{"id":545780,"date":"2023-01-06T12:46:33","date_gmt":"2023-01-06T14:46:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/microsoft-revele-les-tactiques-utilisees-par-4-familles-de-ransomwares-ciblant-macos\/"},"modified":"2023-01-06T12:46:35","modified_gmt":"2023-01-06T14:46:35","slug":"microsoft-revele-les-tactiques-utilisees-par-4-familles-de-ransomwares-ciblant-macos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/microsoft-revele-les-tactiques-utilisees-par-4-familles-de-ransomwares-ciblant-macos\/","title":{"rendered":"Microsoft r\u00e9v\u00e8le les tactiques utilis\u00e9es par 4 familles de ransomwares ciblant macOS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des terminaux \/ Cybermenace<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Microsoft a mis en lumi\u00e8re quatre familles de ran\u00e7ongiciels diff\u00e9rentes &#8211; <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer\/\" target=\"_blank\">KeRanger<\/a>FileCoder, MacRansom et EvilQuest &#8211; qui sont connus pour avoir un impact sur les syst\u00e8mes Apple macOS.<\/p>\n<p>&#8220;Bien que ces familles de logiciels malveillants soient anciennes, elles illustrent la gamme de capacit\u00e9s et de comportements malveillants possibles sur la plate-forme&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe Security Threat Intelligence du g\u00e9ant de la technologie. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/01\/05\/unraveling-the-techniques-of-mac-ransomware\/\" target=\"_blank\">m&#8217;a dit<\/a> dans un rapport jeudi.<\/p>\n<p>Le vecteur initial de ces familles de ran\u00e7ongiciels implique ce que le fabricant de Windows appelle des &#8220;m\u00e9thodes assist\u00e9es par l&#8217;utilisateur&#8221;, dans lesquelles la victime t\u00e9l\u00e9charge et installe des applications trojanis\u00e9es.<\/p>\n<p>Alternativement, il peut \u00e9galement arriver en tant que charge utile de deuxi\u00e8me \u00e9tape qui est abandonn\u00e9e par un logiciel malveillant d\u00e9j\u00e0 existant sur l&#8217;h\u00f4te infect\u00e9 ou dans le cadre d&#8217;une attaque de la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>Quel que soit le modus operandi employ\u00e9, les attaques se d\u00e9roulent de la m\u00eame mani\u00e8re, les acteurs de la menace s&#8217;appuyant sur des fonctionnalit\u00e9s l\u00e9gitimes du syst\u00e8me d&#8217;exploitation et exploitant les vuln\u00e9rabilit\u00e9s pour s&#8217;introduire dans les syst\u00e8mes et chiffrer les fichiers qui les int\u00e9ressent.<\/p>\n<p>Cela inclut l&#8217;utilisation de l&#8217;utilitaire de recherche Unix ainsi que des fonctions de biblioth\u00e8que telles que opendir, readdir et closedir pour \u00e9num\u00e9rer les fichiers.  Une autre m\u00e9thode signal\u00e9e par Microsoft, mais non adopt\u00e9e par les souches de ran\u00e7ongiciels, consiste \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/developer.apple.com\/documentation\/foundation\/nsfilemanager\" target=\"_blank\">NSFileManager<\/a> Interface Objective-C.<\/p>\n<p>Il a \u00e9galement \u00e9t\u00e9 observ\u00e9 que KeRanger, MacRansom et EvilQuest utilisent une combinaison de v\u00e9rifications mat\u00e9rielles et logicielles pour d\u00e9terminer si le logiciel malveillant s&#8217;ex\u00e9cute dans un environnement virtuel dans le but de r\u00e9sister aux tentatives d&#8217;analyse et de d\u00e9bogage.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673016393_891_Microsoft-revele-les-tactiques-utilisees-par-4-familles-de-ransomwares.png\" alt=\"Familles de ransomwares ciblant les syst\u00e8mes macOS\" border=\"0\" data-original-height=\"409\" data-original-width=\"728\" title=\"Familles de ransomwares ciblant les syst\u00e8mes macOS\"\/><\/div>\n<p>KeRanger, notamment, utilise une technique connue sous le nom d&#8217;ex\u00e9cution retard\u00e9e pour \u00e9chapper \u00e0 la d\u00e9tection.  