{"id":602642,"date":"2023-02-11T11:41:46","date_gmt":"2023-02-11T13:41:46","guid":{"rendered":"https:\/\/teknomers.com\/fr\/enigma-vector-et-tgtoxic-les-nouvelles-menaces-pour-les-utilisateurs-de-crypto-monnaie\/"},"modified":"2023-02-11T11:41:47","modified_gmt":"2023-02-11T13:41:47","slug":"enigma-vector-et-tgtoxic-les-nouvelles-menaces-pour-les-utilisateurs-de-crypto-monnaie","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/enigma-vector-et-tgtoxic-les-nouvelles-menaces-pour-les-utilisateurs-de-crypto-monnaie\/","title":{"rendered":"Enigma, Vector et TgToxic\u00a0: les nouvelles menaces pour les utilisateurs de crypto-monnaie"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des acteurs pr\u00e9sum\u00e9s de la menace russe ciblent les utilisateurs d&#8217;Europe de l&#8217;Est dans l&#8217;industrie de la cryptographie avec de fausses opportunit\u00e9s d&#8217;emploi comme app\u00e2t pour installer des logiciels malveillants voleurs d&#8217;informations sur des h\u00f4tes compromis.<\/p>\n<p>Les attaquants &#8220;utilisent plusieurs chargeurs personnalis\u00e9s hautement obscurcis et en cours de d\u00e9veloppement afin d&#8217;infecter les personnes impliqu\u00e9es dans l&#8217;industrie de la crypto-monnaie avec le voleur Enigma&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Trend Micro, Aliakbar Zahravi et Peter Girnus. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/b\/enigma-stealer-targets-cryptocurrency-industry-with-fake-jobs.html\" target=\"_blank\">a dit<\/a> dans un rapport cette semaine.<\/p>\n<p>Enigma serait une version modifi\u00e9e de Stealerium, un malware open source bas\u00e9 sur C # qui agit comme un voleur, un clipper et un enregistreur de frappe.<\/p>\n<p>Le parcours d&#8217;infection complexe commence par un fichier d&#8217;archive RAR malveillant distribu\u00e9 via des plateformes de phishing ou de r\u00e9seaux sociaux.  Il contient deux documents, dont l&#8217;un est un fichier .TXT qui comprend un ensemble d&#8217;exemples de questions d&#8217;entretien li\u00e9es \u00e0 la crypto-monnaie.<\/p>\n<p>Le deuxi\u00e8me fichier est un document Microsoft Word qui, tout en servant de leurre, est charg\u00e9 de lancer le chargeur Enigma de premi\u00e8re \u00e9tape, qui, \u00e0 son tour, t\u00e9l\u00e9charge et ex\u00e9cute une charge utile de deuxi\u00e8me \u00e9tape obfusqu\u00e9e via Telegram.<\/p>\n<p>&#8220;Pour t\u00e9l\u00e9charger la charge utile de l&#8217;\u00e9tape suivante, le logiciel malveillant envoie d&#8217;abord une demande au canal Telegram contr\u00f4l\u00e9 par l&#8217;attaquant [&#8230;] pour obtenir le chemin du fichier&#8221;, ont d\u00e9clar\u00e9 les chercheurs. &#8220;Cette approche permet \u00e0 l&#8217;attaquant de mettre \u00e0 jour en permanence et \u00e9limine la d\u00e9pendance \u00e0 l&#8217;\u00e9gard des noms de fichiers fixes.&#8221;<\/p>\n<p>Le t\u00e9l\u00e9chargeur de deuxi\u00e8me \u00e9tape, qui est ex\u00e9cut\u00e9 avec des privil\u00e8ges \u00e9lev\u00e9s, est con\u00e7u pour d\u00e9sactiver Microsoft Defender et installer une troisi\u00e8me \u00e9tape en d\u00e9ployant un pilote Intel en mode noyau l\u00e9gitimement sign\u00e9 qui est vuln\u00e9rable \u00e0 CVE-2015-2291 dans un <a rel=\"nofollow noopener\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2021\/12\/13\/driver-based-attacks-past-and-present\/\" target=\"_blank\">technique<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.eset.com\/int\/about\/newsroom\/press-releases\/research\/esets-research-into-bring-your-own-vulnerable-driver-details-attacks-on-drivers-in-windows-core\/\" target=\"_blank\">appel\u00e9<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.aon.com\/cyber-solutions\/aon_cyber_labs\/yours-truly-signed-av-driver-weaponizing-an-antivirus-driver\/\" target=\"_blank\">Apportez votre propre conducteur vuln\u00e9rable<\/a> (<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1068\/\" target=\"_blank\">BYOVD<\/a>).<\/p>\n<p>Il convient de noter que la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis a ajout\u00e9 la vuln\u00e9rabilit\u00e9 \u00e0 son catalogue de vuln\u00e9rabilit\u00e9s exploit\u00e9es connues (KEV), citant des preuves d&#8217;exploitation active dans la nature.<\/p>\n<p>La charge utile de troisi\u00e8me \u00e9tape ouvre finalement la voie au t\u00e9l\u00e9chargement d&#8217;Enigma Stealer \u00e0 partir d&#8217;une cha\u00eene Telegram contr\u00f4l\u00e9e par des acteurs.  Le logiciel malveillant, comme les autres voleurs, est dot\u00e9 de fonctionnalit\u00e9s permettant de collecter des informations sensibles, d&#8217;enregistrer des frappes au clavier et de capturer des captures d&#8217;\u00e9cran, qui sont toutes exfiltr\u00e9es au moyen de Telegram.