Une nouvelle campagne d’attaques a cibl\u00e9 les secteurs des jeux et des jeux d’argent depuis au moins septembre 2022, quelques mois seulement avant le ICE Londres 2023<\/a> salon de l’industrie du jeu qui est pr\u00e9vu la semaine prochaine.<\/p>\n Soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 S\u00e9curit\u00e9 Joes<\/b> suit le cluster d’activit\u00e9 sous le nom Brise-glace<\/strong>indiquant que les intrusions utilisent des tactiques d’ing\u00e9nierie sociale intelligentes pour d\u00e9ployer une porte d\u00e9rob\u00e9e JavaScript.<\/p>\n La s\u00e9quence d’attaque se d\u00e9roule comme suit\u00a0: l’auteur de la menace se fait passer pour un client tout en entamant une conversation avec un agent d’assistance d’un site Web de jeux et demande instamment \u00e0 l’individu \u00e0 l’autre bout d’ouvrir une image de capture d’\u00e9cran h\u00e9berg\u00e9e sur Dropbox.<\/p>\n S\u00e9curit\u00e9 Joes m’a dit<\/a> que l’auteur de la menace est “bien conscient du fait que le service client est g\u00e9r\u00e9 par l’homme”.<\/p>\n Cliquer sur le lien malveillant envoy\u00e9 dans le chat entra\u00eene la r\u00e9cup\u00e9ration d’une charge utile LNK ou, alternativement, d’un fichier VBScript comme option de sauvegarde, dont le premier est configur\u00e9 pour t\u00e9l\u00e9charger et ex\u00e9cuter un package MSI contenant un implant Node.js.<\/p>\n Le fichier JavaScript poss\u00e8de toutes les fonctionnalit\u00e9s d’une porte d\u00e9rob\u00e9e typique, permettant \u00e0 l’auteur de la menace d’\u00e9num\u00e9rer les processus en cours d’ex\u00e9cution, de voler des mots de passe et des cookies, d’exfiltrer des fichiers arbitraires, de prendre des captures d’\u00e9cran, d’ex\u00e9cuter VBScript import\u00e9 d’un serveur distant et m\u00eame d’ouvrir un proxy inverse sur le compromis. h\u00e9berger.<\/p>\n Si le t\u00e9l\u00e9chargeur VBS est ex\u00e9cut\u00e9 par la victime, l’infection aboutit au d\u00e9ploiement de Houdini<\/a>un cheval de Troie d’acc\u00e8s \u00e0 distance bas\u00e9 sur VBS qui remonte \u00e0 2013.<\/p>\n Les origines des acteurs de la menace sont actuellement inconnues, bien qu’ils aient \u00e9t\u00e9 observ\u00e9s en train d’utiliser un anglais approximatif lors de leurs conversations avec des agents du service client. Certains indicateurs de compromis (IoC) associ\u00e9s \u00e0 la campagne ont \u00e9t\u00e9 pr\u00e9c\u00e9demment partag\u00e9<\/a> par la MalwareHunterTeam en octobre 2022.<\/p>\n “Il s’agit d’un vecteur d’attaque tr\u00e8s efficace pour l’industrie des jeux et des jeux d’argent”, a d\u00e9clar\u00e9 Felipe Duarte, chercheur principal sur les menaces chez Security Joes.<\/p>\n “Le logiciel malveillant de deuxi\u00e8me \u00e9tape JavaScript compil\u00e9, jamais vu auparavant, est tr\u00e8s complexe \u00e0 diss\u00e9quer, ce qui montre que nous avons affaire \u00e0 un acteur de menace qualifi\u00e9 avec le potentiel d’\u00eatre parrain\u00e9 par un propri\u00e9taire d’int\u00e9r\u00eats.”<\/p>\n <\/p>\n![\"Industrie](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1675266269_840_Des-experts-mettent-en-garde-contre-les-cyberattaques-brise-glace-ciblant.png\" "\\"Industrie")
<\/div>\n