{"id":467887,"date":"2022-11-17T13:03:26","date_gmt":"2022-11-17T15:03:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-utilisent-42-000-domaines-dimposteurs-dans-le-cadre-dune-campagne-massive-dattaques-par-hameconnage\/"},"modified":"2022-11-17T13:03:27","modified_gmt":"2022-11-17T15:03:27","slug":"des-pirates-chinois-utilisent-42-000-domaines-dimposteurs-dans-le-cadre-dune-campagne-massive-dattaques-par-hameconnage","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-utilisent-42-000-domaines-dimposteurs-dans-le-cadre-dune-campagne-massive-dattaques-par-hameconnage\/","title":{"rendered":"Des pirates chinois utilisent 42 000 domaines d&#8217;imposteurs dans le cadre d&#8217;une campagne massive d&#8217;attaques par hame\u00e7onnage"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un groupe \u00e0 motivation financi\u00e8re bas\u00e9 en Chine tire parti de la confiance associ\u00e9e aux marques internationales populaires pour orchestrer une campagne de phishing \u00e0 grande \u00e9chelle remontant \u00e0 2019.<\/p>\n<p>L&#8217;acteur mena\u00e7ant, surnomm\u00e9 <b>Fangxiao <\/b>par Cyjax, aurait enregistr\u00e9 plus de <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyjax.com\/app\/uploads\/2022\/11\/fangxiao-a-chinese-threat-actor.txt\" target=\"_blank\">42 000 domaines imposteurs<\/a>avec une premi\u00e8re activit\u00e9 constat\u00e9e en 2017.<\/p>\n<p>&#8220;Il cible les entreprises de plusieurs secteurs verticaux, notamment la vente au d\u00e9tail, la banque, les voyages et l&#8217;\u00e9nergie&#8221;, ont d\u00e9clar\u00e9 les chercheurs Emily Dennison et Alana Witten. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyjax.com\/2022\/11\/14\/fangxiao-a-chinese-threat-actor\/\" target=\"_blank\">a dit<\/a>.  &#8220;Les incitations financi\u00e8res ou physiques promises sont utilis\u00e9es pour inciter les victimes \u00e0 diffuser davantage la campagne via WhatsApp.&#8221;<\/p>\n<p>Les utilisateurs cliquant sur un lien envoy\u00e9 via l&#8217;application de messagerie sont dirig\u00e9s vers un site contr\u00f4l\u00e9 par un acteur, qui, \u00e0 son tour, les envoie vers un domaine d&#8217;atterrissage se faisant passer pour une marque bien connue, d&#8217;o\u00f9 les victimes sont \u00e0 nouveau dirig\u00e9es vers des sites distribuant des applications frauduleuses et de fausses r\u00e9compenses.<\/p>\n<p>Ces sites invitent les visiteurs \u00e0 remplir un sondage pour r\u00e9clamer des prix en argent, en \u00e9change desquels on leur demande de transmettre le message \u00e0 cinq groupes ou 20 amis.  La redirection finale d\u00e9pend cependant de l&#8217;adresse IP de la victime et du navigateur <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTTP\/Headers\/User-Agent\" target=\"_blank\">Cha\u00eene utilisateur-agent<\/a>.<\/p>\n<p>Plus de 400 organisations, dont Emirates, Shopee, Unilever, Indomie, Coca-Cola, McDonald&#8217;s et Knorr, sont imit\u00e9es dans le cadre du stratag\u00e8me criminel, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>Alternativement, des attaques dans lesquelles des publicit\u00e9s mobiles frauduleuses sont cliqu\u00e9es \u00e0 partir d&#8217;un appareil Android ont abouti au d\u00e9ploiement d&#8217;un cheval de Troie mobile appel\u00e9 Triada, qui a r\u00e9cemment \u00e9t\u00e9 rep\u00e9r\u00e9 se propageant via de fausses applications WhatsApp.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"270\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668697406_683_Des-pirates-chinois-utilisent-42-000-domaines-dimposteurs-dans-le.png\"\/><\/div>\n<p>Ce n&#8217;est pas seulement Triada, car une autre destination de la campagne est la liste Google Play Store d&#8217;une application appel\u00e9e &#8220;App Booster Lite &#8211; RAM Booster&#8221; (<a rel=\"nofollow noopener\" href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.app.booster.lite.phonecleaner.batterysaver.cleanmaster\" target=\"_blank\">com.app.booster.lite.phonecleaner.batterysaver.cleanmaster<\/a>), qui compte plus de 10 millions de t\u00e9l\u00e9chargements.