{"id":584587,"date":"2023-01-31T14:39:28","date_gmt":"2023-01-31T16:39:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-un-packer-utilise-par-plusieurs-logiciels-malveillants-pour-echapper-a-la-detection-pendant-6-ans\/"},"modified":"2023-01-31T14:39:30","modified_gmt":"2023-01-31T16:39:30","slug":"des-chercheurs-decouvrent-un-packer-utilise-par-plusieurs-logiciels-malveillants-pour-echapper-a-la-detection-pendant-6-ans","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-un-packer-utilise-par-plusieurs-logiciels-malveillants-pour-echapper-a-la-detection-pendant-6-ans\/","title":{"rendered":"Des chercheurs d\u00e9couvrent un packer utilis\u00e9 par plusieurs logiciels malveillants pour \u00e9chapper \u00e0 la d\u00e9tection pendant 6 ans"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">31 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">D\u00e9tection des menaces \/ logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un packer bas\u00e9 sur un shellcode nomm\u00e9 <strong>TrickGate<\/strong> fonctionne avec succ\u00e8s sans attirer l&#8217;attention depuis plus de six ans, tout en permettant aux acteurs de la menace de d\u00e9ployer une large gamme de logiciels malveillants tels que TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze et REvil au fil des ans.<\/p>\n<p>&#8220;TrickGate a r\u00e9ussi \u00e0 rester sous le radar pendant des ann\u00e9es parce qu&#8217;il est transformateur &#8211; il subit des changements p\u00e9riodiquement&#8221;, Arie Olshtein de Check Point Research <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2023\/following-the-scent-of-trickgate-6-year-old-packer-used-to-deploy-the-most-wanted-malware\/\" target=\"_blank\">m&#8217;a dit<\/a>le qualifiant de &#8220;ma\u00eetre des d\u00e9guisements&#8221;.<\/p>\n<p>Propos\u00e9 en tant que service \u00e0 d&#8217;autres acteurs de la menace depuis au moins fin 2016, TrickGate aide \u00e0 dissimuler les charges utiles derri\u00e8re une couche de code wrapper dans le but de contourner les solutions de s\u00e9curit\u00e9 install\u00e9es sur un h\u00f4te.  Les packers peuvent \u00e9galement fonctionner comme des crypteurs en cryptant le malware comme un m\u00e9canisme d&#8217;obscurcissement.<\/p>\n<p>&#8220;Les packers ont diff\u00e9rentes fonctionnalit\u00e9s qui leur permettent de contourner les m\u00e9canismes de d\u00e9tection en apparaissant comme des fichiers b\u00e9nins, en \u00e9tant difficiles \u00e0 d\u00e9sosser ou en incorporant des techniques d&#8217;\u00e9vasion de bac \u00e0 sable&#8221;, Proofpoint <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/commodity-net-packers-use-embedded-images-hide-payloads\" target=\"_blank\">c&#8217;est not\u00e9<\/a> en d\u00e9cembre 2020.<\/p>\n<p>Mais les fr\u00e9quentes mises \u00e0 jour de l&#8217;emballeur commercial en tant que service signifiaient que TrickGate a \u00e9t\u00e9 suivi sous divers noms tels que <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/rats-and-stealers-rush-through-heavens\/\" target=\"_blank\">nouveau chargeur<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/loncom-packer-from-backdoors-to-cobalt-strike\/96465\/\" target=\"_blank\">Loncom<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2021\/05\/revisiting-the-nsis-based-crypter\" target=\"_blank\">Chiffreur bas\u00e9 sur NSIS<\/a> depuis 2019.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1675183168_57_Des-chercheurs-decouvrent-un-packer-utilise-par-plusieurs-logiciels-malveillants.png\" alt=\"D\u00e9tection des programmes malveillants\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"D\u00e9tection des programmes malveillants\"\/><\/div>\n<p>Les donn\u00e9es de t\u00e9l\u00e9m\u00e9trie recueillies par Check Point indiquent que les acteurs de la menace qui exploitent TrickGate ont principalement cibl\u00e9 le secteur manufacturier et, dans une moindre mesure, les secteurs verticaux de l&#8217;\u00e9ducation, de la sant\u00e9, du gouvernement et de la finance.<\/p>\n<p>Les familles de logiciels malveillants les plus populaires utilis\u00e9es dans les attaques au cours des deux derniers mois incluent FormBook, LokiBot, Agent Tesla, Remcos et Nanocore, avec des concentrations importantes signal\u00e9es \u00e0 Ta\u00efwan, en Turquie, en Allemagne, en Russie et en Chine.<\/p>\n<p>La cha\u00eene d&#8217;infection consiste \u00e0 envoyer des e-mails de phishing avec des pi\u00e8ces jointes malveillantes ou des liens pi\u00e9g\u00e9s qui conduisent au t\u00e9l\u00e9chargement d&#8217;un chargeur de shellcode responsable du d\u00e9cryptage et du lancement de la charge utile r\u00e9elle en m\u00e9moire.<\/p>\n<p>L&#8217;analyse du shellcode par la firme isra\u00e9lienne de cybers\u00e9curit\u00e9 montre qu&#8217;il &#8220;a \u00e9t\u00e9 constamment mis \u00e0 jour, mais les principales fonctionnalit\u00e9s existent sur tous les \u00e9chantillons depuis 2016&#8221;.  Olshtein a not\u00e9 que &#8220;le module d&#8217;injection a \u00e9t\u00e9 la partie la plus coh\u00e9rente au fil des ans et a \u00e9t\u00e9 observ\u00e9 dans tous les shellcodes TrickGate&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/researchers-uncover-packer-that-helped.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80231 janvier 2023\ue804Ravie LakshmananD\u00e9tection des menaces \/ logiciels malveillants Un packer bas\u00e9 sur un shellcode nomm\u00e9 TrickGate fonctionne avec succ\u00e8s sans attirer l&#8217;attention depuis plus de six ans, tout en permettant aux acteurs de la menace de d\u00e9ployer une large gamme de logiciels malveillants tels que TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze et [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":584588,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[277,12848,4168,4158,4165,4161,3073,133,41161,21314,4157,4159,4171,4170,4167,4589,4590,4160,4163,4162,142664,164,275,701,185,4172,4169,1282,4166,4164],"class_list":["post-584587","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ans","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvrent","tag-des","tag-detection","tag-echapper","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-packer","tag-par","tag-pendant","tag-plusieurs","tag-pour","tag-securite-informatique","tag-securite-internet","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/584587","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=584587"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/584587\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/584588"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=584587"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=584587"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=584587"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}