{"id":470781,"date":"2022-11-19T06:01:29","date_gmt":"2022-11-19T08:01:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/microsoft-met-en-garde-contre-les-pirates-utilisant-google-ads-pour-distribuer-royal-ransomware\/"},"modified":"2022-11-19T06:01:31","modified_gmt":"2022-11-19T08:01:31","slug":"microsoft-met-en-garde-contre-les-pirates-utilisant-google-ads-pour-distribuer-royal-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/microsoft-met-en-garde-contre-les-pirates-utilisant-google-ads-pour-distribuer-royal-ransomware\/","title":{"rendered":"Microsoft met en garde contre les pirates utilisant Google Ads pour distribuer Royal Ransomware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un groupe d&#8217;activit\u00e9s de menace en d\u00e9veloppement a \u00e9t\u00e9 d\u00e9couvert en utilisant Google Ads dans l&#8217;une de ses campagnes pour distribuer diverses charges utiles post-compromis, y compris le r\u00e9cemment d\u00e9couvert <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/ransomware-roundup-royal-ransomware\" target=\"_blank\">Logiciel de ran\u00e7on royal<\/a>.<\/p>\n<p>Microsoft, qui a rep\u00e9r\u00e9 la m\u00e9thode de diffusion des logiciels malveillants mise \u00e0 jour fin octobre 2022, suit le groupe sous le nom <strong>DEV-0569<\/strong>.<\/p>\n<p>&#8220;Les attaques DEV-0569 observ\u00e9es montrent un mod\u00e8le d&#8217;innovation continue, avec l&#8217;incorporation r\u00e9guli\u00e8re de nouvelles techniques de d\u00e9couverte, l&#8217;\u00e9vasion de la d\u00e9fense et diverses charges utiles post-compromis, ainsi que la facilitation croissante des ransomwares&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe Microsoft Security Threat Intelligence. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2022\/11\/17\/dev-0569-finds-new-ways-to-deliver-royal-ransomware-various-payloads\/\" target=\"_blank\">a dit<\/a> dans une analyse.<\/p>\n<p>L&#8217;acteur de la menace est connu pour s&#8217;appuyer sur la publicit\u00e9 malveillante pour diriger les victimes sans m\u00e9fiance vers des liens de t\u00e9l\u00e9chargement de logiciels malveillants qui se pr\u00e9sentent comme des installateurs de logiciels pour des applications l\u00e9gitimes comme Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams et Zoom.<\/p>\n<p>Le t\u00e9l\u00e9chargeur de logiciels malveillants, une souche appel\u00e9e BATLOADER, est un compte-gouttes qui fonctionne comme un conduit pour distribuer les charges utiles de la prochaine \u00e9tape.  Il a \u00e9t\u00e9 observ\u00e9 qu&#8217;il partageait des chevauchements avec un autre logiciel malveillant appel\u00e9 ZLoader.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Logiciel de ran\u00e7on royal\" border=\"0\" data-original-height=\"360\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668844889_703_Microsoft-met-en-garde-contre-les-pirates-utilisant-Google-Ads.png\" title=\"Logiciel de ran\u00e7on royal\"\/><\/div>\n<p>Une analyse r\u00e9cente de BATLOADER par <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/batloader-facilitates-fraud-hands-on-keyboard-attacks\" target=\"_blank\">eSenti<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.vmware.com\/security\/2022\/11\/batloader-the-evasive-downloader-malware.html\" target=\"_blank\">VMware<\/a> a soulign\u00e9 la furtivit\u00e9 et la persistance du malware, en plus de son utilisation de l&#8217;empoisonnement de l&#8217;optimisation des moteurs de recherche (SEO) pour inciter les utilisateurs \u00e0 t\u00e9l\u00e9charger le malware \u00e0 partir de sites Web compromis ou de domaines cr\u00e9\u00e9s par des attaquants.<\/p>\n<p>Alternativement, les liens de phishing sont partag\u00e9s via des spams, de fausses pages de forum, des commentaires de blog et m\u00eame des formulaires de contact pr\u00e9sents sur les sites Web des organisations cibl\u00e9es.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Logiciel de ran\u00e7on royal\" border=\"0\" data-original-height=\"406\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668844889_128_Microsoft-met-en-garde-contre-les-pirates-utilisant-Google-Ads.png\" title=\"Logiciel de ran\u00e7on royal\"\/><\/div>\n<p>&#8220;DEV-0569 a utilis\u00e9 diverses cha\u00eenes d&#8217;infection utilisant PowerShell et des scripts batch qui ont finalement conduit au t\u00e9l\u00e9chargement de charges utiles de logiciels malveillants comme des voleurs d&#8217;informations ou un outil de gestion \u00e0 distance l\u00e9gitime utilis\u00e9 pour la persistance sur le r\u00e9seau&#8221;, a not\u00e9 le g\u00e9ant de la technologie.<\/p>\n<p>&#8220;L&#8217;outil de gestion peut \u00e9galement \u00eatre un point d&#8217;acc\u00e8s pour la mise en sc\u00e8ne et la diffusion de ransomwares.&#8221;<\/p>\n<p>Un outil connu sous le nom de NSudo est \u00e9galement utilis\u00e9 pour lancer des programmes avec des privil\u00e8ges \u00e9lev\u00e9s et alt\u00e9rer les d\u00e9fenses en ajoutant des valeurs de registre con\u00e7ues pour d\u00e9sactiver les solutions antivirus.<\/p>\n<p>L&#8217;utilisation de Google Ads pour fournir BATLOADER de mani\u00e8re s\u00e9lective marque une diversification des vecteurs de distribution du DEV-0569, lui permettant d&#8217;atteindre plus de cibles et de fournir des charges utiles de logiciels malveillants, a soulign\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>Cela positionne en outre le groupe pour servir de courtier d&#8217;acc\u00e8s initial pour d&#8217;autres op\u00e9rations de ransomware, rejoignant des logiciels malveillants tels qu&#8217;Emotet, IcedID, Qakbot.<\/p>\n<p>&#8220;\u00c9tant donn\u00e9 que le sch\u00e9ma de phishing de DEV-0569 abuse des services l\u00e9gitimes, les organisations peuvent \u00e9galement tirer parti des r\u00e8gles de flux de messagerie pour capturer des mots cl\u00e9s suspects ou examiner de larges exceptions, telles que celles li\u00e9es aux plages d&#8217;adresses IP et aux listes d&#8217;autorisation au niveau du domaine&#8221;, a d\u00e9clar\u00e9 Microsoft.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/microsoft-warns-of-hackers-using-google.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe d&#8217;activit\u00e9s de menace en d\u00e9veloppement a \u00e9t\u00e9 d\u00e9couvert en utilisant Google Ads dans l&#8217;une de ses campagnes pour distribuer diverses charges utiles post-compromis, y compris le r\u00e9cemment d\u00e9couvert Logiciel de ran\u00e7on royal. Microsoft, qui a rep\u00e9r\u00e9 la m\u00e9thode de diffusion des logiciels malveillants mise \u00e0 jour fin octobre 2022, suit le groupe sous [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":470782,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[39578,4168,841,4158,4165,4161,28,525,7755,4157,4159,4171,4170,65,4167,4955,8362,4160,4163,4162,4394,185,4392,4826,4172,4169,20349,4166,4164],"class_list":["post-470781","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ads","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-distribuer","tag-garde","tag-google","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-met","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-ransomware","tag-royal","tag-securite-informatique","tag-securite-internet","tag-utilisant","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/470781","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=470781"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/470781\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/470782"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=470781"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=470781"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=470781"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}