{"id":1584319,"date":"2025-03-18T08:10:33","date_gmt":"2025-03-18T10:10:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/microsoft-avertit-de-stilachirat-un-rat-furtif-ciblant-les-references-et-les-portefeuilles-cryptographiques\/"},"modified":"2025-03-18T08:10:38","modified_gmt":"2025-03-18T10:10:38","slug":"microsoft-avertit-de-stilachirat-un-rat-furtif-ciblant-les-references-et-les-portefeuilles-cryptographiques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/microsoft-avertit-de-stilachirat-un-rat-furtif-ciblant-les-references-et-les-portefeuilles-cryptographiques\/","title":{"rendered":"Microsoft avertit de Stilachirat: un rat furtif ciblant les r\u00e9f\u00e9rences et les portefeuilles cryptographiques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Microsoft-avertit-de-Stilachirat-un-rat-furtif-ciblant-les-references.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Microsoft attire l&#8217;attention sur un nouveau cheval de Troie (rat) d&#8217;acc\u00e8s \u00e0 distance nomm\u00e9 <strong>Stilachirat<\/strong> Le fait qu&#8217;il a d\u00e9clar\u00e9 utilise des techniques avanc\u00e9es pour contourner la d\u00e9tection et persister dans les environnements cibles dans un objectif ultime de voler des donn\u00e9es sensibles.<\/p>\n<p>Le malware contient des capacit\u00e9s de &#8220;voler des informations du syst\u00e8me cible, telles que les informations d&#8217;identification stock\u00e9es dans le navigateur, les informations num\u00e9riques du portefeuille, les donn\u00e9es stock\u00e9es dans le presse-papiers, ainsi que les informations syst\u00e8me&#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/03\/17\/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft\/\" target=\"_blank\">dit<\/a> dans une analyse.<\/p>\n<p>Le g\u00e9ant de la technologie a d\u00e9clar\u00e9 avoir d\u00e9couvert Stilachirat en novembre 2024, avec ses caract\u00e9ristiques de rat pr\u00e9sentes dans un module DLL nomm\u00e9 &#8220;wwstartupctrl64.dll&#8221;. Le malware n&#8217;a \u00e9t\u00e9 attribu\u00e9 \u00e0 aucun acteur ou pays de menace sp\u00e9cifique.<\/p>\n<p>Il n&#8217;est actuellement pas clair comment le malware est livr\u00e9 aux cibles, mais Microsoft a not\u00e9 que ces chevaux de Troie peuvent \u00eatre install\u00e9s via diverses voies d&#8217;acc\u00e8s initiales, ce qui rend crucial que les organisations mettent en \u0153uvre des mesures de s\u00e9curit\u00e9 ad\u00e9quates.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Stilachirat est con\u00e7u pour recueillir des informations approfondies syst\u00e8me, y compris les d\u00e9tails du syst\u00e8me d&#8217;exploitation (OS), des identifiants mat\u00e9riels tels que les num\u00e9ros de s\u00e9rie BIOS, la pr\u00e9sence de la cam\u00e9ra, les s\u00e9ances de protocole de bureau \u00e0 distance active (RDP) et les applications d&#8217;interface utilisateur graphique (GUI) en cours d&#8217;ex\u00e9cution.<\/p>\n<p>Ces d\u00e9tails sont collect\u00e9s via les interfaces de gestion d&#8217;entreprise bas\u00e9es sur le mod\u00e8le d&#8217;objet composant (COM) (WBEM) \u00e0 l&#8217;aide du langage de requ\u00eate WMI (WQL). <\/p>\n<p>Il est \u00e9galement con\u00e7u pour cibler une liste des extensions de portefeuille de crypto-monnaie install\u00e9es dans le navigateur Web Google Chrome. La liste comprend le portefeuille Bitget, le portefeuille de confiance, Tronlink, Metamask, Tokenpocket, BNB Chain Wallet, Okx Wallet, SUI Wallet, Braavos &#8211; Wallet Starknet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, porteflux pour SEI, Math portefeuille, portefeuille fractal, Wallet, Wallet, Wallet.<\/p>\n<p>En outre, Stilachirat extrait les informations d&#8217;identification stock\u00e9es dans le navigateur Chrome, collecte p\u00e9riodiquement du contenu du presse-papiers telles que les mots de passe et les portefeuilles de crypto-monnaie, surveille les s\u00e9ances RDP en capturant les informations de fen\u00eatre de premier plan et \u00e9tablit un contact avec un serveur distant pour exfiltration des donn\u00e9es r\u00e9colt\u00e9es.<\/p>\n<p>Les communications du serveur de commande et de contr\u00f4le (C2) sont \u00e0 double sens, permettant aux logiciels malveillants de lancer des instructions envoy\u00e9es par elle. Les fonctionnalit\u00e9s indiquent un outil polyvalent pour l&#8217;espionnage et la manipulation du syst\u00e8me. Jusqu&#8217;\u00e0 10 commandes diff\u00e9rentes sont prises en charge &#8211;<\/p>\n<ul>\n<li>07 &#8211; Afficher une bo\u00eete de dialogue avec le contenu HTML rendu \u00e0 partir d&#8217;une URL fournie<\/li>\n<li>08 &#8211; Effacer les entr\u00e9es du journal des \u00e9v\u00e9nements<\/li>\n<li>09 &#8211; Activer l&#8217;arr\u00eat du syst\u00e8me \u00e0 l&#8217;aide d&#8217;une API Windows sans papiers (&#8220;ntdll.dll! NtshutdownSystem&#8221;)<\/li>\n<li>13 &#8211; Recevez une adresse r\u00e9seau du serveur C2 et \u00e9tablissez une nouvelle connexion sortante.