{"id":341276,"date":"2022-08-31T07:57:24","date_gmt":"2022-08-31T09:57:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-cachent-des-logiciels-malveillants-dans-de-superbes-images-prises-par-le-telescope-spatial-james-webb\/"},"modified":"2022-08-31T07:57:25","modified_gmt":"2022-08-31T09:57:25","slug":"des-pirates-cachent-des-logiciels-malveillants-dans-de-superbes-images-prises-par-le-telescope-spatial-james-webb","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-cachent-des-logiciels-malveillants-dans-de-superbes-images-prises-par-le-telescope-spatial-james-webb\/","title":{"rendered":"Des pirates cachent des logiciels malveillants dans de superbes images prises par le t\u00e9lescope spatial James Webb"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une campagne persistante de logiciels malveillants bas\u00e9e sur Golang baptis\u00e9e GO#WEBBFUSCATOR a exploit\u00e9 l&#8217;image en champ profond prise par le t\u00e9lescope spatial James Webb (JWST) de la NASA comme leurre pour d\u00e9ployer des charges utiles malveillantes sur les syst\u00e8mes infect\u00e9s.<\/p>\n<p>Le d\u00e9veloppement, r\u00e9v\u00e9l\u00e9 par <b>S\u00e9curonix<\/b>souligne l&#8217;adoption croissante de Go parmi les acteurs de la menace, compte tenu de la prise en charge multiplateforme du langage de programmation, permettant effectivement aux op\u00e9rateurs de tirer parti d&#8217;une base de code commune pour cibler diff\u00e9rents syst\u00e8mes d&#8217;exploitation.<\/p>\n<p>Les binaires Go ont \u00e9galement l&#8217;avantage suppl\u00e9mentaire de rendre l&#8217;analyse et l&#8217;ing\u00e9nierie inverse difficiles par opposition aux logiciels malveillants \u00e9crits dans d&#8217;autres langages comme C++ ou C#, sans parler de prolonger les tentatives d&#8217;analyse et de d\u00e9tection.<\/p>\n<p>Les e-mails de phishing contenant une pi\u00e8ce jointe Microsoft Office agissent comme point d&#8217;entr\u00e9e de la cha\u00eene d&#8217;attaque qui, lorsqu&#8217;elle est ouverte, r\u00e9cup\u00e8re une macro VBA masqu\u00e9e, qui, \u00e0 son tour, est automatiquement ex\u00e9cut\u00e9e si le destinataire active les macros.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>L&#8217;ex\u00e9cution de la macro entra\u00eene le t\u00e9l\u00e9chargement d&#8217;un fichier image &#8220;OxB36F8GEEC634.jpg&#8221; qui semble \u00eatre une image du <a rel=\"nofollow noopener\" href=\"https:\/\/www.nasa.gov\/image-feature\/goddard\/2022\/nasa-s-webb-delivers-deepest-infrared-image-of-universe-yet\" target=\"_blank\">Premier champ profond<\/a> captur\u00e9 par JWST mais, lorsqu&#8217;il est inspect\u00e9 \u00e0 l&#8217;aide d&#8217;un \u00e9diteur de texte, il s&#8217;agit en fait d&#8217;une charge utile encod\u00e9e en Base64.<\/p>\n<p>\u00ab Le d\u00e9masqu\u00e9 [macro] le code s&#8217;ex\u00e9cute [a command] qui t\u00e9l\u00e9chargera un fichier nomm\u00e9 OxB36F8GEEC634.jpg, utilisez <a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/windows-server\/administration\/windows-commands\/certutil\" target=\"_blank\">certutil.exe<\/a> pour le d\u00e9coder en un binaire (msdllupdate.exe) et enfin, l&#8217;ex\u00e9cuter \u00bb, les chercheurs de Securonix D. Iuzvyk, T. Peck et O. Kolesnikov <a rel=\"nofollow noopener\" href=\"https:\/\/www.securonix.com\/blog\/golang-attack-campaign-gowebbfuscator-leverages-office-macros-and-james-webb-images-to-infect-systems\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Le binaire, un ex\u00e9cutable Windows 64 bits d&#8217;une taille de 1,7 Mo, est non seulement \u00e9quip\u00e9 pour voler sous le radar des moteurs antimalware, mais est \u00e9galement obscurci au moyen d&#8217;une technique appel\u00e9e gobfuscation, qui utilise un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/unixpickle\/gobfuscate\" target=\"_blank\">Outil d&#8217;obscurcissement Golang<\/a> disponible publiquement sur GitHub.