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhdTbYoD6ZNzcbH1cykOh_73kXl1WAS46naHQmGJ3hIncPLGQUCcwmkRAMmjj_kfNXgQ9bxrKJrD8YKaF-kXbcWn5Mgf-S5F1GSHUCm83-8yPsQWknI45ILXHYyyr_VgP9EOK-SjHe3wIii1Hg9C7p2CxVAmLpMwIUkbPpDQKuFr7bDgs12GytTZcpC\/s728-e3650\/map.png\" alt=\"Utilisateurs de crypto-monnaie\" border=\"0\" data-original-height=\"534\" data-original-width=\"728\" title=\"Utilisateurs de crypto-monnaie\"\/><\/div>\n<p>Les fausses offres d&#8217;emploi sont une tactique \u00e9prouv\u00e9e employ\u00e9e par le groupe Lazarus, soutenu par la Cor\u00e9e du Nord, dans ses attaques visant le secteur de la cryptographie.  L&#8217;adoption de ce modus operandi par les acteurs de la menace russe &#8220;d\u00e9montre un vecteur d&#8217;attaque persistant et lucratif&#8221;.<\/p>\n<p>Les r\u00e9sultats viennent comme Uptycs <a rel=\"nofollow noopener\" href=\"https:\/\/www.uptycs.com\/blog\/understanding-stealerium-malware-and-its-evasion-techniques\" target=\"_blank\">lib\u00e9r\u00e9<\/a> les d\u00e9tails d&#8217;une campagne d&#8217;attaque qui exploite le logiciel malveillant Stealerium pour siphonner des donn\u00e9es personnelles, y compris des informations d&#8217;identification pour des portefeuilles de crypto-monnaie tels que Armory, Atomic Wallet, Coinomi, Electrum, Exodus, Guarda, Jaxx Liberty et Zcash, entre autres.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1676122906_316_Enigma-Vector-et-TgToxic-les-nouvelles-menaces-pour-les-utilisateurs.png\" alt=\"Uptycs\" border=\"0\" data-original-height=\"407\" data-original-width=\"728\" title=\"Uptycs\"\/><\/div>\n<p>Rejoindre Enigma Stealer et Stealerium dans le ciblage des portefeuilles de crypto-monnaie est encore un autre malware surnomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2023\/02\/01\/vector-stealer-a-gateway-for-rdp-hijacking\/\" target=\"_blank\">Voleur de vecteur<\/a> qui vient \u00e9galement avec des capacit\u00e9s pour voler des fichiers .RDP, permettant aux acteurs de la menace d&#8217;effectuer un piratage RDP pour un acc\u00e8s \u00e0 distance, a d\u00e9clar\u00e9 Cyble dans un article technique.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque document\u00e9es par les entreprises de cybers\u00e9curit\u00e9 montrent que les familles de logiciels malveillants sont transmises via des pi\u00e8ces jointes Microsoft Office contenant des macros malveillantes, ce qui sugg\u00e8re que les malfaiteurs s&#8217;appuient toujours sur la m\u00e9thode malgr\u00e9 les tentatives de Microsoft pour combler la faille.<\/p>\n<p>Une m\u00e9thode similaire a \u00e9galement \u00e9t\u00e9 utilis\u00e9e pour d\u00e9ployer un crypto-mineur Monero dans le contexte d&#8217;une campagne de cryptojacking et de phishing visant les utilisateurs espagnols, selon <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/malicious-code-cryptojacks-device-to-mine-for-monero-crypto\" target=\"_blank\">Laboratoires Fortinet FortiGuard<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiVPfIDz2gpdXWUBbgL_1WVnHzGAocVdX8hC7SBmHFHWFWjnd_3U53raa2EZo0tWs3sIUy3tqd03fZPrPvrgxHi1_Ei0t0HlZwlCioOPFf7TgEvIN8VdfLuv5QTfWAEbKf9vHXO038WtoducgksQssG-b6TNoUcwGpEmcRUlWcis50Rf0rjp3AM3O33\/s728-e3650\/miner.png\" alt=\"Mineur crypto Monero\" border=\"0\" data-original-height=\"428\" data-original-width=\"728\" title=\"Mineur crypto Monero\"\/><\/div>\n<p>Le d\u00e9veloppement est \u00e9galement le dernier d&#8217;une longue liste d&#8217;attaques visant \u00e0 voler les actifs de crypto-monnaie des victimes sur toutes les plateformes.<\/p>\n<p>Cela comprend un cheval de Troie bancaire Android &#8220;en \u00e9volution rapide&#8221; appel\u00e9 TgToxic, qui pille les informations d&#8217;identification et les fonds des portefeuilles cryptographiques ainsi que des applications bancaires et financi\u00e8res.  La campagne de logiciels malveillants en cours, active depuis juillet 2022, est dirig\u00e9e contre les utilisateurs mobiles \u00e0 Ta\u00efwan, en Tha\u00eflande et en Indon\u00e9sie.