<\/li>\n<li>14 &#8211; Acceptez une connexion r\u00e9seau entrante sur le port TCP fourni<\/li>\n<li>15 &#8211; terminer les connexions de r\u00e9seau ouvert<\/li>\n<li>16 &#8211; Lancez une application sp\u00e9cifi\u00e9e<\/li>\n<li>19 &#8211; \u00c9num\u00e9rez toutes les fen\u00eatres ouvertes du bureau actuel pour rechercher un texte de barre de titre demand\u00e9<\/li>\n<li>26 &#8211; Mettez le syst\u00e8me dans un \u00e9tat en suspension (sommeil) ou en hibernation<\/li>\n<li>30 &#8211; Volez les mots de passe Google Chrome<\/li>\n<\/ul>\n<p>&#8220;Stilachirat affiche un comportement anti-forensique en effa\u00e7ant les journaux des \u00e9v\u00e9nements et en v\u00e9rifiant certaines conditions du syst\u00e8me pour \u00e9chapper \u00e0 la d\u00e9tection&#8221;, a d\u00e9clar\u00e9 Microsoft. &#8220;Cela inclut les v\u00e9rifications en boucle pour les outils d&#8217;analyse et les minuteries de bac \u00e0 sable qui emp\u00eachent son activation compl\u00e8te dans des environnements virtuels couramment utilis\u00e9s pour l&#8217;analyse des logiciels malveillants.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La divulgation vient sous le nom de Palo Alto Networks Unit 42 <a rel=\"noopener nofollow\" href=\"https:\/\/unit42.paloaltonetworks.com\/unusual-malware\/\" target=\"_blank\">d\u00e9taill\u00e9<\/a> Trois \u00e9chantillons de logiciels malveillants inhabituels qu&#8217;il a d\u00e9tect\u00e9s l&#8217;ann\u00e9e derni\u00e8re, en comptant une porte d\u00e9rob\u00e9e passive des services d&#8217;information sur Internet (IIS) d\u00e9velopp\u00e9 en C ++ \/ CLI, un bootkit qui utilise un pilote de noyau non garanti pour installer un chargeur de d\u00e9marrage Grub 2, et un implant Windows d&#8217;un cadre de post-exploitation de la plate-forme transversale d\u00e9velopp\u00e9 dans C ++ appel\u00e9 ProjectGeas.<\/p>\n<p>La porte d\u00e9rob\u00e9e IIS est \u00e9quip\u00e9e pour analyser certaines demandes HTTP entrantes contenant un en-t\u00eate pr\u00e9d\u00e9fini et ex\u00e9cuter les commandes en eux, en lui accordant la possibilit\u00e9 d&#8217;ex\u00e9cuter des commandes, d&#8217;obtenir des m\u00e9tadonn\u00e9es syst\u00e8me, de cr\u00e9er de nouveaux processus, d&#8217;ex\u00e9cuter du code PowerShell et d&#8217;injecter ShellCode dans un processus ex\u00e9cutif ou nouveau. <\/p>\n<p>Le bootkit, en revanche, est une DLL 64 bits qui installe une image de disque de chargeur de d\u00e9marrage Grub 2 au moyen d&#8217;un pilote de noyau l\u00e9gitimement sign\u00e9 nomm\u00e9 AMPA.SYS. Il est \u00e9valu\u00e9 comme une preuve de concept (POC) cr\u00e9\u00e9 par des parties inconnues de l&#8217;Universit\u00e9 du Mississippi.<\/p>\n<p>&#8220;Lorsqu&#8217;il est red\u00e9marr\u00e9, le chargeur de d\u00e9marrage Grub 2 montre une image et joue p\u00e9riodiquement <a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/Dixie_(song)\" target=\"_blank\">Gamelle<\/a> via le haut-parleur PC. Ce comportement pourrait indiquer que le malware est une farce offensive &#8220;, a d\u00e9clar\u00e9 le chercheur de l&#8217;unit\u00e9 42, Dominik Reichel.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/microsoft-warns-of-stilachirat-stealthy.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft attire l&#8217;attention sur un nouveau cheval de Troie (rat) d&#8217;acc\u00e8s \u00e0 distance nomm\u00e9 Stilachirat Le fait qu&#8217;il a d\u00e9clar\u00e9 utilise des techniques avanc\u00e9es pour contourner la d\u00e9tection et persister dans les environnements cibles dans un objectif ultime de voler des donn\u00e9es sensibles. Le malware contient des capacit\u00e9s de &#8220;voler des informations du syst\u00e8me cible, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1584320,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,6120,4175,4168,13276,79002,274264,4161,274263,6124,76165,65,274267,8362,4160,11774,46743,38471,238617,246491,4172,287606,79016,4166,4164],"class_list":["post-1584319","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-avertit","tag-ciblant","tag-comment-pirater","tag-cryptographiques","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-furtif","tag-les","tag-malware-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-portefeuilles","tag-rat","tag-references","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-stilachirat","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1584319","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1584319"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1584319\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1584320"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1584319"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1584319"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1584319"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}