{"id":453197,"date":"2022-11-08T13:45:27","date_gmt":"2022-11-08T15:45:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/amadey-bot-repere-en-train-de-deployer-lockbit-3-0-ransomware-sur-des-machines-piratees\/"},"modified":"2022-11-08T13:45:28","modified_gmt":"2022-11-08T15:45:28","slug":"amadey-bot-repere-en-train-de-deployer-lockbit-3-0-ransomware-sur-des-machines-piratees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/amadey-bot-repere-en-train-de-deployer-lockbit-3-0-ransomware-sur-des-machines-piratees\/","title":{"rendered":"Amadey Bot rep\u00e9r\u00e9 en train de d\u00e9ployer LockBit 3.0 Ransomware sur des machines pirat\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le malware Amadey est utilis\u00e9 pour d\u00e9ployer le ran\u00e7ongiciel LockBit 3.0 sur des syst\u00e8mes compromis, ont averti les chercheurs.<\/p>\n<p>&#8220;Amadey bot, le logiciel malveillant utilis\u00e9 pour installer LockBit, est distribu\u00e9 via deux m\u00e9thodes\u00a0: l&#8217;une utilisant un fichier de document Word malveillant et l&#8217;autre utilisant un ex\u00e9cutable qui prend le d\u00e9guisement de l&#8217;ic\u00f4ne de fichier Word&#8221;, AhnLab Security Emergency Response Center (UNE SECONDE) <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/41450\/\" target=\"_blank\">a dit<\/a> dans un nouveau rapport publi\u00e9 aujourd&#8217;hui.<\/p>\n<p>Amadey, d\u00e9couvert pour la premi\u00e8re fois en 2018, est un &#8220;projet de vol d&#8217;informations de botnet criminel \u00e0 criminel (C2C)&#8221;, comme <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.blackberry.com\/en\/2022\/07\/smokeloader-malware-used-to-augment-amadey-infostealer\" target=\"_blank\">d\u00e9crit<\/a> par l&#8217;\u00e9quipe de recherche et de renseignement BlackBerry, et est propos\u00e9 \u00e0 l&#8217;achat dans le milieu criminel jusqu&#8217;\u00e0 600 $.<\/p>\n<p>Bien que sa fonction principale soit de r\u00e9colter des informations sensibles \u00e0 partir des h\u00f4tes infect\u00e9s, il se double en outre d&#8217;un canal pour fournir des artefacts de la prochaine \u00e9tape.  Plus t\u00f4t en juillet, il s&#8217;est propag\u00e9 \u00e0 l&#8217;aide de SmokeLoader, un logiciel malveillant avec des fonctionnalit\u00e9s pas si diff\u00e9rentes que lui.<\/p>\n<p>Le mois dernier, l&#8217;ASEC a \u00e9galement <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/40483\/\" target=\"_blank\">trouv\u00e9<\/a> le malware distribu\u00e9 sous le d\u00e9guisement de KakaoTalk, un service de messagerie instantan\u00e9e populaire en Cor\u00e9e du Sud, dans le cadre d&#8217;une campagne de phishing.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"427\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1667922326_939_Amadey-Bot-repere-en-train-de-deployer-LockBit-30-Ransomware.jpg\" \/><\/div>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"200\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1667922326_377_Amadey-Bot-repere-en-train-de-deployer-LockBit-30-Ransomware.jpg\" \/><\/div>\n<p>La derni\u00e8re analyse de la firme de cybers\u00e9curit\u00e9 est bas\u00e9e sur un fichier Microsoft Word (&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/142cbad8b9d400380c78935e60db104ec080812b1a298f9753a41b2811c856be\" target=\"_blank\">\uc2ec\uc2dc\uc544.docx<\/a>&#8220;) qui a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 sur VirusTotal le 28 octobre 2022. Le document contient une macro VBA malveillante qui, lorsqu&#8217;elle est activ\u00e9e par la victime, ex\u00e9cute une commande PowerShell pour t\u00e9l\u00e9charger et ex\u00e9cuter Amadey.<\/p>\n<p>Dans une cha\u00eene d&#8217;attaque alternative, Amadey est d\u00e9guis\u00e9 en un fichier apparemment inoffensif portant une ic\u00f4ne Word mais est en fait un ex\u00e9cutable (&#8220;Resume.exe&#8221;) qui se propage via un message de phishing.  L&#8217;ASEC a indiqu\u00e9 qu&#8217;elle n&#8217;\u00e9tait pas en mesure d&#8217;identifier l&#8217;e-mail utilis\u00e9 comme leurre.<\/p>\n<div class=\"ad_two clear\"><img decoding=\"async\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Le-service-de-phishing-de-Robin-Banks-pour-les-cybercriminels.gif\" style=\"float:left\" \/><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>R\u00e9ussissant \u00e0 ex\u00e9cuter Amadey, le malware r\u00e9cup\u00e8re et lance des commandes suppl\u00e9mentaires \u00e0 partir d&#8217;un serveur distant, qui inclut le ransomware LockBit au format PowerShell (.ps1) ou binaire (.exe).<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/research.nccgroup.com\/2022\/08\/19\/back-in-black-unlocking-a-lockbit-3-0-ransomware-attack\/\" target=\"_blank\">LockBit 3.0<\/a>aussi connu sous le nom <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2022\/09\/lockbit-builder-leaked-by-disgruntled-developer\" target=\"_blank\">Embout de verrouillage noir<\/a>lanc\u00e9 en juin 2022, aux c\u00f4t\u00e9s d&#8217;un nouveau portail web sombre et du tout premier <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.vmware.com\/security\/2022\/10\/lockbit-3-0-also-known-as-lockbit-black.html\" target=\"_blank\">programme de primes aux bogues<\/a> pour une op\u00e9ration de ransomware, promettant des r\u00e9compenses allant jusqu&#8217;\u00e0 1 million de dollars pour avoir trouv\u00e9 des bogues dans son site Web et ses logiciels.<\/p>\n<p>&#8220;Comme le ran\u00e7ongiciel LockBit est distribu\u00e9 par diverses m\u00e9thodes, la prudence des utilisateurs est recommand\u00e9e&#8221;, ont conclu les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/amadey-bot-spotted-deploying-lockbit-30.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le malware Amadey est utilis\u00e9 pour d\u00e9ployer le ran\u00e7ongiciel LockBit 3.0 sur des syst\u00e8mes compromis, ont averti les chercheurs. &#8220;Amadey bot, le logiciel malveillant utilis\u00e9 pour installer LockBit, est distribu\u00e9 via deux m\u00e9thodes\u00a0: l&#8217;une utilisant un fichier de document Word malveillant et l&#8217;autre utilisant un ex\u00e9cutable qui prend le d\u00e9guisement de l&#8217;ic\u00f4ne de fichier Word&#8221;, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":453198,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[122907,62886,4168,4158,4165,4161,9886,133,4157,4159,4171,4170,75287,4167,15487,4160,4163,4162,43528,4392,21044,4172,4169,60,9171,4166,4164],"class_list":["post-453197","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-amadey","tag-bot","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deployer","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lockbit","tag-logiciel-malveillant-de-ransomware","tag-machines","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-piratees","tag-ransomware","tag-repere","tag-securite-informatique","tag-securite-internet","tag-sur","tag-train","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/453197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=453197"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/453197\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/453198"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=453197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=453197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=453197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}