{"id":1606842,"date":"2025-04-02T04:13:50","date_gmt":"2025-04-02T06:13:50","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-nouveaux-chargeurs-de-logiciels-malveillants-utilisent-lusurpation-de-pile-dappels-le-reacteur-github-c2-et-net-pour-la-furtivite\/"},"modified":"2025-04-02T04:13:55","modified_gmt":"2025-04-02T06:13:55","slug":"les-nouveaux-chargeurs-de-logiciels-malveillants-utilisent-lusurpation-de-pile-dappels-le-reacteur-github-c2-et-net-pour-la-furtivite","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-nouveaux-chargeurs-de-logiciels-malveillants-utilisent-lusurpation-de-pile-dappels-le-reacteur-github-c2-et-net-pour-la-furtivite\/","title":{"rendered":"Les nouveaux chargeurs de logiciels malveillants utilisent l&#8217;usurpation de pile d&#8217;appels, le r\u00e9acteur GitHub C2 et .NET pour la furtivit\u00e9"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 avril 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">D\u00e9tection de menace \/ logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Les-nouveaux-chargeurs-de-logiciels-malveillants-utilisent-lusurpation-de-pile.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une version mise \u00e0 jour d&#8217;un chargeur de logiciels malveillants appel\u00e9e Hijack Loader qui impl\u00e9mente de nouvelles fonctionnalit\u00e9s pour \u00e9chapper \u00e0 la d\u00e9tection et \u00e9tablir la persistance sur les syst\u00e8mes compromis.<\/p>\n<p>&#8220;Hijack Loader a publi\u00e9 un nouveau module qui impl\u00e9mente l&#8217;usurpation de pile d&#8217;appels pour masquer l&#8217;origine des appels de fonction (par exemple, API et appels syst\u00e8me)&#8221;, chercheur Zscaler \u00e0 la r\u00e9f\u00e9rence Muhammed Irfan VA <a rel=\"noopener nofollow\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/analyzing-new-hijackloader-evasion-tactics\" target=\"_blank\">dit<\/a> dans une analyse. &#8220;Hijack Loader a ajout\u00e9 un nouveau module pour effectuer des v\u00e9rifications anti-VM pour d\u00e9tecter les environnements d&#8217;analyse des logiciels malveillants et les bacs \u00e0 sable.&#8221;<\/p>\n<p>Hijack Loader, d\u00e9couvert pour la premi\u00e8re fois en 2023, offre la possibilit\u00e9 de livrer des charges utiles de deuxi\u00e8me \u00e9tape telles que les logiciels malveillants du voleur d&#8217;informations. Il est \u00e9galement livr\u00e9 avec une vari\u00e9t\u00e9 de modules pour contourner les logiciels de s\u00e9curit\u00e9 et injecter du code malveillant. Hijack Loader est suivi par la communaut\u00e9 de cybers\u00e9curit\u00e9 plus large sous les noms Doiloader, Ghostpulse, Idat Loader et Shadowladder.<\/p>\n<p>En octobre 2024, Harfanglab and Elastic Security Labs a d\u00e9taill\u00e9 les campagnes de chargeur de hi\u00e9rarchie qui ont mis \u00e0 profit les certificats de signature de code l\u00e9gitimes ainsi que la fameuse strat\u00e9gie Clickfix pour distribuer le malware.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La derni\u00e8re it\u00e9ration du chargeur est livr\u00e9e avec un certain nombre d&#8217;am\u00e9liorations par rapport \u00e0 son pr\u00e9d\u00e9cesseur, la plus notable \u00e9tant l&#8217;ajout de l&#8217;usurpation de pile d&#8217;appels en tant que tactique d&#8217;\u00e9vasion pour cacher l&#8217;origine des appels API et du syst\u00e8me, une m\u00e9thode r\u00e9cemment \u00e9galement adopt\u00e9e par un autre chargeur de logiciel malveillant connu sous le nom de Coffeoader.<\/p>\n<p>&#8220;Cette technique utilise une cha\u00eene de pointeurs EBP pour traverser la pile et cacher la pr\u00e9sence d&#8217;un appel malveillant dans la pile en rempla\u00e7ant les cadres de pile r\u00e9els par des cadres fabriqu\u00e9s&#8221;, a d\u00e9clar\u00e9 Zscaler.<\/p>\n<p>Comme pour les versions pr\u00e9c\u00e9dentes, le chargeur de d\u00e9tournement exploite la technique de la porte du paradis pour ex\u00e9cuter des syst\u00e8mes directs 64 bits pour l&#8217;injection de processus. D&#8217;autres modifications incluent une r\u00e9vision de la liste des processus listes en blocs pour inclure &#8220;Avastsvc.exe&#8221;, un composant d&#8217;Avast Antivirus, pour retarder l&#8217;ex\u00e9cution de cinq secondes.