{"id":363949,"date":"2022-09-14T06:59:03","date_gmt":"2022-09-14T08:59:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-chercheurs-detaillent-originlogger-rat-successeur-de-lagent-tesla-malware\/"},"modified":"2022-09-14T06:59:04","modified_gmt":"2022-09-14T08:59:04","slug":"les-chercheurs-detaillent-originlogger-rat-successeur-de-lagent-tesla-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-chercheurs-detaillent-originlogger-rat-successeur-de-lagent-tesla-malware\/","title":{"rendered":"Les chercheurs d\u00e9taillent OriginLogger RAT &#8211; Successeur de l&#8217;agent Tesla Malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>L&#8217;unit\u00e9 42 de Palo Alto Networks a d\u00e9taill\u00e9 le fonctionnement interne d&#8217;un logiciel malveillant appel\u00e9 <strong>Enregistreur d&#8217;origine<\/strong>qui a \u00e9t\u00e9 pr\u00e9sent\u00e9 comme le successeur du voleur d&#8217;informations largement utilis\u00e9 et du cheval de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) connu sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.agent_tesla\" target=\"_blank\">AgentTesla<\/a>.<\/p>\n<p>Enregistreur de frappe bas\u00e9 sur .NET et acc\u00e8s \u00e0 distance, l&#8217;agent Tesla est pr\u00e9sent depuis longtemps dans le paysage des menaces, permettant aux acteurs malveillants d&#8217;acc\u00e9der \u00e0 distance aux syst\u00e8mes cibl\u00e9s et aux informations sensibles des balises dans un domaine contr\u00f4l\u00e9 par les acteurs.<\/p>\n<p>Connu pour \u00eatre utilis\u00e9 dans la nature depuis 2014, il est annonc\u00e9 \u00e0 la vente sur les forums du dark web et est g\u00e9n\u00e9ralement distribu\u00e9 via des spams malveillants en pi\u00e8ce jointe.<\/p>\n<p>En f\u00e9vrier 2021, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Sophos a d\u00e9voil\u00e9 deux nouvelles variantes du logiciel malveillant de base (versions 2 et 3) qui pr\u00e9sentaient des capacit\u00e9s pour voler les informations d&#8217;identification des navigateurs Web, des applications de messagerie et des clients VPN, ainsi que l&#8217;utilisation de l&#8217;API Telegram pour la commande et le contr\u00f4le. .<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Maintenant, selon le chercheur de l&#8217;unit\u00e9 42, Jeff White, ce qui a \u00e9t\u00e9 \u00e9tiquet\u00e9 comme AgentTesla version 3 est en fait <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/originlogger\/\" target=\"_blank\">Enregistreur d&#8217;origine<\/a>qui aurait vu le jour pour combler le vide laiss\u00e9 par le premier apr\u00e8s la fermeture de ses op\u00e9rateurs le 4 mars 2019, \u00e0 la suite de probl\u00e8mes judiciaires.<\/p>\n<p>Le point de d\u00e9part de l&#8217;enqu\u00eate de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 \u00e9tait un <a rel=\"nofollow noopener\" href=\"https:\/\/www.youtube.com\/watch?v=o-MDujYrtto\" target=\"_blank\">Vid\u00e9o Youtube<\/a> qui a \u00e9t\u00e9 publi\u00e9 en novembre 2018 d\u00e9taillant ses fonctionnalit\u00e9s, conduisant \u00e0 la d\u00e9couverte d&#8217;un \u00e9chantillon de logiciel malveillant (&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/595a7ea981a3948c4f387a5a6af54a70a41dd604685c72cbd2a55880c2b702ed\" target=\"_blank\">OriginLogger.exe<\/a>&#8220;) qui a \u00e9t\u00e9 charg\u00e9 dans la base de donn\u00e9es de logiciels malveillants VirusTotal le 17\u00a0mai\u00a02022.<\/p>\n<p>L&#8217;ex\u00e9cutable est un binaire de construction qui permet \u00e0 un client achet\u00e9 de sp\u00e9cifier les types de donn\u00e9es \u00e0 capturer, y compris le presse-papiers, les captures d&#8217;\u00e9cran et la liste des applications et des services (par exemple, les navigateurs, les clients de messagerie, etc.) \u00e0 partir desquels les informations d&#8217;identification doivent \u00eatre extrait.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"OriginLogger RAT\" border=\"0\" data-original-height=\"531\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663145942_892_Les-chercheurs-detaillent-OriginLogger-RAT-Successeur-de-lagent-Tesla.jpg\" title=\"OriginLogger RAT\" \/><\/div>\n<p>L&#8217;authentification de l&#8217;utilisateur est r\u00e9alis\u00e9e en envoyant une demande \u00e0 un serveur OriginLogger, qui r\u00e9sout les noms de domaine 0xfd3[.]com et son nouvel homologue originpro[.]moi bas\u00e9 sur deux artefacts de constructeur compil\u00e9s le 6 septembre 2020 et le 29 juin 2022.