{"id":544793,"date":"2023-01-05T21:20:38","date_gmt":"2023-01-05T23:20:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-tactiques-evolutives-de-vidar-stealer-des-e-mails-de-phishing-aux-reseaux-sociaux\/"},"modified":"2023-01-05T21:20:40","modified_gmt":"2023-01-05T23:20:40","slug":"les-tactiques-evolutives-de-vidar-stealer-des-e-mails-de-phishing-aux-reseaux-sociaux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-tactiques-evolutives-de-vidar-stealer-des-e-mails-de-phishing-aux-reseaux-sociaux\/","title":{"rendered":"Les tactiques \u00e9volutives de Vidar Stealer\u00a0: des e-mails de phishing aux r\u00e9seaux sociaux"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des donn\u00e9es \/ Logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le c\u00e9l\u00e8bre voleur d&#8217;informations connu sous le nom de <strong>Vidar<\/strong> continue de tirer parti des services de m\u00e9dias sociaux populaires tels que TikTok, Telegram, Steam et Mastodon en tant que serveur interm\u00e9diaire de commande et de contr\u00f4le (C2).<\/p>\n<p>&#8220;Lorsqu&#8217;un utilisateur cr\u00e9e un compte sur une plate-forme en ligne, une page de compte unique accessible \u00e0 tous est g\u00e9n\u00e9r\u00e9e&#8221;, a r\u00e9v\u00e9l\u00e9 AhnLab Security Emergency Response Center (ASEC) dans une analyse technique. <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/44554\/\" target=\"_blank\">publi\u00e9<\/a> tard le mois dernier.  &#8220;Les acteurs de la menace \u00e9crivent des caract\u00e8res d&#8217;identification et l&#8217;adresse C2 dans certaines parties de cette page.&#8221;<\/p>\n<p>En d&#8217;autres termes, la technique repose sur des comptes jetables contr\u00f4l\u00e9s par des acteurs cr\u00e9\u00e9s sur les r\u00e9seaux sociaux pour r\u00e9cup\u00e9rer l&#8217;adresse C2.<\/p>\n<p>Un avantage de cette approche est que si le serveur C2 est d\u00e9sactiv\u00e9 ou bloqu\u00e9, l&#8217;adversaire peut facilement contourner les restrictions en configurant un nouveau serveur et en modifiant les pages du compte pour permettre au logiciel malveillant pr\u00e9c\u00e9demment distribu\u00e9 de communiquer avec le serveur.<\/p>\n<p>Vidar, identifi\u00e9 pour la premi\u00e8re fois en 2018, est un <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2021\/10\/26\/vidar-stealer-under-the-lens-a-deep-dive-analysis\/\" target=\"_blank\">commercial<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/30875\/\" target=\"_blank\">sur l&#8217;\u00e9tag\u00e8re<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/vidar-malware-launcher-concealed-in-help-file\/\" target=\"_blank\">malware<\/a> qui est capable de r\u00e9colter un large \u00e9ventail d&#8217;informations \u00e0 partir d&#8217;h\u00f4tes compromis.  Il s&#8217;appuie g\u00e9n\u00e9ralement sur des m\u00e9canismes de livraison tels que les e-mails de phishing et les logiciels pirat\u00e9s pour la propagation.<\/p>\n<p>&#8220;Une fois la collecte d&#8217;informations termin\u00e9e, les informations extorqu\u00e9es sont compress\u00e9es dans un fichier ZIP, encod\u00e9es en Base64 et transmises au serveur C2&#8221;, ont d\u00e9clar\u00e9 les chercheurs de l&#8217;ASEC.<\/p>\n<p>La nouveaut\u00e9 de la derni\u00e8re version du logiciel malveillant (version 56.1) est que les donn\u00e9es collect\u00e9es sont encod\u00e9es avant l&#8217;exfiltration, un changement par rapport aux variantes pr\u00e9c\u00e9dentes connues pour envoyer les donn\u00e9es de fichiers compress\u00e9es au format texte brut.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/Les-tactiques-evolutives-de-Vidar-Stealer-des-e-mails-de-phishing.png\" alt=\"Vidar\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" title=\"Vidar\"\/><\/div>\n<p>&#8220;Comme Vidar utilise des plates-formes c\u00e9l\u00e8bres comme interm\u00e9diaire C2, il a une longue dur\u00e9e de vie&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Le compte d&#8217;un acteur malveillant cr\u00e9\u00e9 il y a six mois est toujours maintenu et mis \u00e0 jour en permanence.