{"id":187916,"date":"2022-06-07T08:08:58","date_gmt":"2022-06-07T10:08:58","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-mettent-en-garde-contre-une-campagne-de-spam-ciblant-les-victimes-avec-le-logiciel-malveillant-svcready\/"},"modified":"2022-06-07T08:08:59","modified_gmt":"2022-06-07T10:08:59","slug":"des-chercheurs-mettent-en-garde-contre-une-campagne-de-spam-ciblant-les-victimes-avec-le-logiciel-malveillant-svcready","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-mettent-en-garde-contre-une-campagne-de-spam-ciblant-les-victimes-avec-le-logiciel-malveillant-svcready\/","title":{"rendered":"Des chercheurs mettent en garde contre une campagne de spam ciblant les victimes avec le logiciel malveillant SVCReady"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une nouvelle vague de campagnes de phishing a \u00e9t\u00e9 observ\u00e9e propageant un logiciel malveillant pr\u00e9c\u00e9demment document\u00e9 appel\u00e9 <b>SVCReady<\/b>.<\/p>\n<p>&#8220;Le logiciel malveillant se distingue par la mani\u00e8re inhabituelle dont il est transmis aux PC cibles &#8211; en utilisant un shellcode cach\u00e9 dans les propri\u00e9t\u00e9s des documents Microsoft Office&#8221;, a d\u00e9clar\u00e9 Patrick Schl\u00e4pfer, analyste des menaces chez HP. <a rel=\"nofollow noopener\" href=\"https:\/\/threatresearch.ext.hp.com\/svcready-a-new-loader-reveals-itself\/\" target=\"_blank\">a dit<\/a> dans une r\u00e9daction technique.<\/p>\n<p>SVCReady en serait \u00e0 ses d\u00e9buts de d\u00e9veloppement, les auteurs ayant mis \u00e0 jour le malware de mani\u00e8re it\u00e9rative plusieurs fois le mois dernier.  Les premiers signes d&#8217;activit\u00e9 remontent au 22 avril 2022.<\/p>\n<p>Les cha\u00eenes d&#8217;infection impliquent l&#8217;envoi de pi\u00e8ces jointes de documents Microsoft Word \u00e0 des cibles par e-mail contenant des macros VBA pour activer le d\u00e9ploiement de charges utiles malveillantes.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-jira\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Nouvelle-variante-Chaos-Ransomware-Builder-quotYashmaquot-Decouvert-a-letat-sauvage.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Mais l\u00e0 o\u00f9 cette campagne se d\u00e9marque, c&#8217;est qu&#8217;au lieu d&#8217;utiliser PowerShell ou MSHTA pour r\u00e9cup\u00e9rer les ex\u00e9cutables de la prochaine \u00e9tape \u00e0 partir d&#8217;un serveur distant, la macro ex\u00e9cute le shellcode stock\u00e9 dans le <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-us\/office\/view-or-change-the-properties-for-an-office-file-21d604c2-481e-4379-8e54-1dd4622c6b75\" target=\"_blank\">propri\u00e9t\u00e9s du document<\/a>qui supprime ensuite le logiciel malveillant SVCReady.<\/p>\n<p>En plus d&#8217;assurer la persistance sur l&#8217;h\u00f4te infect\u00e9 au moyen d&#8217;une t\u00e2che planifi\u00e9e, le logiciel malveillant a la capacit\u00e9 de collecter des informations syst\u00e8me, de capturer des captures d&#8217;\u00e9cran, d&#8217;ex\u00e9cuter des commandes shell, ainsi que de t\u00e9l\u00e9charger et d&#8217;ex\u00e9cuter des fichiers arbitraires.<\/p>\n<p>Cela comprenait \u00e9galement la livraison de RedLine Stealer en tant que charge utile de suivi dans une instance le 26 avril apr\u00e8s qu&#8217;une machine ait \u00e9t\u00e9 initialement compromise avec SVCReady.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>HP a d\u00e9clar\u00e9 avoir identifi\u00e9 des chevauchements entre les noms de fichiers des documents de leurre et les images contenues dans les fichiers utilis\u00e9s pour distribuer SVCReady et ceux employ\u00e9s par un autre groupe appel\u00e9 TA551 (alias Hive0106 ou Shathak), mais il n&#8217;est pas imm\u00e9diatement clair si le m\u00eame acteur de la menace est derri\u00e8re la derni\u00e8re campagne.<\/p>\n<p>&#8220;Il est possible que nous voyions les artefacts laiss\u00e9s par deux attaquants diff\u00e9rents qui utilisent les m\u00eames outils&#8221;, a not\u00e9 Schl\u00e4pfer.  &#8220;Cependant, nos r\u00e9sultats montrent que des mod\u00e8les similaires et potentiellement des g\u00e9n\u00e9rateurs de documents sont utilis\u00e9s par les acteurs derri\u00e8re les campagnes TA551 et SVCReady.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/researchers-warn-of-spam-campaign.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une nouvelle vague de campagnes de phishing a \u00e9t\u00e9 observ\u00e9e propageant un logiciel malveillant pr\u00e9c\u00e9demment document\u00e9 appel\u00e9 SVCReady. &#8220;Le logiciel malveillant se distingue par la mani\u00e8re inhabituelle dont il est transmis aux PC cibles &#8211; en utilisant un shellcode cach\u00e9 dans les propri\u00e9t\u00e9s des documents Microsoft Office&#8221;, a d\u00e9clar\u00e9 Patrick Schl\u00e4pfer, analyste des menaces chez [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":187917,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,2930,12848,4175,4168,841,4158,4165,4161,133,525,4157,4159,4171,4170,65,6816,4167,7733,3915,4160,4163,4162,4172,4169,75168,75169,196,1884,4166,4164],"class_list":["post-187916","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-campagne","tag-chercheurs","tag-ciblant","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-garde","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mettent","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-spam","tag-svcready","tag-une","tag-victimes","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/187916","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=187916"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/187916\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/187917"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=187916"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=187916"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=187916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}