{"id":368053,"date":"2022-09-16T15:27:38","date_gmt":"2022-09-16T17:27:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-chercheurs-trouvent-un-lien-b-w-privateloader-et-ruzki-pay-per-install-services\/"},"modified":"2022-09-16T15:27:39","modified_gmt":"2022-09-16T17:27:39","slug":"les-chercheurs-trouvent-un-lien-b-w-privateloader-et-ruzki-pay-per-install-services","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-chercheurs-trouvent-un-lien-b-w-privateloader-et-ruzki-pay-per-install-services\/","title":{"rendered":"Les chercheurs trouvent un lien b \/ w PrivateLoader et Ruzki Pay-Per-Install Services"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont r\u00e9v\u00e9l\u00e9 de nouvelles connexions entre un service de logiciels malveillants \u00e0 paiement par installation (PPI) largement utilis\u00e9 connu sous le nom de PrivateLoader et un autre service PPI appel\u00e9 ruzki.<\/p>\n<p>&#8220;L&#8217;acteur mena\u00e7ant ruzki (alias les0k, zhigalsz) fait la publicit\u00e9 de son service PPI sur des forums clandestins russophones et de ses cha\u00eenes Telegram sous le nom de ruzki ou zhigalsz depuis au moins mai 2021&#8221;, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/privateloader-the-loader-of-the-prevalent-ruzki-ppi-service\/\" target=\"_blank\">SEKOIA<\/a> a dit.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que ses enqu\u00eates sur les services jumeaux l&#8217;ont amen\u00e9e \u00e0 conclure que PrivateLoader est le chargeur propri\u00e9taire du service de malware ruzki PPI.<\/p>\n<p>PrivateLoader, comme son nom l&#8217;indique, fonctionne comme un chargeur bas\u00e9 sur C++ pour t\u00e9l\u00e9charger et d\u00e9ployer des charges utiles malveillantes suppl\u00e9mentaires sur des h\u00f4tes Windows infect\u00e9s.  Il est principalement distribu\u00e9 via des sites Web optimis\u00e9s pour le r\u00e9f\u00e9rencement qui pr\u00e9tendent fournir des logiciels pirat\u00e9s.<\/p>\n<p>Bien qu&#8217;il ait \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois en f\u00e9vrier par Intel471, il aurait \u00e9t\u00e9 utilis\u00e9 d\u00e8s mai 2021.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Certaines des familles de logiciels malveillants les plus courantes propag\u00e9es via PrivateLoader incluent Redline Stealer, <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.socelars\" target=\"_blank\">Socelars<\/a>Voleur de ratons laveurs, Vidar, <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.tofsee\" target=\"_blank\">Tofsee<\/a>Amadey, DanaBot et les souches de ransomware Djvu et STOP.<\/p>\n<p>Une analyse de mai 2022 de Trend Micro a r\u00e9v\u00e9l\u00e9 le malware distribuant un framework appel\u00e9 NetDooka.  Un rapport de suivi de BitSight \u00e0 la fin du mois dernier <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitsight.com\/blog\/tracking-privateloader-malware-distribution-service\" target=\"_blank\">trouv\u00e9<\/a> infections importantes en Inde et au Br\u00e9sil en juillet 2022.<\/p>\n<p>Un nouveau changement rep\u00e9r\u00e9 par SEKOIA est l&#8217;utilisation du service de documents VK.com pour h\u00e9berger les charges utiles malveillantes par opposition \u00e0 Discord, un changement probablement motiv\u00e9 par une surveillance accrue du r\u00e9seau de diffusion de contenu de la plate-forme.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Services de paiement \u00e0 l'installation PrivateLoader et Ruzki\" border=\"0\" data-original-height=\"350\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/Les-chercheurs-trouvent-un-lien-b-w-PrivateLoader-et.jpg\" title=\"Services de paiement \u00e0 l'installation PrivateLoader et Ruzki\" \/><\/div>\n<p>PrivateLoader est \u00e9galement configur\u00e9 pour communiquer avec des serveurs de commande et de contr\u00f4le (C2) pour r\u00e9cup\u00e9rer et exfiltrer des donn\u00e9es.  \u00c0 la mi-septembre, il y avait quatre serveurs C2 actifs, deux en Russie et un en Tch\u00e9quie et un en Allemagne.