"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Intelligence de menace \/ logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Obscure-Bat-Malware-utilise-de-fausses-pages-CAPTCHA-pour.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Une nouvelle campagne de logiciels malveillants a \u00e9t\u00e9 observ\u00e9e en tirant parti des tactiques d&#8217;ing\u00e9nierie sociale pour fournir un rootkit open source appel\u00e9 R77.<\/p>\n<p>L&#8217;activit\u00e9, condamn\u00e9e <strong>Obscur # batte<\/strong> Par Securonix, permet aux acteurs de la menace d&#8217;\u00e9tablir de la persistance et d&#8217;\u00e9chapper \u00e0 la d\u00e9tection sur les syst\u00e8mes compromis. On ne sait actuellement pas qui est derri\u00e8re la campagne.<\/p>\n<p>Le rootkit &#8220;a la possibilit\u00e9 de cntourer ou de masquer n&#8217;importe quel fichier, cl\u00e9 de registre ou t\u00e2che commen\u00e7ant par un pr\u00e9fixe sp\u00e9cifique&#8221;, chercheurs de s\u00e9curit\u00e9 den iuzvyk et Tim Peck <a rel=\"noopener nofollow\" href=\"https:\/\/www.securonix.com\/blog\/analyzing-obscurebat-threat-actors-lure-victims-into-executing-malicious-batch-scripts-to-deploy-stealthy-rootkits\/\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News. &#8220;Il a cibl\u00e9 les utilisateurs en se faisant passer pour des t\u00e9l\u00e9chargements de logiciels l\u00e9gitimes ou via de fausses escroqueries en g\u00e9nie social CAPTCHA.&#8221;<\/p>\n<p>La campagne est con\u00e7ue pour cibler principalement les individus anglophones, en particulier les \u00c9tats-Unis, le Canada, l&#8217;Allemagne et le Royaume-Uni.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Obscure # BAT tire son nom du fait que le point de d\u00e9part de l&#8217;attaque est un script de lot Windows obscurcissant qui, \u00e0 son tour, ex\u00e9cute des commandes PowerShell pour activer un processus en plusieurs \u00e9tapes qui culmine dans le d\u00e9ploiement du rootkit.<\/p>\n<p>Au moins deux voies d&#8217;acc\u00e8s initiales diff\u00e9rentes ont \u00e9t\u00e9 identifi\u00e9es pour amener les utilisateurs \u00e0 ex\u00e9cuter les scripts de lots malveillants: celui qui utilise la inf\u00e2me strat\u00e9gie ClickFix en dirigeant les utilisateurs vers une fausse page de v\u00e9rification CAPTCHA CloudFlare et une deuxi\u00e8me m\u00e9thode qui utilise la publicit\u00e9 des logiciels malveillants comme des outils l\u00e9gitimes comme le navigateur Tor Tor, le logiciel VoIP et les clients de messagerie.<\/p>\n<p>Bien qu&#8217;il ne soit pas clair comment les utilisateurs sont attir\u00e9s par le logiciel pi\u00e9g\u00e9, il est soup\u00e7onn\u00e9 d&#8217;impliquer des approches \u00e9prouv\u00e9es comme le malvertising ou l&#8217;empoisonnement d&#8217;optimisation des moteurs de recherche (SEO).<\/p>\n<p>Quelle que soit la m\u00e9thode utilis\u00e9e, la charge utile en premi\u00e8re \u00e9tape est une archive contenant le script de lot, qui invoque ensuite les commandes PowerShell pour supprimer des scripts suppl\u00e9mentaires, effectuer des modifications du registre Windows et configurer des t\u00e2ches planifi\u00e9es pour la persistance.<\/p>\n<p>&#8220;Les magasins de logiciels malveillants obscurcissent les scripts dans le registre Windows et assure l&#8217;ex\u00e9cution via des t\u00e2ches planifi\u00e9es, ce qui lui permet de s&#8217;ex\u00e9cuter furtivement en arri\u00e8re-plan&#8221;, ont d\u00e9clar\u00e9 les chercheurs. &#8220;De plus, il modifie les cl\u00e9s de registre syst\u00e8me pour enregistrer un faux pilote (ACPIX86.SYS), s&#8217;int\u00e9grant davantage dans le syst\u00e8me.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Obscure-Bat-Malware-utilise-de-fausses-pages-CAPTCHA-pour.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Obscure-Bat-Malware-utilise-de-fausses-pages-CAPTCHA-pour.jpg\" alt=\"MALWORIAL OBSCURE # BAT\" border=\"0\" data-original-height=\"706\" data-original-width=\"1200\" title=\"MALWORIAL OBSCURE # BAT\"\/><\/a><\/div>\n<p>La charge utile .NET est d\u00e9ploy\u00e9e au cours de l&#8217;attaque. Cela comprend l&#8217;obscurcissement du flux de contr\u00f4le, le chiffrement des cha\u00eenes et l&#8217;utilisation de noms de fonctions qui m\u00e9langent les caract\u00e8res arabes, chinois et sp\u00e9ciaux.