{"id":320195,"date":"2022-08-18T17:55:40","date_gmt":"2022-08-18T19:55:40","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-detaillent-le-cryptage-evasif-darktortilla-utilise-pour-diffuser-des-logiciels-malveillants\/"},"modified":"2022-08-18T17:55:41","modified_gmt":"2022-08-18T19:55:41","slug":"des-chercheurs-detaillent-le-cryptage-evasif-darktortilla-utilise-pour-diffuser-des-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-detaillent-le-cryptage-evasif-darktortilla-utilise-pour-diffuser-des-logiciels-malveillants\/","title":{"rendered":"Des chercheurs d\u00e9taillent le cryptage \u00e9vasif DarkTortilla utilis\u00e9 pour diffuser des logiciels malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un chiffreur \u00e9vasif bas\u00e9 sur .NET nomm\u00e9 <strong>SombreTortilla <\/strong>a \u00e9t\u00e9 utilis\u00e9 par les acteurs de la menace pour distribuer un large \u00e9ventail de logiciels malveillants de base ainsi que des charges utiles cibl\u00e9es comme Cobalt Strike et Metasploit, probablement <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2015\/08\/rainbows-steganography-and-malware-in-a-new-net-cryptor\" target=\"_blank\">depuis 2015<\/a>.<\/p>\n<p>&#8220;Il peut \u00e9galement fournir des&#8221; packages compl\u00e9mentaires &#8220;tels que des charges utiles malveillantes suppl\u00e9mentaires, des documents leurres b\u00e9nins et des ex\u00e9cutables&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Secureworks. <a rel=\"nofollow noopener\" href=\"https:\/\/www.secureworks.com\/research\/darktortilla-malware-analysis\" target=\"_blank\">a dit<\/a> dans un rapport de mercredi.  &#8220;Il dispose de contr\u00f4les anti-analyse et anti-effraction robustes qui peuvent rendre la d\u00e9tection, l&#8217;analyse et l&#8217;\u00e9radication difficiles.&#8221;<\/p>\n<p>Les logiciels malveillants diffus\u00e9s par le crypteur incluent les pirates d&#8217;informations et les chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) tels que l&#8217;agent Tesla, AsyncRat, NanoCore et RedLine Stealer.  &#8220;DarkTortilla a une polyvalence que les logiciels malveillants similaires n&#8217;ont pas&#8221;, ont not\u00e9 les chercheurs.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les crypteurs sont <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/examining-cybercrime-underground-part-1-crypters\/\" target=\"_blank\">outils logiciels<\/a> qui utilisent une combinaison de cryptage, d&#8217;obscurcissement et de manipulation de code de logiciels malveillants afin de contourner la d\u00e9tection par les solutions de s\u00e9curit\u00e9.<\/p>\n<p>La livraison de DarkTortilla se produit via des spams malveillants qui contiennent des archives avec un ex\u00e9cutable pour un chargeur initial utilis\u00e9 pour d\u00e9coder et lancer un module de processeur principal soit int\u00e9gr\u00e9 en lui-m\u00eame, soit extrait de sites de stockage de texte tels que Pastebin.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Crypteur DarkTortilla\" border=\"0\" data-original-height=\"633\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660852539_793_Des-chercheurs-detaillent-le-cryptage-evasif-DarkTortilla-utilise-pour-diffuser.jpg\" title=\"Crypteur DarkTortilla\" \/><\/div>\n<p>Le processeur principal est ensuite charg\u00e9 d&#8217;\u00e9tablir la persistance et d&#8217;injecter la charge utile RAT principale dans la m\u00e9moire sans laisser de trace sur le syst\u00e8me de fichiers via un fichier de configuration \u00e9labor\u00e9 qui lui permet \u00e9galement de d\u00e9poser des packages compl\u00e9mentaires, y compris des enregistreurs de frappe, des voleurs de presse-papiers et des mineurs de crypto-monnaie. .<\/p>\n<p>DarkTortilla est en outre remarquable pour son utilisation de contr\u00f4les anti-effraction qui garantissent que les deux processus utilis\u00e9s pour ex\u00e9cuter les composants en m\u00e9moire sont imm\u00e9diatement r\u00e9ex\u00e9cut\u00e9s \u00e0 la fin.<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, la persistance du chargeur initial est obtenue au moyen d&#8217;un deuxi\u00e8me ex\u00e9cutable appel\u00e9 WatchDog, con\u00e7u pour garder un \u0153il sur le processus d\u00e9sign\u00e9 et le relancer s&#8217;il est tu\u00e9.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Des-chercheurs-detaillent-le-cryptage-evasif-DarkTortilla-utilise-pour-diffuser.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Cette technique rappelle un m\u00e9canisme similaire adopt\u00e9 par un acteur mena\u00e7ant appel\u00e9 Moses Staff, qui, plus t\u00f4t cette ann\u00e9e, s&#8217;est av\u00e9r\u00e9 s&#8217;appuyer sur une approche bas\u00e9e sur un chien de garde pour emp\u00eacher toute interruption de ses charges utiles.  Deux autres contr\u00f4les sont \u00e9galement utilis\u00e9s pour garantir l&#8217;ex\u00e9cution continue de l&#8217;ex\u00e9cutable WatchDog abandonn\u00e9 lui-m\u00eame et la persistance du chargeur initial.<\/p>\n<p>Secureworks a d\u00e9clar\u00e9 avoir identifi\u00e9 une moyenne de 93 \u00e9chantillons uniques de DarkTortilla t\u00e9l\u00e9charg\u00e9s dans la base de donn\u00e9es de logiciels malveillants VirusTotal par semaine sur une p\u00e9riode de 17 mois de janvier 2021 \u00e0 mai 2022.<\/p>\n<p>&#8220;DarkTortilla est capable d&#8217;\u00e9chapper \u00e0 la d\u00e9tection, est hautement configurable et fournit une large gamme de logiciels malveillants populaires et efficaces&#8221;, ont conclu les chercheurs.  &#8220;Ses capacit\u00e9s et sa pr\u00e9valence en font une menace redoutable.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/researchers-detail-evasive-darktortilla.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un chiffreur \u00e9vasif bas\u00e9 sur .NET nomm\u00e9 SombreTortilla a \u00e9t\u00e9 utilis\u00e9 par les acteurs de la menace pour distribuer un large \u00e9ventail de logiciels malveillants de base ainsi que des charges utiles cibl\u00e9es comme Cobalt Strike et Metasploit, probablement depuis 2015. &#8220;Il peut \u00e9galement fournir des&#8221; packages compl\u00e9mentaires &#8220;tels que des charges utiles malveillantes suppl\u00e9mentaires, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":320196,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4168,11332,4158,4165,4161,101205,133,38951,773,48727,4157,4159,4171,4170,4167,4589,4590,4160,4163,4162,185,4172,4169,1282,4166,4164],"class_list":["post-320195","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comment-pirater","tag-cryptage","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-darktortilla","tag-des","tag-detaillent","tag-diffuser","tag-evasif","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/320195","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=320195"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/320195\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/320196"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=320195"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=320195"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=320195"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}