<\/p>\n<p>La biblioth\u00e8que gobfuscate a d\u00e9j\u00e0 \u00e9t\u00e9 document\u00e9e comme utilis\u00e9e par les acteurs derri\u00e8re <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.blackberry.com\/en\/2021\/06\/pysa-loves-chachi-a-new-golang-rat\" target=\"_blank\">Cha Chi<\/a>un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance utilis\u00e9 par les op\u00e9rateurs du ran\u00e7ongiciel PYSA (alias Mespinoza) dans le cadre de leur ensemble d&#8217;outils, et du cadre de commande et de contr\u00f4le (C2) Sliver.<\/p>\n<p>La communication avec le serveur C2 est facilit\u00e9e par des requ\u00eates et des r\u00e9ponses DNS crypt\u00e9es, permettant au logiciel malveillant d&#8217;ex\u00e9cuter des commandes envoy\u00e9es par le serveur via l&#8217;invite de commande Windows (cmd.exe).  Les domaines C2 pour la campagne auraient \u00e9t\u00e9 enregistr\u00e9s fin mai 2022.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La d\u00e9cision de Microsoft de bloquer les macros par d\u00e9faut dans les applications Office a conduit de nombreux adversaires \u00e0 modifier leurs campagnes en passant \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/who-needs-macros-threat-actors-pivot-to-abusing-explorer-and-other-lolbins-via-windows-shortcuts\/\" target=\"_blank\">fichiers LNK et ISO voyous<\/a> pour d\u00e9ployer des logiciels malveillants.  Il reste \u00e0 voir si les acteurs de GO#WEBBFUSCATOR adopteront une m\u00e9thode d&#8217;attaque similaire.<\/p>\n<p>&#8220;L&#8217;utilisation d&#8217;une image l\u00e9gitime pour construire un binaire Golang avec Certutil n&#8217;est pas tr\u00e8s courante&#8221;, ont d\u00e9clar\u00e9 les chercheurs, ajoutant, &#8220;il est clair que l&#8217;auteur original du binaire a con\u00e7u la charge utile avec \u00e0 la fois des m\u00e9thodologies triviales de contre-investigation et de d\u00e9tection anti-EDR. \u00e0 l&#8217;esprit.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/hackers-hide-malware-in-stunning-images.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une campagne persistante de logiciels malveillants bas\u00e9e sur Golang baptis\u00e9e GO#WEBBFUSCATOR a exploit\u00e9 l&#8217;image en champ profond prise par le t\u00e9lescope spatial James Webb (JWST) de la NASA comme leurre pour d\u00e9ployer des charges utiles malveillantes sur les syst\u00e8mes infect\u00e9s. Le d\u00e9veloppement, r\u00e9v\u00e9l\u00e9 par S\u00e9curonixsouligne l&#8217;adoption croissante de Go parmi les acteurs de la menace, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":341277,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5781,4168,4158,4165,4161,429,133,2708,2693,4157,4159,4171,4170,4167,4589,4590,4160,4163,4162,164,4394,13019,4172,4169,11903,3266,11902,4166,4164,5513],"class_list":["post-341276","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cachent","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-des","tag-images","tag-james","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-pirates","tag-prises","tag-securite-informatique","tag-securite-internet","tag-spatial","tag-superbes","tag-telescope","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-webb"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/341276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=341276"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/341276\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/341277"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=341276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=341276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=341276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}