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Les-nouveaux-chargeurs-de-logiciels-malveillants-utilisent-lusurpation-de-pile.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Les-nouveaux-chargeurs-de-logiciels-malveillants-utilisent-lusurpation-de-pile.png\" alt=\"\" border=\"0\" data-original-height=\"513\" data-original-width=\"1080\"\/><\/a><\/div>\n<p>Le malware int\u00e8gre \u00e9galement deux nouveaux modules, \u00e0 savoir AntiVM pour d\u00e9tecter les machines virtuelles et modtask pour configurer la persistance via des t\u00e2ches planifi\u00e9es.<\/p>\n<p>Les r\u00e9sultats montrent que le chargeur de d\u00e9tournement continue d&#8217;\u00eatre activement maintenu par ses op\u00e9rateurs dans le but de compliquer l&#8217;analyse et la d\u00e9tection.<\/p>\n<h3>Shelby Malware utilise GitHub pour la commande et le contr\u00f4le<\/h3>\n<p>Le d\u00e9veloppement intervient alors que les laboratoires de s\u00e9curit\u00e9 \u00e9lastiques d\u00e9taill\u00e9s d&#8217;une nouvelle famille de logiciels malveillants surnomment Shelby qui utilise GitHub pour la commande et le contr\u00f4le (C2), l&#8217;exfiltration de donn\u00e9es et la t\u00e9l\u00e9commande. L&#8217;activit\u00e9 est suivie en tant que Ref8685.<\/p>\n<p>La cha\u00eene d&#8217;attaque implique l&#8217;utilisation d&#8217;un e-mail de phishing comme point de d\u00e9part pour distribuer une archive zip contenant un binaire .NET qui est utilis\u00e9 pour ex\u00e9cuter un chargeur de DLL suivi comme Shelbyloader (&#8220;httpService.dll&#8221;) via le chargement lat\u00e9ral DLL. Les e-mails ont \u00e9t\u00e9 livr\u00e9s \u00e0 une entreprise de t\u00e9l\u00e9communications bas\u00e9e en Irak gr\u00e2ce \u00e0 un e-mail de phishing tr\u00e8s cibl\u00e9 envoy\u00e9 au sein de l&#8217;organisation cibl\u00e9e.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743574428_722_Les-nouveaux-chargeurs-de-logiciels-malveillants-utilisent-lusurpation-de-pile.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743574428_722_Les-nouveaux-chargeurs-de-logiciels-malveillants-utilisent-lusurpation-de-pile.png\" alt=\"\" border=\"0\" data-original-height=\"1130\" data-original-width=\"1999\"\/><\/a><\/div>\n<p>Le chargeur initie ensuite des communications avec GitHub pour C2 pour extraire une valeur sp\u00e9cifique de 48 octets \u00e0 partir d&#8217;un fichier nomm\u00e9 &#8220;Licence.txt&#8221; dans le r\u00e9f\u00e9rentiel contr\u00f4l\u00e9 par les attaquants. La valeur est ensuite utilis\u00e9e pour g\u00e9n\u00e9rer une cl\u00e9 de d\u00e9cryptage AES et d\u00e9chiffrer la charge utile de porte d\u00e9rob\u00e9e principale (&#8220;httpapi.dll&#8221;) et le charger en m\u00e9moire sans laisser des artefacts d\u00e9tectables sur le disque.<\/p>\n<p>&#8220;Shelbyloader utilise des techniques de d\u00e9tection de bac \u00e0 sable pour identifier les environnements virtualis\u00e9s ou surveill\u00e9s&#8221;, \u00e9lastique <a rel=\"noopener nofollow\" href=\"https:\/\/www.elastic.co\/security-labs\/the-shelby-strategy\" target=\"_blank\">dit<\/a>. &#8220;Une fois ex\u00e9cut\u00e9, il renvoie les r\u00e9sultats \u00e0 C2. Ces r\u00e9sultats sont emball\u00e9s sous forme de fichiers journaux, d\u00e9taillant si chaque m\u00e9thode de d\u00e9tection a identifi\u00e9 avec succ\u00e8s un environnement de bac \u00e0 sable.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La porte d\u00e9rob\u00e9e ShelBYC2, pour sa part, analyse les commandes r\u00e9pertori\u00e9es dans un autre fichier nomm\u00e9 &#8220;Command.txt&#8221; pour t\u00e9l\u00e9charger \/ t\u00e9l\u00e9charger des fichiers depuis \/ vers un r\u00e9f\u00e9rentiel GitHub, charger un binaire .NET R\u00e9fl\u00e9chit et ex\u00e9cuter les commandes PowerShell. Ce qui est notable ici, c&#8217;est que la communication C2 se produit via des engagements dans le r\u00e9f\u00e9rentiel priv\u00e9 en utilisant un jeton d&#8217;acc\u00e8s personnel (PAT).