<\/p>\n<p>L&#8217;application, cr\u00e9\u00e9e par un d\u00e9veloppeur tch\u00e8que connu sous le nom de LocoMind, est d\u00e9crite comme un &#8220;Powerful Phone Booster&#8221;, https:\/\/thehackernews.com\/2022\/11\/&#8221;Smart Junk Cleaner&#8221; et un &#8220;Effective Battery Saver&#8221;.<\/p>\n<p>Les critiques de l&#8217;application ont appel\u00e9 l&#8217;\u00e9diteur pour avoir diffus\u00e9 trop d&#8217;annonces, et ont m\u00eame soulign\u00e9 qu&#8217;elles &#8220;sont arriv\u00e9es ici [the Play Store page] de l&#8217;une de ces publicit\u00e9s &#8216;votre android est endommag\u00e9 x%&#8217;.&#8221;<\/p>\n<p>&#8220;Notre application ne peut pas propager de virus&#8221;, a r\u00e9pondu LocoMind \u00e0 l&#8217;examen le 31 octobre 2022. &#8220;Chacune de nos mises \u00e0 jour est v\u00e9rifi\u00e9e par Google Play &#8211; ils auraient supprim\u00e9 notre application il y a longtemps pour cette raison.&#8221;<\/p>\n<p>Si la m\u00eame action est effectu\u00e9e \u00e0 partir d&#8217;un appareil fonctionnant sous iOS, la victime est redirig\u00e9e vers Amazon via un lien d&#8217;affiliation, ce qui rapporte \u00e0 l&#8217;acteur une commission pour chaque achat sur la plateforme de commerce \u00e9lectronique effectu\u00e9 au cours des prochaines 24 heures.<\/p>\n<p>Les connexions de l&#8217;auteur de la menace avec la Chine d\u00e9coulent de la pr\u00e9sence de texte en mandarin dans un service Web associ\u00e9 \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/aaPanel\" target=\"_blank\">aaPanel<\/a>un panneau de contr\u00f4le open source bas\u00e9 sur Python pour l&#8217;h\u00e9bergement de plusieurs sites Web.<\/p>\n<p>Une analyse plus approfondie des certificats TLS d\u00e9livr\u00e9s aux domaines de l&#8217;enqu\u00eate en 2021 et 2022 r\u00e9v\u00e8le qu&#8217;une grande partie des enregistrements chevauchent le fuseau horaire UTC+08:00, qui correspond \u00e0 l&#8217;heure normale de la Chine de 9h00 \u00e0 23h00.<\/p>\n<p>&#8220;Les op\u00e9rateurs sont exp\u00e9riment\u00e9s dans la gestion de ce type de campagnes d&#8217;imposteurs, d\u00e9sireux d&#8217;\u00eatre dynamiques pour atteindre leurs objectifs, et techniquement et logistiquement capables d&#8217;\u00e9voluer pour d\u00e9velopper leur activit\u00e9&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Les campagnes Fangxiao sont des m\u00e9thodes efficaces de g\u00e9n\u00e9ration de leads qui ont \u00e9t\u00e9 redirig\u00e9es vers divers domaines, des logiciels malveillants aux liens de r\u00e9f\u00e9rence, en passant par les publicit\u00e9s et les logiciels publicitaires.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/chinese-hackers-using-42000-imposter.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe \u00e0 motivation financi\u00e8re bas\u00e9 en Chine tire parti de la confiance associ\u00e9e aux marques internationales populaires pour orchestrer une campagne de phishing \u00e0 grande \u00e9chelle remontant \u00e0 2019. L&#8217;acteur mena\u00e7ant, surnomm\u00e9 Fangxiao par Cyjax, aurait enregistr\u00e9 plus de 42 000 domaines imposteursavec une premi\u00e8re activit\u00e9 constat\u00e9e en 2017. &#8220;Il cible les entreprises de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":467888,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4176,2930,5663,4168,4158,4165,4161,429,5728,133,104597,16705,1326,35400,4157,4159,4171,4170,4167,5433,4160,4163,4162,164,4394,4172,4169,10784,4166,4164],"class_list":["post-467887","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cadre","tag-campagne","tag-chinois","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-dattaques","tag-des","tag-dimposteurs","tag-domaines","tag-dune","tag-hameconnage","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-massive","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/467887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=467887"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/467887\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/467888"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=467887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=467887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=467887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}