{"id":462264,"date":"2022-11-14T05:35:52","date_gmt":"2022-11-14T07:35:52","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-hackers-de-worok-abusent-de-lapi-dropbox-pour-exfiltrer-des-donnees-via-une-porte-derobee-cachee-dans-des-images\/"},"modified":"2022-11-14T05:35:53","modified_gmt":"2022-11-14T07:35:53","slug":"les-hackers-de-worok-abusent-de-lapi-dropbox-pour-exfiltrer-des-donnees-via-une-porte-derobee-cachee-dans-des-images","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-hackers-de-worok-abusent-de-lapi-dropbox-pour-exfiltrer-des-donnees-via-une-porte-derobee-cachee-dans-des-images\/","title":{"rendered":"Les hackers de Worok abusent de l&#8217;API Dropbox pour exfiltrer des donn\u00e9es via une porte d\u00e9rob\u00e9e cach\u00e9e dans des images"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un groupe de cyberespionnage r\u00e9cemment d\u00e9couvert surnomm\u00e9 <strong>Travail<\/strong> a \u00e9t\u00e9 trouv\u00e9 cachant des logiciels malveillants dans des fichiers image apparemment inoffensifs, corroborant un maillon crucial dans la cha\u00eene d&#8217;infection de l&#8217;acteur de la menace.<\/p>\n<p>La soci\u00e9t\u00e9 tch\u00e8que de cybers\u00e9curit\u00e9 Avast a d\u00e9clar\u00e9 que le but des fichiers PNG est de dissimuler une charge utile utilis\u00e9e pour faciliter le vol d&#8217;informations.<\/p>\n<p>&#8220;Ce qui est remarquable, c&#8217;est la collecte de donn\u00e9es \u00e0 partir des machines des victimes utilisant le r\u00e9f\u00e9rentiel DropBox, ainsi que des attaquants utilisant l&#8217;API DropBox pour la communication avec l&#8217;\u00e9tape finale&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/martinchlumecky\/png-steganography\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Le d\u00e9veloppement intervient un peu plus de deux mois apr\u00e8s qu&#8217;ESET a divulgu\u00e9 les d\u00e9tails des attaques men\u00e9es par Worok contre des entreprises de premier plan et des gouvernements locaux situ\u00e9s en Asie et en Afrique.  On pense que Worok partage des chevauchements tactiques avec un acteur mena\u00e7ant chinois suivi sous le nom de TA428.<\/p>\n<p>La soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 a \u00e9galement document\u00e9 la s\u00e9quence de compromis de Worok, qui utilise un chargeur bas\u00e9 sur C++ appel\u00e9 <b>CLRLoad<\/b> pour ouvrir la voie \u00e0 un script PowerShell inconnu int\u00e9gr\u00e9 dans des images PNG, une technique connue sous le nom de st\u00e9ganographie.<\/p>\n<p>Cela dit, le vecteur d&#8217;attaque initial reste encore inconnu, bien que certaines intrusions aient entra\u00een\u00e9 l&#8217;utilisation de vuln\u00e9rabilit\u00e9s ProxyShell dans Microsoft Exchange Server pour d\u00e9ployer le malware.<\/p>\n<p>Les conclusions d&#8217;Avast montrent que le collectif contradictoire utilise <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Chargement lat\u00e9ral de DLL<\/a> lors de l&#8217;obtention de l&#8217;acc\u00e8s initial pour ex\u00e9cuter le logiciel malveillant CLRLoad, mais pas avant d&#8217;effectuer un mouvement lat\u00e9ral dans l&#8217;environnement infect\u00e9.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Chargeur de logiciels malveillants CLRLoad\" border=\"0\" data-original-height=\"357\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668411351_183_Les-hackers-de-Worok-abusent-de-lAPI-Dropbox-pour-exfiltrer.jpg\" title=\"Chargeur de logiciels malveillants CLRLoad\" \/><\/div>\n<p>PNGLoad, qui est lanc\u00e9 par CLRLoad (ou une autre premi\u00e8re \u00e9tape appel\u00e9e PowHeartBeat), se d\u00e9clinerait en deux variantes, chacune responsable du d\u00e9codage du code malveillant dans l&#8217;image pour lancer soit un script PowerShell, soit une charge utile bas\u00e9e sur .NET C#. .<\/p>\n<p>Le script PowerShell est rest\u00e9 insaisissable, bien que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 ait not\u00e9 qu&#8217;elle \u00e9tait capable de signaler quelques fichiers PNG appartenant \u00e0 la deuxi\u00e8me cat\u00e9gorie qui dispensaient un malware C# int\u00e9gr\u00e9 de mani\u00e8re st\u00e9ganographique.<\/p>\n<p>&#8220;A premi\u00e8re vue, les images PNG semblent innocentes, comme un nuage pelucheux&#8221;, a d\u00e9clar\u00e9 Avast.  &#8220;Dans ce cas pr\u00e9cis, les fichiers PNG se trouvent dans C:Program FilesInternet Explorer, donc l&#8217;image n&#8217;attire pas l&#8217;attention car Internet Explorer a un th\u00e8me similaire.&#8221;<\/p>\n<p>Ce nouveau logiciel malveillant, baptis\u00e9 DropBoxControl, est un implant de vol d&#8217;informations qui utilise un compte Dropbox pour la commande et le contr\u00f4le, permettant \u00e0 l&#8217;auteur de la menace de t\u00e9l\u00e9charger et de t\u00e9l\u00e9charger des fichiers dans des dossiers sp\u00e9cifiques ainsi que d&#8217;ex\u00e9cuter des commandes pr\u00e9sentes dans un certain fichier.<\/p>\n<div class=\"ad_two clear\"><img decoding=\"async\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Le-service-de-phishing-de-Robin-Banks-pour-les-cybercriminels.gif\" style=\"float:left\" \/><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Certaines des commandes notables incluent la possibilit\u00e9 d&#8217;ex\u00e9cuter des ex\u00e9cutables arbitraires, de t\u00e9l\u00e9charger et de t\u00e9l\u00e9charger des donn\u00e9es, de supprimer et de renommer des fichiers, de capturer des informations sur les fichiers, de renifler les communications r\u00e9seau et d&#8217;exfiltrer les m\u00e9tadonn\u00e9es du syst\u00e8me.<\/p>\n<p>Les entreprises et les institutions gouvernementales au Cambodge, au Vietnam et au Mexique sont quelques-uns des principaux pays touch\u00e9s par DropBoxControl, a d\u00e9clar\u00e9 Avast, ajoutant que les auteurs du logiciel malveillant sont probablement diff\u00e9rents de ceux derri\u00e8re CLRLoad et PNGLoad en raison de &#8220;la qualit\u00e9 de code consid\u00e9rablement diff\u00e9rente de ces charges utiles&#8221;. &#8220;<\/p>\n<p>Quoi qu&#8217;il en soit, le d\u00e9ploiement de l&#8217;implant de troisi\u00e8me \u00e9tape en tant qu&#8217;outil pour r\u00e9colter des fichiers d&#8217;int\u00e9r\u00eat indique clairement les objectifs de collecte de renseignements de Worok, sans oublier qu&#8217;il sert \u00e0 illustrer une extension de sa cha\u00eene de destruction.<\/p>\n<p>&#8220;La pr\u00e9valence des outils de Worok dans la nature est faible, cela peut donc indiquer que l&#8217;ensemble d&#8217;outils est un projet APT ax\u00e9 sur des entit\u00e9s de premier plan dans les secteurs priv\u00e9 et public en Asie, en Afrique et en Am\u00e9rique du Nord&#8221;, ont conclu les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/worok-hackers-abuse-dropbox-api-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe de cyberespionnage r\u00e9cemment d\u00e9couvert surnomm\u00e9 Travail a \u00e9t\u00e9 trouv\u00e9 cachant des logiciels malveillants dans des fichiers image apparemment inoffensifs, corroborant un maillon crucial dans la cha\u00eene d&#8217;infection de l&#8217;acteur de la menace. La soci\u00e9t\u00e9 tch\u00e8que de cybers\u00e9curit\u00e9 Avast a d\u00e9clar\u00e9 que le but des fichiers PNG est de dissimuler une charge utile utilis\u00e9e [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":462265,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[22357,30206,4168,4158,4165,4161,429,7084,133,1343,8862,124316,6578,2708,4157,4159,4171,4170,10786,65,4167,4160,4163,4162,2742,185,4172,4169,196,4166,4164,106761],"class_list":["post-462264","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-abusent","tag-cachee","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-derobee","tag-des","tag-donnees","tag-dropbox","tag-exfiltrer","tag-hackers","tag-images","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lapi","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-porte","tag-pour","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-worok"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/462264","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=462264"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/462264\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/462265"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=462264"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=462264"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=462264"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}