<\/p>\n<p>Une autre charge utile charg\u00e9e au moyen de PowerShell est un ex\u00e9cutable qui utilise l&#8217;interface de num\u00e9risation anti-anti-logiciels (<a rel=\"noopener nofollow\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/amsi\/how-amsi-helps\" target=\"_blank\">Amsi<\/a>) Patchage pour contourner les d\u00e9tections d&#8217;antivirus.<\/p>\n<p>La charge utile .NET est finalement responsable de la suppression d&#8217;un rootkit en mode syst\u00e8me nomm\u00e9 &#8220;ACPIX86.SYS&#8221; dans le dossier &#8220;C:  Windows  System32 &#8221; &#8220;, qui est ensuite lanc\u00e9 en tant que service. Rootkit en mode utilisateur est \u00e9galement livr\u00e9 appel\u00e9 ROOTKIT pour la configuration de la persistance sur l&#8217;h\u00f4te et de la cachette de fichiers, de processus et de cl\u00e9s de registre correspondant au mod\u00e8le ($ nya-).<\/p>\n<p>Le malware surveille p\u00e9riodiquement p\u00e9riodiquement pour l&#8217;activit\u00e9 du presse-papiers et l&#8217;historique des commandes et les enregistre dans des fichiers cach\u00e9s pour une exfiltration probable.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Obscure # BAT d\u00e9montre une cha\u00eene d&#8217;attaque tr\u00e8s \u00e9vasive, tirant parti de l&#8217;obscurcissement, des techniques furtives et du connexion des API pour persister sur des syst\u00e8mes compromis tout en \u00e9vitant la d\u00e9tection&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;De l&#8217;ex\u00e9cution initiale du script de lot obscurci (install.bat) \u00e0 la cr\u00e9ation de t\u00e2ches planifi\u00e9es et de scripts stock\u00e9s par le registre, le malware assure la persistance m\u00eame apr\u00e8s les red\u00e9marrages.<\/p>\n<p>Les r\u00e9sultats viennent comme cofense <a rel=\"noopener nofollow\" href=\"https:\/\/cofense.com\/blog\/microsoft-copilot-spoofing-a-new-phishing-vector\" target=\"_blank\">d\u00e9taill\u00e9<\/a> Une campagne d&#8217;usurpation de Microsoft Copilot qui utilise des e-mails de phishing pour amener les utilisateurs \u00e0 une fausse page de destination pour l&#8217;assistant d&#8217;intelligence artificielle (AI) qui est con\u00e7u pour r\u00e9colter les informations d&#8217;identification des utilisateurs et les codes d&#8217;authentification \u00e0 deux facteurs (2FA).<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/obscurebat-malware-uses-fake-captcha.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 mars 2025\ue804Ravie LakshmananIntelligence de menace \/ logiciels malveillants Une nouvelle campagne de logiciels malveillants a \u00e9t\u00e9 observ\u00e9e en tirant parti des tactiques d&#8217;ing\u00e9nierie sociale pour fournir un rootkit open source appel\u00e9 R77. L&#8217;activit\u00e9, condamn\u00e9e Obscur # batte Par Securonix, permet aux acteurs de la menace d&#8217;\u00e9tablir de la persistance et d&#8217;\u00e9chapper \u00e0 la d\u00e9tection [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1578549,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,3441,137325,4168,79002,274264,4161,274263,6124,9886,41161,21314,2650,4174,274267,4160,95929,24136,185,286642,30795,238617,246491,4172,79016,1282,4166,4164],"class_list":["post-1578548","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-bat","tag-captcha","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deployer","tag-detection","tag-echapper","tag-fausses","tag-malware","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-obscure","tag-pages","tag-pour","tag-r77","tag-rootkit","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1578548","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1578548"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1578548\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1578549"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1578548"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1578548"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1578548"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}