<\/p>\n<p>L&#8217;unit\u00e9 42 a d\u00e9clar\u00e9 qu&#8217;elle \u00e9tait capable d&#8217;identifier un profil GitHub avec le nom d&#8217;utilisateur 0xfd3 qui h\u00e9bergeait deux r\u00e9f\u00e9rentiels de code source pour voler les mots de passe de Google Chrome et Microsoft Outlook, tous deux utilis\u00e9s dans OrionLogger.<\/p>\n<p>OrionLogger, comme l&#8217;Agent Tesla, est livr\u00e9 via un <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/ccc8d5aa5d1a682c20b0806948bf06d1b5d11961887df70c8902d2146c6d1481\" target=\"_blank\">document Microsoft Word leurre<\/a> qui, lorsqu&#8217;il est ouvert, est con\u00e7u pour afficher une image d&#8217;un passeport pour un citoyen allemand et une carte de cr\u00e9dit, ainsi qu&#8217;un certain nombre de feuilles de calcul Excel int\u00e9gr\u00e9es.<\/p>\n<p>Les feuilles de calcul, \u00e0 leur tour, contiennent une macro VBA qui utilise <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1218\/005\/\" target=\"_blank\">MSHTA<\/a> pour invoquer une page HTML h\u00e9berg\u00e9e sur un serveur distant, qui, pour sa part, inclut un code JavaScript obfusqu\u00e9 pour r\u00e9cup\u00e9rer deux binaires encod\u00e9s h\u00e9berg\u00e9s sur Bitbucket.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Le premier des deux logiciels malveillants est un chargeur qui utilise la technique de <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\">processus d&#8217;\u00e9videment<\/a> pour injecter le deuxi\u00e8me ex\u00e9cutable, la charge utile OrionLogger, dans le <a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/visualstudio\/msbuild\/aspnetcompiler-task\" target=\"_blank\">processus aspnet_compiler.exe<\/a>un utilitaire l\u00e9gitime pour pr\u00e9compiler les applications ASP.NET.<\/p>\n<p>&#8220;Le logiciel malveillant utilise des m\u00e9thodes \u00e9prouv\u00e9es et inclut la possibilit\u00e9 de saisir des cl\u00e9s, de voler des informations d&#8217;identification, de prendre des captures d&#8217;\u00e9cran, de t\u00e9l\u00e9charger des charges utiles suppl\u00e9mentaires, de t\u00e9l\u00e9charger vos donn\u00e9es de multiples fa\u00e7ons et d&#8217;essayer d&#8217;\u00e9viter la d\u00e9tection&#8221;, a d\u00e9clar\u00e9 White.<\/p>\n<p>De plus, une analyse d&#8217;un corpus de plus de 1 900 \u00e9chantillons montre que les m\u00e9canismes d&#8217;exfiltration les plus courants pour renvoyer les donn\u00e9es \u00e0 l&#8217;attaquant sont via SMTP, FTP, les t\u00e9l\u00e9chargements Web vers le panneau OrionLogger et Telegram avec l&#8217;aide de 181 robots uniques.<\/p>\n<p>&#8220;Les enregistreurs de frappe commerciaux ont historiquement r\u00e9pondu aux attaquants moins avanc\u00e9s, mais comme illustr\u00e9 dans le document de leurre initial analys\u00e9 ici, cela ne rend pas les attaquants moins capables d&#8217;utiliser plusieurs outils et services pour obscurcir et rendre l&#8217;analyse plus compliqu\u00e9e&#8221;, a ajout\u00e9 White.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/researchers-detail-originlogger-rat.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;unit\u00e9 42 de Palo Alto Networks a d\u00e9taill\u00e9 le fonctionnement interne d&#8217;un logiciel malveillant appel\u00e9 Enregistreur d&#8217;originequi a \u00e9t\u00e9 pr\u00e9sent\u00e9 comme le successeur du voleur d&#8217;informations largement utilis\u00e9 et du cheval de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) connu sous le nom de AgentTesla. Enregistreur de frappe bas\u00e9 sur .NET et acc\u00e8s \u00e0 distance, l&#8217;agent Tesla [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":363950,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4168,4158,4165,4161,38951,4157,4159,4171,4170,15011,65,4167,4174,4160,4163,4162,108740,46743,4172,4169,4694,2585,4166,4164],"class_list":["post-363949","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-detaillent","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lagent","tag-les","tag-logiciel-malveillant-de-ransomware","tag-malware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-originlogger","tag-rat","tag-securite-informatique","tag-securite-internet","tag-successeur","tag-tesla","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/363949","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=363949"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/363949\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/363950"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=363949"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=363949"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=363949"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}