{"id":581370,"date":"2023-01-29T06:24:29","date_gmt":"2023-01-29T08:24:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/gootkit-malware-continue-devoluer-avec-de-nouveaux-composants-et-des-obfuscations\/"},"modified":"2023-01-29T06:24:31","modified_gmt":"2023-01-29T08:24:31","slug":"gootkit-malware-continue-devoluer-avec-de-nouveaux-composants-et-des-obfuscations","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/gootkit-malware-continue-devoluer-avec-de-nouveaux-composants-et-des-obfuscations\/","title":{"rendered":"Gootkit Malware continue d&#8217;\u00e9voluer avec de nouveaux composants et des obfuscations"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybermenace\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les acteurs de la menace associ\u00e9s au malware Gootkit ont apport\u00e9 des &#8220;modifications notables&#8221; \u00e0 leur ensemble d&#8217;outils, en ajoutant de nouveaux composants et des obfuscations \u00e0 leurs cha\u00eenes d&#8217;infection.<\/p>\n<p>Mandiant, propri\u00e9t\u00e9 de Google, est <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/tracking-evolution-gootloader-operations\" target=\"_blank\">surveillance<\/a> le p\u00f4le d&#8217;activit\u00e9s sous le nom <strong>UNC2565<\/strong>notant que l&#8217;utilisation du logiciel malveillant est &#8220;exclusive \u00e0 ce groupe&#8221;.<\/p>\n<p>Gootkit, \u00e9galement appel\u00e9 Gootloader, se propage via des sites Web compromis que les victimes sont amen\u00e9es \u00e0 visiter lorsqu&#8217;elles recherchent des documents commerciaux tels que des accords et des contrats via une technique appel\u00e9e empoisonnement \u00e0 l&#8217;optimisation des moteurs de recherche (SEO).<\/p>\n<p>Les pr\u00e9tendus documents prennent la forme d&#8217;archives ZIP qui h\u00e9bergent le malware JavaScript, qui, une fois lanc\u00e9, ouvre la voie \u00e0 des charges utiles suppl\u00e9mentaires telles que Cobalt Strike Beacon, FONELAUNCH et SNOWCONE.<\/p>\n<p>FONELAUNCH est un chargeur bas\u00e9 sur .NET con\u00e7u pour charger une charge utile cod\u00e9e en m\u00e9moire, et SNOWCONE est un t\u00e9l\u00e9chargeur charg\u00e9 de r\u00e9cup\u00e9rer les charges utiles de la prochaine \u00e9tape, g\u00e9n\u00e9ralement IcedID, via HTTP.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhLWp5t6-d1GIrZD7Gy5xwh6I-qSleR4z7oNyyseyMiJs8yE1xOiUNHrwdNsQPZDj7qnfgyL9MRWnryK5mjlu4sqkkK63ckpXkTCCmqROli_RTkt3KerI9tCGDuJuyM2yxNFqxaB8cySIDBbgyH2a3EcmkcG1orns5URKEia-v3hNTJjBUbSdD5y3Dw\/s728-e3650\/gootkit.png\" alt=\"Logiciel malveillant Gootkit\" border=\"0\" data-original-height=\"323\" data-original-width=\"728\" title=\"Logiciel malveillant Gootkit\"\/><\/div>\n<p>Alors que les objectifs g\u00e9n\u00e9raux de Gootkit sont rest\u00e9s inchang\u00e9s, la s\u00e9quence d&#8217;attaque en elle-m\u00eame a re\u00e7u des mises \u00e0 jour importantes, dans lesquelles le fichier JavaScript dans l&#8217;archive ZIP est trojanis\u00e9 et contient un autre fichier JavaScript obscurci qui proc\u00e8de par cons\u00e9quent \u00e0 l&#8217;ex\u00e9cution du logiciel malveillant.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiAC_NYPq2W3CuewDTL9mfs-fn7nlBeO5JwfwyjTXCLCOeduFtRydyuHgG-UN27_ZfN77B3O_A6aluB7MNrU6FnUnl7OTjvQZfBUJ4MYXJlrZi6JxW1QhiduzBR9Mv-1oLVF1afVwUyuLJ3pUOvhxJTQFUSwfr0Wtz_MzjogbYuVbmVJlqiuDAqK-RF\/s728-e3650\/powershell.png\" alt=\"Logiciel malveillant Gootkit\" border=\"0\" data-original-height=\"338\" data-original-width=\"728\" title=\"Logiciel malveillant Gootkit\"\/><\/div>\n<p>La nouvelle variante, qui a \u00e9t\u00e9 rep\u00e9r\u00e9e par la soci\u00e9t\u00e9 de renseignement sur les menaces en novembre 2022, est suivie sous le nom de GOOTLOADER.POWERSHELL.  Il convient de noter que la cha\u00eene d&#8217;infection remani\u00e9e a \u00e9galement \u00e9t\u00e9 document\u00e9e par Trend Micro au d\u00e9but du mois, d\u00e9taillant les attaques de Gootkit ciblant le secteur de la sant\u00e9 australien.<\/p>\n<p>De plus, les auteurs de logiciels malveillants auraient adopt\u00e9 trois approches diff\u00e9rentes pour obscurcir Gootkit, notamment en dissimulant le code dans des versions modifi\u00e9es de biblioth\u00e8ques JavaScript l\u00e9gitimes telles que jQuery, Chroma.js et Underscore.js, dans le but d&#8217;\u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<p>Ce n&#8217;est pas seulement Gootkit, car trois versions diff\u00e9rentes de FONELAUNCH &#8211; FONELAUNCH.FAX, FONELAUNCH.PHONE et FONELAUNCH.DIALTONE &#8211; ont \u00e9t\u00e9 utilis\u00e9es par UNC2565 depuis mai 2021 pour ex\u00e9cuter des DLL, des binaires .NET et des fichiers PE, indiquant que le L&#8217;arsenal de logiciels malveillants est continuellement maintenu et mis \u00e0 jour.<\/p>\n<p>&#8220;Ces changements illustrent le d\u00e9veloppement actif et la croissance des capacit\u00e9s de l&#8217;UNC2565&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Mandiant, Govand Sinjari et Andy Morales.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/gootkit-malware-continues-to-evolve.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 janvier 2023\ue804Ravie LakshmananCybermenace\/malware Les acteurs de la menace associ\u00e9s au malware Gootkit ont apport\u00e9 des &#8220;modifications notables&#8221; \u00e0 leur ensemble d&#8217;outils, en ajoutant de nouveaux composants et des obfuscations \u00e0 leurs cha\u00eenes d&#8217;infection. Mandiant, propri\u00e9t\u00e9 de Google, est surveillance le p\u00f4le d&#8217;activit\u00e9s sous le nom UNC2565notant que l&#8217;utilisation du logiciel malveillant est &#8220;exclusive \u00e0 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":581371,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,4168,21622,708,4158,4165,4161,133,142235,95663,4157,4159,4171,4170,4167,4174,4160,4588,4163,4162,142236,4172,4169,4166,4164],"class_list":["post-581370","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-comment-pirater","tag-composants","tag-continue","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-devoluer","tag-gootkit","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-malware","tag-mises-a-jour-de-la-cybersecurite","tag-nouveaux","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-obfuscations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/581370","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=581370"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/581370\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/581371"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=581370"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=581370"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=581370"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}