{"id":593716,"date":"2023-02-06T06:25:38","date_gmt":"2023-02-06T08:25:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/formbook-malware-se-propage-via-malvertising-en-utilisant-malvirt-loader-pour-echapper-a-la-detection\/"},"modified":"2023-02-06T06:25:39","modified_gmt":"2023-02-06T08:25:39","slug":"formbook-malware-se-propage-via-malvertising-en-utilisant-malvirt-loader-pour-echapper-a-la-detection","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/formbook-malware-se-propage-via-malvertising-en-utilisant-malvirt-loader-pour-echapper-a-la-detection\/","title":{"rendered":"FormBook Malware se propage via Malvertising en utilisant MalVirt Loader pour \u00e9chapper \u00e0 la d\u00e9tection"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 f\u00e9vrier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malvertising \/ S\u00e9curit\u00e9 des donn\u00e9es<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une campagne de publicit\u00e9 malveillante en cours est utilis\u00e9e pour distribuer des chargeurs .NET virtualis\u00e9s con\u00e7us pour d\u00e9ployer le logiciel malveillant voleur d&#8217;informations FormBook.<\/p>\n<p>&#8220;Les chargeurs, surnomm\u00e9s MalVirt, utilisent une virtualisation obscurcie pour l&#8217;anti-analyse et l&#8217;\u00e9vasion, ainsi que le pilote Windows Process Explorer pour terminer les processus&#8221;, ont d\u00e9clar\u00e9 les chercheurs de SentinelOne, Aleksandar Milenkoski et Tom Hegel. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/malvirt-net-virtualization-thrives-in-malvertising-attacks\/\" target=\"_blank\">a dit<\/a> dans une r\u00e9daction technique.<\/p>\n<p>Le passage \u00e0 la publicit\u00e9 malveillante de Google est le dernier exemple de la fa\u00e7on dont les acteurs des logiciels criminels con\u00e7oivent des itin\u00e9raires de livraison alternatifs pour distribuer des logiciels malveillants depuis que Microsoft a annonc\u00e9 son intention de bloquer l&#8217;ex\u00e9cution de macros dans Office par d\u00e9faut \u00e0 partir de fichiers t\u00e9l\u00e9charg\u00e9s sur Internet.<\/p>\n<p>La publicit\u00e9 malveillante consiste \u00e0 placer des publicit\u00e9s malveillantes sur les moteurs de recherche dans l&#8217;espoir d&#8217;inciter les utilisateurs \u00e0 la recherche de logiciels populaires comme Blender \u00e0 t\u00e9l\u00e9charger le logiciel cheval de Troie.<\/p>\n<p>Les chargeurs MalVirt, qui sont impl\u00e9ment\u00e9s dans .NET, utilisent le l\u00e9gitime <a rel=\"nofollow noopener\" href=\"https:\/\/ki-host.appspot.com\/KoiVM\" target=\"_blank\">KoiVMComment<\/a> protecteur de virtualisation pour les applications .NET pour dissimuler son comportement et sont charg\u00e9s de distribuer la famille de logiciels malveillants FormBook.<\/p>\n<p>En plus d&#8217;incorporer des techniques d&#8217;anti-analyse et d&#8217;anti-d\u00e9tection pour \u00e9chapper \u00e0 l&#8217;ex\u00e9cution dans une machine virtuelle ou un environnement de bac \u00e0 sable d&#8217;application, les chargeurs utilisent une version modifi\u00e9e de KoiVM qui int\u00e8gre des couches d&#8217;obscurcissement suppl\u00e9mentaires afin de rendre le d\u00e9chiffrement encore plus difficile. <\/p>\n<p>Les chargeurs d\u00e9ploient et chargent \u00e9galement un Microsoft sign\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sysinternals\/\" target=\"_blank\">Explorateur de processus<\/a> pilote dans le but d&#8217;effectuer des actions avec des autorisations \u00e9lev\u00e9es.  Les privil\u00e8ges, par exemple, peuvent \u00eatre utilis\u00e9s pour mettre fin \u00e0 des processus avec un logiciel de s\u00e9curit\u00e9 afin d&#8217;\u00e9viter d&#8217;\u00eatre signal\u00e9s.<\/p>\n<p>FormBook et son successeur, XLoader, impl\u00e9mentent un large \u00e9ventail de fonctionnalit\u00e9s, telles que l&#8217;enregistrement de frappe, le vol de capture d&#8217;\u00e9cran, la collecte d&#8217;informations d&#8217;identification Web et autres, et la mise en sc\u00e8ne de logiciels malveillants suppl\u00e9mentaires.<\/p>\n<p>Les souches de logiciels malveillants sont \u00e9galement remarquables pour camoufler leur trafic de commande et de contr\u00f4le (C2) parmi les requ\u00eates HTTP d&#8217;\u00e9cran de fum\u00e9e avec du contenu cod\u00e9 vers plusieurs domaines leurres, comme l&#8217;ont pr\u00e9c\u00e9demment r\u00e9v\u00e9l\u00e9 Zscaler et Check Point l&#8217;ann\u00e9e derni\u00e8re.