<\/p>\n<p>&#8220;La fa\u00e7on dont le malware est configur\u00e9 signifie que toute personne avec le PAT (Token d&#8217;acc\u00e8s personnel) peut th\u00e9oriquement r\u00e9cup\u00e9rer les commandes envoy\u00e9es par l&#8217;attaquant et les sorties de commande d&#8217;acc\u00e8s de n&#8217;importe quelle machine victime&#8221;, a indiqu\u00e9 la soci\u00e9t\u00e9. &#8220;C&#8217;est parce que le jeton PAT est int\u00e9gr\u00e9 dans le binaire et peut \u00eatre utilis\u00e9 par quiconque l&#8217;obtient.&#8221;<\/p>\n<h3>Emmenhtal r\u00e9partit SmokeLoader via des fichiers 7-zip<\/h3>\n<p>Des e-mails de phishing portant des leurres sur le th\u00e8me du paiement ont \u00e9galement \u00e9t\u00e9 observ\u00e9s pour fournir une famille de chargeur de logiciels malveillants, nomm\u00e9 Emmenhtal Loader (aka Peaklight), qui agit comme un conduit pour d\u00e9ployer un autre malware connu sous le nom de smokeloder.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743574430_817_Les-nouveaux-chargeurs-de-logiciels-malveillants-utilisent-lusurpation-de-pile.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743574430_817_Les-nouveaux-chargeurs-de-logiciels-malveillants-utilisent-lusurpation-de-pile.png\" alt=\"\" border=\"0\" data-original-height=\"576\" data-original-width=\"1280\"\/><\/a><\/div>\n<p>&#8220;Une technique notable observ\u00e9e dans cet \u00e9chantillon de smokeloader est l&#8217;utilisation de .NET Reactor, un outil de protection commercial .NET utilis\u00e9 pour l&#8217;obscurcissement et l&#8217;emballage&#8221;, GDATA <a rel=\"noopener nofollow\" href=\"https:\/\/www.gdatasoftware.com\/blog\/2025\/03\/38160-emmenhtal-smokeloader-malware\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Alors que SmokeLoader a historiquement exploit\u00e9 des emballeurs comme THIMA, ENIGMA Protector et Custom Crypters, l&#8217;utilisation du r\u00e9acteur .NET s&#8217;aligne sur les tendances observ\u00e9es dans d&#8217;autres familles de logiciels malveillants, en particulier les voleurs et les chargeurs, en raison de ses forts m\u00e9canismes anti-analyse.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/new-malware-loaders-use-call-stack.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 avril 2025\ue804Ravie LakshmananD\u00e9tection de menace \/ logiciels malveillants Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une version mise \u00e0 jour d&#8217;un chargeur de logiciels malveillants appel\u00e9e Hijack Loader qui impl\u00e9mente de nouvelles fonctionnalit\u00e9s pour \u00e9chapper \u00e0 la d\u00e9tection et \u00e9tablir la persistance sur les syst\u00e8mes compromis. &#8220;Hijack Loader a publi\u00e9 un nouveau module qui impl\u00e9mente [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1606843,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,57909,4168,79002,274264,4161,274263,6124,26802,292465,50438,65,4589,154700,4590,274267,4160,18657,4588,63302,185,4764,238617,246491,4172,79016,10784,4166,4164],"class_list":["post-1606842","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-chargeurs","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dappels","tag-furtivite","tag-github","tag-les","tag-logiciels","tag-lusurpation","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-net","tag-nouveaux","tag-pile","tag-pour","tag-reacteur","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1606842","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1606842"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1606842\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1606843"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1606842"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1606842"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1606842"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}