Il y parvient en dormant pendant trois jours apr\u00e8s son lancement avant de lancer ses fonctions malveillantes.<\/p>\n<p>La persistance, essentielle pour garantir l&#8217;ex\u00e9cution du programme malveillant m\u00eame apr\u00e8s un red\u00e9marrage du syst\u00e8me, est \u00e9tablie au moyen de <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1543\/001\/\" target=\"_blank\">agents de lancement<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/developer.apple.com\/library\/archive\/documentation\/Darwin\/Conceptual\/FSEvents_ProgGuide\/KernelQueues\/KernelQueues.html\" target=\"_blank\">files d&#8217;attente du noyau<\/a>a soulign\u00e9 Microsoft.<\/p>\n<p>Alors que FileCoder utilise l&#8217;utilitaire ZIP pour crypter les fichiers, KeRanger utilise <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Advanced_Encryption_Standard\" target=\"_blank\">Cryptage AES<\/a> dans le cha\u00eenage de blocs de chiffrement (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Block_cipher_mode_of_operation#Cipher_block_chaining_(CBC)\" target=\"_blank\">Radio-Canada<\/a>) mode pour atteindre ses objectifs.  MacRansom et EvilQuest, d&#8217;autre part, tirent parti d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Symmetric-key_algorithm\" target=\"_blank\">cryptage sym\u00e9trique<\/a> algorithme.<\/p>\n<p>EvilQuest, qui a \u00e9t\u00e9 expos\u00e9 pour la premi\u00e8re fois en juillet 2020, va plus loin que les logiciels de ran\u00e7on typiques pour incorporer d&#8217;autres fonctionnalit\u00e9s de type cheval de Troie, telles que l&#8217;enregistrement de frappe, la compromission des fichiers Mach-O en injectant du code arbitraire et la d\u00e9sactivation des logiciels de s\u00e9curit\u00e9.<\/p>\n<p>Il int\u00e8gre \u00e9galement des capacit\u00e9s pour ex\u00e9cuter n&#8217;importe quel fichier directement \u00e0 partir de la m\u00e9moire, ne laissant aucune trace de la charge utile sur le disque.<\/p>\n<p>&#8220;Les ransomwares continuent d&#8217;\u00eatre l&#8217;une des menaces les plus r\u00e9pandues et les plus percutantes qui affectent les organisations, les attaquants faisant constamment \u00e9voluer leurs techniques et \u00e9largissant leur savoir-faire pour \u00e9largir leur r\u00e9seau de cibles potentielles&#8221;, a d\u00e9clar\u00e9 Microsoft.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/microsoft-reveals-tactics-used-by-4.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 janvier 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 des terminaux \/ Cybermenace Microsoft a mis en lumi\u00e8re quatre familles de ran\u00e7ongiciels diff\u00e9rentes &#8211; KeRangerFileCoder, MacRansom et EvilQuest &#8211; qui sont connus pour avoir un impact sur les syst\u00e8mes Apple macOS. &#8220;Bien que ces familles de logiciels malveillants soient anciennes, elles illustrent la gamme de capacit\u00e9s et de comportements malveillants [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":545781,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4175,4168,4158,4165,4161,6800,4157,4159,4171,4170,65,4167,34503,8362,4160,4163,4162,164,63091,2178,4172,4169,11977,19022,4166,4164],"class_list":["post-545780","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-familles","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-macos","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-ransomwares","tag-revele","tag-securite-informatique","tag-securite-internet","tag-tactiques","tag-utilisees","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/545780","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=545780"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/545780\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/545781"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=545780"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=545780"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=545780"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}