<\/p>\n<p>&#8220;Lorsque la victime t\u00e9l\u00e9charge la fausse application \u00e0 partir du site Web fourni par l&#8217;acteur de la menace, ou si la victime essaie d&#8217;envoyer un message direct \u00e0 l&#8217;acteur de la menace via des applications de messagerie telles que WhatsApp ou Viber, le cybercriminel trompe l&#8217;utilisateur pour qu&#8217;il s&#8217;enregistre, installe le malware , et en activant les autorisations dont il a besoin&#8221;, Trend Micro <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/b\/tgtoxic-malware-targets-southeast-asia-android-users.html\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Les applications malveillantes, en plus d&#8217;abuser des services d&#8217;accessibilit\u00e9 d&#8217;Android pour effectuer des transferts de fonds non autoris\u00e9s, sont \u00e9galement remarquables pour tirer parti de cadres d&#8217;automatisation l\u00e9gitimes comme Easyclick et Auto.js pour effectuer des clics et des gestes, ce qui en fait le deuxi\u00e8me malware Android apr\u00e8s PixPirate \u00e0 incorporer de tels IDE de flux de travail.<\/p>\n<p>Mais les campagnes d&#8217;ing\u00e9nierie sociale sont \u00e9galement all\u00e9es au-del\u00e0 du phishing et du smishing sur les r\u00e9seaux sociaux en cr\u00e9ant des pages de destination convaincantes qui imitent les services de cryptographie populaires dans le but de transf\u00e9rer Ethereum et NFT des portefeuilles pirat\u00e9s.<\/p>\n<p>Ceci, selon Recorded Future, est r\u00e9alis\u00e9 en injectant un script de drain crypto dans la page de phishing qui incite les victimes \u00e0 connecter leurs portefeuilles avec des offres lucratives pour cr\u00e9er des jetons non fongibles (NFT).<\/p>\n<p>Ces pages de phishing pr\u00eates \u00e0 l&#8217;emploi sont vendues sur les forums darknet dans le cadre de ce qu&#8217;on appelle un sch\u00e9ma de phishing-as-a-service (PhaaS), permettant \u00e0 d&#8217;autres acteurs de louer ces packages et de mettre rapidement en \u0153uvre des op\u00e9rations malveillantes \u00e0 grande \u00e9chelle.<\/p>\n<p>&#8220;Les &#8216;Crypto drainers&#8217; sont des scripts malveillants qui fonctionnent comme des e-skimmers et sont d\u00e9ploy\u00e9s avec des techniques de phishing pour voler les actifs cryptographiques des victimes&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.recordedfuture.com\/new-crypto-drainer-phishing-pages-siphon-cryptocurrency-seconds\" target=\"_blank\">a dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re, d\u00e9crivant les escroqueries comme efficaces et de plus en plus populaires.<\/p>\n<p>&#8220;L&#8217;utilisation de services l\u00e9gitimes sur les pages de phishing crypto drainer peut augmenter la probabilit\u00e9 que la page de phishing r\u00e9ussisse le&#8221; test d\u00e9cisif d&#8217;escroquerie &#8220;d&#8217;un utilisateur par ailleurs avis\u00e9&#8221;.  Une fois que les portefeuilles cryptographiques ont \u00e9t\u00e9 compromis, aucune garantie n&#8217;existe pour emp\u00eacher le transfert illicite d&#8217;actifs vers les portefeuilles des attaquants.&#8221;<\/p>\n<p>Les agressions surviennent \u00e0 un moment o\u00f9 des groupes criminels ont vol\u00e9 un record de 3,8 milliards de dollars \u00e0 des entreprises de cryptographie en 2022, une grande partie du pic \u00e9tant attribu\u00e9e aux \u00e9quipes de piratage parrain\u00e9es par l&#8217;\u00c9tat nord-cor\u00e9en.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/enigma-vector-and-tgtoxic-new-threats.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des acteurs pr\u00e9sum\u00e9s de la menace russe ciblent les utilisateurs d&#8217;Europe de l&#8217;Est dans l&#8217;industrie de la cryptographie avec de fausses opportunit\u00e9s d&#8217;emploi comme app\u00e2t pour installer des logiciels malveillants voleurs d&#8217;informations sur des h\u00f4tes compromis. Les attaquants &#8220;utilisent plusieurs chargeurs personnalis\u00e9s hautement obscurcis et en cours de d\u00e9veloppement afin d&#8217;infecter les personnes impliqu\u00e9es dans [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":602643,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,1966,4158,4165,4161,145201,4157,4159,4171,4170,65,4167,4742,4160,120,4163,4162,185,4172,4169,145203,7529,145202,4166,4164],"class_list":["post-602642","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cryptomonnaie","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-enigma","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-menaces","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-tgtoxic","tag-utilisateurs","tag-vector","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/602642","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=602642"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/602642\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/602643"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=602642"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=602642"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=602642"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}