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1675671938_366_FormBook-Malware-se-propage-via-Malvertising-en-utilisant-MalVirt-Loader.png\" alt=\"\" border=\"0\" data-original-height=\"508\" data-original-width=\"728\"\/><\/div>\n<p>&#8220;En r\u00e9ponse au blocage par d\u00e9faut des macros Office par Microsoft dans les documents provenant d&#8217;Internet, les acteurs de la menace se sont tourn\u00e9s vers d&#8217;autres m\u00e9thodes de distribution de logiciels malveillants &#8211; plus r\u00e9cemment, la publicit\u00e9 malveillante&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Les chargeurs MalVirt [&#8230;] d\u00e9montrent \u00e0 quel point les acteurs de la menace investissent pour \u00e9chapper \u00e0 la d\u00e9tection et contrecarrer l&#8217;analyse.&#8221;<\/p>\n<p>Il est pertinent que la m\u00e9thode connaisse d\u00e9j\u00e0 une <a rel=\"nofollow noopener\" href=\"https:\/\/labs.k7computing.com\/index.php\/information-stealers-going-incognito-on-google-ads\/\" target=\"_blank\">pic<\/a> en raison de son utilisation par d&#8217;autres acteurs criminels pour pousser les voleurs IcedID, Raccoon, Rhadamanthys et Vidar au cours des derniers mois.<\/p>\n<p>&#8220;Il est probable qu&#8217;un acteur mena\u00e7ant ait commenc\u00e9 \u00e0 vendre des publicit\u00e9s malveillantes en tant que service sur le dark web, et il y a une forte demande&#8221;, Abuse.ch <a rel=\"nofollow noopener\" href=\"https:\/\/www.spamhaus.com\/resource-center\/a-surge-of-malvertising-across-google-ads-is-distributing-dangerous-malware\/\" target=\"_blank\">a dit<\/a> dans un <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/abuse_ch\/status\/1621416361858678786\" target=\"_blank\">rapport<\/a>soulignant une raison possible de &#8220;l&#8217;escalade&#8221;.<\/p>\n<p>Les r\u00e9sultats arrivent deux mois apr\u00e8s K7 Security Labs bas\u00e9 en Inde <a rel=\"nofollow noopener\" href=\"https:\/\/labs.k7computing.com\/index.php\/koivm-loader-resurfaces-with-a-bang\/\" target=\"_blank\">d\u00e9taill\u00e9<\/a> une campagne de phishing qui exploite un chargeur .NET pour d\u00e9poser Remcos RAT et Agent Tesla au moyen d&#8217;un binaire virtualis\u00e9 KoiVM.<\/p>\n<p>Cependant, ce ne sont pas toutes des publicit\u00e9s malveillantes, car les adversaires exp\u00e9rimentent \u00e9galement d&#8217;autres types de fichiers comme les compl\u00e9ments Excel (XLL) et les pi\u00e8ces jointes aux e-mails OneNote pour se faufiler au-del\u00e0 des p\u00e9rim\u00e8tres de s\u00e9curit\u00e9.  L&#8217;utilisation des compl\u00e9ments Visual Studio Tools pour Office (VSTO) comme v\u00e9hicule d&#8217;attaque vient de rejoindre cette liste.<\/p>\n<p>&#8220;Les compl\u00e9ments VSTO peuvent \u00eatre int\u00e9gr\u00e9s aux documents Office (VSTO local) ou, alternativement, r\u00e9cup\u00e9r\u00e9s \u00e0 partir d&#8217;un emplacement distant lorsqu&#8217;un document Office portant VSTO est ouvert (VSTO distant)&#8221;, Deep Instinct <a rel=\"nofollow noopener\" href=\"https:\/\/www.deepinstinct.com\/blog\/no-macro-no-worries-vsto-being-weaponized-by-threat-actors\" target=\"_blank\">divulgu\u00e9<\/a> la semaine derni\u00e8re.  &#8220;Ceci, cependant, peut n\u00e9cessiter le contournement des m\u00e9canismes de s\u00e9curit\u00e9 li\u00e9s \u00e0 la confiance.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/formbook-malware-spreads-via.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 f\u00e9vrier 2023\ue804Ravie LakshmananMalvertising \/ S\u00e9curit\u00e9 des donn\u00e9es Une campagne de publicit\u00e9 malveillante en cours est utilis\u00e9e pour distribuer des chargeurs .NET virtualis\u00e9s con\u00e7us pour d\u00e9ployer le logiciel malveillant voleur d&#8217;informations FormBook. &#8220;Les chargeurs, surnomm\u00e9s MalVirt, utilisent une virtualisation obscurcie pour l&#8217;anti-analyse et l&#8217;\u00e9vasion, ainsi que le pilote Windows Process Explorer pour terminer les processus&#8221;, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":593717,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,41161,21314,143914,4157,4159,4171,4170,38953,4167,143915,143916,4174,4160,4163,4162,185,8916,4172,4169,20349,4166,4164],"class_list":["post-593716","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-detection","tag-echapper","tag-formbook","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-loader","tag-logiciel-malveillant-de-ransomware","tag-malvertising","tag-malvirt","tag-malware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-propage","tag-securite-informatique","tag-securite-internet","tag-utilisant","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/593716","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=593716"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/593716\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/593717"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=593716"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=593716"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=593716"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}