<\/p>\n<p>&#8220;Sur la base de la large s\u00e9lection de familles de logiciels malveillants, ce qui implique un large \u00e9ventail d&#8217;acteurs mena\u00e7ants ou d&#8217;ensembles d&#8217;intrusions exploitant ce logiciel malveillant, le service PPI ex\u00e9cutant PrivateLoader est tr\u00e8s attrayant et populaire pour les attaquants sur les march\u00e9s clandestins&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>SEKOIA a en outre d\u00e9clar\u00e9 avoir d\u00e9couvert des liens entre PrivateLoader et ruzki, un acteur mena\u00e7ant qui vend des lots de 1 000 installations sur des syst\u00e8mes infect\u00e9s situ\u00e9s \u00e0 travers le monde (70 $), ou plus pr\u00e9cis\u00e9ment en Europe (300 $) ou aux \u00c9tats-Unis (1 000 $).<\/p>\n<p>Ces publicit\u00e9s, qui ont \u00e9t\u00e9 plac\u00e9es sur le forum de cybercriminalit\u00e9 Lolz Guru, ciblent les acteurs de la menace (c&#8217;est-\u00e0-dire les clients potentiels) qui souhaitent distribuer leurs charges utiles via le service PPI.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>L&#8217;association d\u00e9coule principalement des observations ci-dessous &#8211;<\/p>\n<ul>\n<li>Un chevauchement entre les serveurs PrivateLoader C2 et celui des URL fournies par ruzki aux abonn\u00e9s afin de suivre les statistiques d&#8217;installation li\u00e9es \u00e0 leurs campagnes<\/li>\n<li>R\u00e9f\u00e9rences \u00e0 ruzki dans les exemples de noms de botnet PrivateLoader qui ont \u00e9t\u00e9 utilis\u00e9s pour fournir le Redline Stealer, tels que ruzki9 et 3108_RUZKI, et<\/li>\n<li>Le fait que PrivateLoader et ruzki aient commenc\u00e9 leurs op\u00e9rations en mai 2021, l&#8217;op\u00e9rateur ruzki utilisant le terme &#8220;notre chargeur&#8221; \u200b\u200ben russe sur sa cha\u00eene Telegram<\/li>\n<\/ul>\n<p>&#8220;Les services de paiement par installation ont toujours jou\u00e9 un r\u00f4le cl\u00e9 dans la distribution de logiciels malveillants de base&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;En tant que solution cl\u00e9 en main suppl\u00e9mentaire r\u00e9duisant le co\u00fbt d&#8217;entr\u00e9e sur le march\u00e9 cybercriminel et service contribuant \u00e0 une professionnalisation continue de l&#8217;\u00e9cosyst\u00e8me cybercriminel, il est fort probable que davantage d&#8217;activit\u00e9s li\u00e9es \u00e0 PrivacyLoader soient observ\u00e9es \u00e0 court terme.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/researchers-find-link-bw-privateloader.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs en cybers\u00e9curit\u00e9 ont r\u00e9v\u00e9l\u00e9 de nouvelles connexions entre un service de logiciels malveillants \u00e0 paiement par installation (PPI) largement utilis\u00e9 connu sous le nom de PrivateLoader et un autre service PPI appel\u00e9 ruzki. &#8220;L&#8217;acteur mena\u00e7ant ruzki (alias les0k, zhigalsz) fait la publicit\u00e9 de son service PPI sur des forums clandestins russophones et de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":368054,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4168,4158,4165,4161,4157,4159,4171,4170,65,9058,4167,4160,4163,4162,109392,61118,109391,4172,4169,3831,12850,4166,4164],"class_list":["post-368053","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-lien","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-payperinstall","tag-privateloader","tag-ruzki","tag-securite-informatique","tag-securite-internet","tag-services","tag-trouvent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/368053","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=368053"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/368053\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/368054"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=368053"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=368053"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=368053"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}