{"id":578656,"date":"2023-01-27T10:47:26","date_gmt":"2023-01-27T12:47:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-une-nouvelle-variante-de-logiciel-malveillant-plugx-se-propageant-via-des-peripheriques-usb-amovibles\/"},"modified":"2023-01-27T10:47:28","modified_gmt":"2023-01-27T12:47:28","slug":"des-chercheurs-decouvrent-une-nouvelle-variante-de-logiciel-malveillant-plugx-se-propageant-via-des-peripheriques-usb-amovibles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-une-nouvelle-variante-de-logiciel-malveillant-plugx-se-propageant-via-des-peripheriques-usb-amovibles\/","title":{"rendered":"Des chercheurs d\u00e9couvrent une nouvelle variante de logiciel malveillant PlugX se propageant via des p\u00e9riph\u00e9riques USB amovibles"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des points finaux \/ Logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un \u00e9chantillon PlugX qui utilise des m\u00e9thodes sournoises pour infecter les p\u00e9riph\u00e9riques multim\u00e9dias USB amovibles connect\u00e9s afin de propager le logiciel malveillant \u00e0 d&#8217;autres syst\u00e8mes.<\/p>\n<p>&#8220;Cette variante PlugX est vermifuge et infecte les p\u00e9riph\u00e9riques USB de telle mani\u00e8re qu&#8217;elle se cache du syst\u00e8me de fichiers d&#8217;exploitation Windows&#8221;, ont d\u00e9clar\u00e9 Mike Harbison et Jen Miller-Osborn, chercheurs de l&#8217;unit\u00e9 42 de Palo Alto Networks. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/plugx-variants-in-usbs\/\" target=\"_blank\">m&#8217;a dit<\/a>.  &#8220;Un utilisateur ne saurait pas que son p\u00e9riph\u00e9rique USB est infect\u00e9 ou peut-\u00eatre utilis\u00e9 pour exfiltrer des donn\u00e9es hors de ses r\u00e9seaux.&#8221;<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 avoir d\u00e9couvert l&#8217;artefact lors d&#8217;un effort de r\u00e9ponse \u00e0 un incident suite \u00e0 une attaque de ran\u00e7ongiciel Black Basta contre une victime anonyme.  Parmi les autres outils d\u00e9couverts dans l&#8217;environnement compromis, citons le chargeur de logiciels malveillants Gootkit et le cadre de l&#8217;\u00e9quipe rouge Brute Ratel C4.<\/p>\n<p>L&#8217;utilisation de Brute Ratel par le groupe Black Basta avait d\u00e9j\u00e0 \u00e9t\u00e9 mise en \u00e9vidence par Trend Micro en octobre 2022, le logiciel \u00e9tant livr\u00e9 en tant que charge utile de deuxi\u00e8me \u00e9tape au moyen d&#8217;une campagne de phishing Qakbot.  La cha\u00eene d&#8217;attaque a depuis \u00e9t\u00e9 utilis\u00e9e contre un grand groupe \u00e9nerg\u00e9tique r\u00e9gional bas\u00e9 dans le sud-est des \u00c9tats-Unis, selon <a rel=\"nofollow noopener\" href=\"https:\/\/quadrantsec.com\/resource\/case-study\/thwarting-black-basta\" target=\"_blank\">S\u00e9curit\u00e9 des quadrants<\/a>.<\/p>\n<p>Cependant, il n&#8217;y a aucune preuve qui lie PlugX, une porte d\u00e9rob\u00e9e largement partag\u00e9e entre plusieurs groupes d&#8217;\u00c9tats-nations chinois, ou Gootkit au gang de ran\u00e7ongiciels Black Basta, ce qui sugg\u00e8re qu&#8217;il pourrait avoir \u00e9t\u00e9 d\u00e9ploy\u00e9 par d&#8217;autres acteurs.<\/p>\n<p>La variante USB de PlugX se distingue par le fait qu&#8217;elle utilise un caract\u00e8re Unicode particulier appel\u00e9 espace ins\u00e9cable (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Non-breaking_space\" target=\"_blank\">U+00A0<\/a>) pour masquer les fichiers d&#8217;un p\u00e9riph\u00e9rique USB branch\u00e9 sur un poste de travail.<\/p>\n<p>&#8220;Le caract\u00e8re d&#8217;espacement emp\u00eache le syst\u00e8me d&#8217;exploitation Windows de restituer le nom du r\u00e9pertoire, le masquant plut\u00f4t que de laisser un dossier sans nom dans l&#8217;Explorateur&#8221;, ont d\u00e9clar\u00e9 les chercheurs, expliquant la nouvelle technique.<\/p>\n<p>En fin de compte, un fichier de raccourci Windows (.LNK) cr\u00e9\u00e9 dans le dossier racine du lecteur flash est utilis\u00e9 pour ex\u00e9cuter le logiciel malveillant \u00e0 partir du r\u00e9pertoire cach\u00e9.  L&#8217;\u00e9chantillon PlugX n&#8217;est pas seulement charg\u00e9 d&#8217;implanter le logiciel malveillant sur l&#8217;h\u00f4te, mais \u00e9galement de le copier sur tout p\u00e9riph\u00e9rique amovible qui peut y \u00eatre connect\u00e9 en le camouflant dans un dossier de corbeille.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1674823646_917_Des-chercheurs-decouvrent-une-nouvelle-variante-de-logiciel-malveillant-PlugX.png\" alt=\"Logiciel malveillant PlugX\" border=\"0\" data-original-height=\"239\" data-original-width=\"728\" title=\"Logiciel malveillant PlugX\"\/><\/div>\n<p>Le fichier de raccourci, pour sa part, porte le m\u00eame nom que celui du p\u00e9riph\u00e9rique USB et appara\u00eet sous la forme d&#8217;une ic\u00f4ne de lecteur, avec les fichiers ou r\u00e9pertoires existants \u00e0 la racine du p\u00e9riph\u00e9rique amovible d\u00e9plac\u00e9s vers un dossier cach\u00e9 cr\u00e9\u00e9 \u00e0 l&#8217;int\u00e9rieur du dossier &#8220;raccourci&#8221; .