{"id":556683,"date":"2023-01-13T11:25:41","date_gmt":"2023-01-13T13:25:41","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-cybercriminels-utilisent-des-fichiers-polyglottes-dans-la-distribution-de-logiciels-malveillants-pour-voler-sous-le-radar\/"},"modified":"2023-01-13T11:25:43","modified_gmt":"2023-01-13T13:25:43","slug":"les-cybercriminels-utilisent-des-fichiers-polyglottes-dans-la-distribution-de-logiciels-malveillants-pour-voler-sous-le-radar","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-cybercriminels-utilisent-des-fichiers-polyglottes-dans-la-distribution-de-logiciels-malveillants-pour-voler-sous-le-radar\/","title":{"rendered":"Les cybercriminels utilisent des fichiers polyglottes dans la distribution de logiciels malveillants pour voler sous le radar"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">D\u00e9tection des cybermenaces\/programmes malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance tels que StrRAT et Ratty sont distribu\u00e9s sous la forme d&#8217;une combinaison d&#8217;archives Java polyglottes et malveillantes (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/JAR_(file_format)\" target=\"_blank\">POT<\/a>), soulignant une fois de plus comment les acteurs de la menace trouvent continuellement de nouvelles fa\u00e7ons de voler sous le radar.<\/p>\n<p>&#8220;Les attaquants utilisent d\u00e9sormais la technique polyglotte pour confondre les solutions de s\u00e9curit\u00e9 qui ne valident pas correctement le format de fichier JAR&#8221;, a d\u00e9clar\u00e9 Simon Kenin, chercheur en s\u00e9curit\u00e9 chez Deep Instinct. <a rel=\"nofollow noopener\" href=\"https:\/\/www.deepinstinct.com\/blog\/malicious-jars-and-polyglot-files-who-do-you-think-you-jar\" target=\"_blank\">m&#8217;a dit<\/a> dans un rapport.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Polyglot_(computing)\" target=\"_blank\">Fichiers polyglottes<\/a> sont des fichiers qui combinent la syntaxe de deux ou plusieurs formats diff\u00e9rents de mani\u00e8re \u00e0 ce que chaque format puisse \u00eatre analys\u00e9 sans g\u00e9n\u00e9rer d&#8217;erreur.<\/p>\n<p>L&#8217;une de ces campagnes de 2022 rep\u00e9r\u00e9e par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 est l&#8217;utilisation des formats JAR et MSI &#8211; c&#8217;est-\u00e0-dire un fichier valide \u00e0 la fois comme installateur JAR et MSI &#8211; pour d\u00e9ployer la charge utile StrRAT.  Cela signifie \u00e9galement que le fichier peut \u00eatre ex\u00e9cut\u00e9 \u00e0 la fois par Windows et Java Runtime Environment (JRE) en fonction de la mani\u00e8re dont il est interpr\u00e9t\u00e9.<\/p>\n<p>Un autre exemple implique l&#8217;utilisation de polyglottes CAB et JAR pour fournir \u00e0 la fois Ratty et StrRAT.  Les artefacts sont propag\u00e9s \u00e0 l&#8217;aide de services de raccourcissement d&#8217;URL tels que cutt.ly et rebrand.ly, certains d&#8217;entre eux \u00e9tant h\u00e9berg\u00e9s sur Discord.<\/p>\n<p>&#8220;La particularit\u00e9 des fichiers ZIP, c&#8217;est qu&#8217;ils sont identifi\u00e9s par la pr\u00e9sence d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/ZIP_(file_format)#End_of_central_directory_record_(EOCD)\" target=\"_blank\">fin de la fiche du r\u00e9pertoire central<\/a> qui se trouve \u00e0 la fin de l&#8217;archive \u00bb, a expliqu\u00e9 Kenin. \u00ab Cela signifie que tout \u00ab fichier inutile \u00bb que nous ajoutons au d\u00e9but du fichier sera ignor\u00e9 et l&#8217;archive est toujours valide.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673616341_246_Les-cybercriminels-utilisent-des-fichiers-polyglottes-dans-la-distribution-de.png\" alt=\"Fichiers polyglottes\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"Fichiers polyglottes\"\/><\/div>\n<p>L&#8217;absence de validation ad\u00e9quate des fichiers JAR entra\u00eene un sc\u00e9nario dans lequel le contenu ajout\u00e9 malveillant peut contourner le logiciel de s\u00e9curit\u00e9 et rester non d\u00e9tect\u00e9 jusqu&#8217;\u00e0 ce qu&#8217;il soit ex\u00e9cut\u00e9 sur les h\u00f4tes compromis.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que de tels polyglottes contenant des logiciels malveillants sont d\u00e9tect\u00e9s dans la nature.  En novembre 2022, DCSO CyTec, bas\u00e9 \u00e0 Berlin, a mis au jour un voleur d&#8217;informations surnomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@DCSO_CyTec\/shortandmalicious-strelastealer-aims-for-mail-credentials-a4c3e78c8abc\" target=\"_blank\">StrelaStealer<\/a> qui se propage sous forme de polyglotte DLL\/HTML.<\/p>\n<p>&#8220;La d\u00e9tection appropri\u00e9e des fichiers JAR doit \u00eatre \u00e0 la fois statique et dynamique&#8221;, a d\u00e9clar\u00e9 Kenin.  &#8220;Il est inefficace d&#8217;analyser chaque fichier pour d\u00e9tecter la pr\u00e9sence d&#8217;un enregistrement de fin de r\u00e9pertoire central \u00e0 la fin du fichier.&#8221;<\/p>\n<p>&#8220;Les d\u00e9fenseurs doivent surveiller \u00e0 la fois les processus &#8216;java&#8217; et &#8216;javaw&#8217;. Si un tel processus a &#8216;-jar&#8217; comme argument, le nom de fichier pass\u00e9 en argument doit \u00eatre trait\u00e9 comme un fichier JAR, quelle que soit l&#8217;extension de fichier ou la sortie du Linux commande &#8216;fichier&#8217;.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/cybercriminals-using-polyglot-files-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 janvier 2023\ue804Ravie LakshmananD\u00e9tection des cybermenaces\/programmes malveillants Les chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance tels que StrRAT et Ratty sont distribu\u00e9s sous la forme d&#8217;une combinaison d&#8217;archives Java polyglottes et malveillantes (POT), soulignant une fois de plus comment les acteurs de la menace trouvent continuellement de nouvelles fa\u00e7ons de voler sous le radar. &#8220;Les attaquants [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":556684,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,37976,429,133,5407,21769,4157,4159,4171,4170,65,4167,4589,4590,4160,4163,4162,138829,185,7677,4172,4169,367,10784,4166,8394,4164],"class_list":["post-556683","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cybercriminels","tag-dans","tag-des","tag-distribution","tag-fichiers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-polyglottes","tag-pour","tag-radar","tag-securite-informatique","tag-securite-internet","tag-sous","tag-utilisent","tag-violation-de-donnees","tag-voler","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/556683","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=556683"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/556683\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/556684"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=556683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=556683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=556683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}