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient au milieu de d\u00e9couvertes r\u00e9centes selon lesquelles le logiciel malveillant est distribu\u00e9 \u00e0 l&#8217;aide de diverses m\u00e9thodes, y compris des annonces Google malveillantes et un chargeur de logiciels malveillants surnomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2022\/bumblebee-increasing-its-capacity-and-evolving-its-ttps\/\" target=\"_blank\">Bourdon<\/a>ce dernier \u00e9tant attribu\u00e9 \u00e0 un acteur mena\u00e7ant suivi sous le nom de Exotic Lily et <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/bumblebee-malware-projector-libra\/\" target=\"_blank\">Projecteur Balance<\/a>.<\/p>\n<p>Le cabinet de conseil en risques Kroll, dans un <a rel=\"nofollow noopener\" href=\"https:\/\/www.kroll.com\/en\/insights\/publications\/cyber\/threat-actors-google-ads-deploy-vidar-stealer\" target=\"_blank\">une analyse<\/a> publi\u00e9 le mois dernier, a d\u00e9clar\u00e9 avoir d\u00e9couvert une publicit\u00e9 pour l&#8217;\u00e9diteur d&#8217;images open source GIMP qui, lorsqu&#8217;elle \u00e9tait cliqu\u00e9e \u00e0 partir du r\u00e9sultat de recherche Google, redirigeait la victime vers un domaine typosquatt\u00e9 h\u00e9bergeant le malware Vidar.<\/p>\n<p>Au contraire, l&#8217;\u00e9volution des m\u00e9thodes de diffusion des logiciels malveillants dans le paysage des menaces est en partie une r\u00e9ponse \u00e0 la d\u00e9cision de Microsoft de bloquer les macros par d\u00e9faut dans les fichiers Office t\u00e9l\u00e9charg\u00e9s sur Internet depuis juillet 2022.<\/p>\n<p>Cela a conduit \u00e0 une augmentation de l&#8217;abus de formats de fichiers alternatifs tels que ISO, VHD, SVG et XLL dans les pi\u00e8ces jointes aux e-mails pour contourner les protections Mark of the Web (MotW) et \u00e9chapper aux mesures d&#8217;analyse anti-malware.<\/p>\n<p>&#8220;Les fichiers d&#8217;image disque peuvent contourner la fonctionnalit\u00e9 MotW car lorsque les fichiers qu&#8217;ils contiennent sont extraits ou mont\u00e9s, MotW n&#8217;est pas h\u00e9rit\u00e9 des fichiers&#8221;, ont d\u00e9clar\u00e9 des chercheurs de l&#8217;ASEC. <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/44662\/\" target=\"_blank\">m&#8217;a dit<\/a>d\u00e9taillant une campagne Qakbot qui exploite une combinaison de contrebande HTML et de fichier VHD pour lancer le malware.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/the-evolving-tactics-of-vidar-stealer.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 janvier 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 des donn\u00e9es \/ Logiciels malveillants Le c\u00e9l\u00e8bre voleur d&#8217;informations connu sous le nom de Vidar continue de tirer parti des services de m\u00e9dias sociaux populaires tels que TikTok, Telegram, Steam et Mastodon en tant que serveur interm\u00e9diaire de commande et de contr\u00f4le (C2). &#8220;Lorsqu&#8217;un utilisateur cr\u00e9e un compte sur une plate-forme [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":544794,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[507,4168,4158,4165,4161,133,29530,137117,4157,4159,4171,4170,65,4167,4160,4163,4162,8153,1769,4172,4169,1770,39577,11977,67469,4166,4164],"class_list":["post-544793","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aux","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-emails","tag-evolutives","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-phishing","tag-reseaux","tag-securite-informatique","tag-securite-internet","tag-sociaux","tag-stealer","tag-tactiques","tag-vidar","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/544793","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=544793"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/544793\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/544794"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=544793"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=544793"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=544793"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}