<\/p>\n<p>&#8220;Chaque fois que l&#8217;on clique sur le fichier de raccourci du p\u00e9riph\u00e9rique USB infect\u00e9, le logiciel malveillant PlugX lance l&#8217;Explorateur Windows et transmet le chemin du r\u00e9pertoire en tant que param\u00e8tre&#8221;, a d\u00e9clar\u00e9 l&#8217;unit\u00e9 42.  &#8220;Cela affiche ensuite les fichiers sur le p\u00e9riph\u00e9rique USB \u00e0 partir des r\u00e9pertoires cach\u00e9s et infecte \u00e9galement l&#8217;h\u00f4te avec le malware PlugX.&#8221;<\/p>\n<p>La technique mise sur le fait que l&#8217;Explorateur de fichiers Windows (anciennement l&#8217;Explorateur Windows) par d\u00e9faut n&#8217;affiche pas <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-us\/windows\/view-hidden-files-and-folders-in-windows-97fbc472-c603-9d90-91d0-1166d1d9f4b5\" target=\"_blank\">objets cach\u00e9s<\/a>.  Mais la tournure intelligente ici est que les fichiers malveillants dans la soi-disant corbeille ne s&#8217;affichent pas lorsque le param\u00e8tre est activ\u00e9.<\/p>\n<p>Cela signifie effectivement que les fichiers malveillants ne peuvent \u00eatre visualis\u00e9s que sur un syst\u00e8me d&#8217;exploitation de type Unix comme Ubuntu ou en montant le p\u00e9riph\u00e9rique USB dans un outil m\u00e9dico-l\u00e9gal.<\/p>\n<p>&#8220;Une fois qu&#8217;un p\u00e9riph\u00e9rique USB est d\u00e9couvert et infect\u00e9, tous les nouveaux fichiers \u00e9crits dans le dossier racine du p\u00e9riph\u00e9rique USB apr\u00e8s l&#8217;infection sont d\u00e9plac\u00e9s vers le dossier cach\u00e9 du p\u00e9riph\u00e9rique USB&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;\u00c9tant donn\u00e9 que le fichier de raccourci Windows ressemble \u00e0 celui d&#8217;un p\u00e9riph\u00e9rique USB et que le logiciel malveillant affiche les fichiers de la victime, ils continuent involontairement \u00e0 propager le logiciel malveillant PlugX.&#8221;<\/p>\n<p>L&#8217;unit\u00e9 42 a d\u00e9clar\u00e9 avoir \u00e9galement d\u00e9couvert une deuxi\u00e8me variante de PlugX qui, en plus d&#8217;infecter les p\u00e9riph\u00e9riques USB, copie en outre tous les fichiers Adobe PDF et Microsoft Word de l&#8217;h\u00f4te vers un autre dossier cach\u00e9 sur le p\u00e9riph\u00e9rique USB cr\u00e9\u00e9 par le logiciel malveillant.<\/p>\n<p>L&#8217;utilisation de cl\u00e9s USB comme moyen d&#8217;exfiltrer des fichiers d&#8217;int\u00e9r\u00eat sp\u00e9cifiques de ses cibles indique une tentative de la part des acteurs de la menace de sauter par-dessus des r\u00e9seaux isol\u00e9s.<\/p>\n<p>Avec le dernier d\u00e9veloppement, PlugX rejoint les rangs d&#8217;autres familles de logiciels malveillants tels que ANDROMEDA et Raspberry Robin qui ont ajout\u00e9 la capacit\u00e9 de se propager via des cl\u00e9s USB infect\u00e9es.<\/p>\n<p>&#8220;La d\u00e9couverte de ces \u00e9chantillons indique que le d\u00e9veloppement de PlugX est toujours bien vivant parmi au moins certains attaquants techniquement qualifi\u00e9s, et qu&#8217;il reste une menace active&#8221;, ont conclu les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/researchers-discover-new-plugx-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 janvier 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 des points finaux \/ Logiciels malveillants Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un \u00e9chantillon PlugX qui utilise des m\u00e9thodes sournoises pour infecter les p\u00e9riph\u00e9riques multim\u00e9dias USB amovibles connect\u00e9s afin de propager le logiciel malveillant \u00e0 d&#8217;autres syst\u00e8mes. &#8220;Cette variante PlugX est vermifuge et infecte les p\u00e9riph\u00e9riques USB de telle mani\u00e8re qu&#8217;elle [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":578657,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[56653,12848,4168,4158,4165,4161,3073,133,4157,4159,4171,4170,6816,4167,7733,4160,197,4163,4162,5265,56655,131799,4172,4169,196,78790,25900,4166,4164],"class_list":["post-578656","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-amovibles","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvrent","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-peripheriques","tag-plugx","tag-propageant","tag-securite-informatique","tag-securite-internet","tag-une","tag-usb","tag-variante","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/578656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=578656"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/578656\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/578657"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=578656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=578656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=578656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}