{"id":605607,"date":"2023-02-13T12:16:29","date_gmt":"2023-02-13T14:16:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-ciblant-des-entreprises-americaines-et-allemandes-surveillent-les-postes-de-travail-des-victimes-avec-un-capture-decran\/"},"modified":"2023-02-13T12:16:29","modified_gmt":"2023-02-13T14:16:29","slug":"des-pirates-ciblant-des-entreprises-americaines-et-allemandes-surveillent-les-postes-de-travail-des-victimes-avec-un-capture-decran","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-ciblant-des-entreprises-americaines-et-allemandes-surveillent-les-postes-de-travail-des-victimes-avec-un-capture-decran\/","title":{"rendered":"Des pirates ciblant des entreprises am\u00e9ricaines et allemandes surveillent les postes de travail des victimes avec un capture d&#8217;\u00e9cran"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEg-t65CPCdOmL4W0GO4ZUeWynZscuox8dEL-_B0ROxpF0Dblk545dxLea1ej68BFNKzJYJFE9WdSwfWrxqLcXAVT4z-K1PtBaPlbh8LbMRs5bqWG0L5XcnCxoqPEhBjSpMLTsJ7SPYycaC91gOKw1pQrpzORxQS3V7ufhq2OjyCN9w6xAUeSyFMxufT\/s728-e365\/malwareee.jpg\" alt=\"\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\"\/><\/div>\n<p>Un acteur de la menace jusque-l\u00e0 inconnu cible des entreprises aux \u00c9tats-Unis et en Allemagne avec des logiciels malveillants sur mesure con\u00e7us pour voler des informations confidentielles.<\/p>\n<p>La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Proofpoint, qui suit le cluster d&#8217;activit\u00e9 sous le nom <strong>Temps d&#8217;\u00e9cran<\/strong>a d\u00e9clar\u00e9 le groupe, surnomm\u00e9 <strong>TA866<\/strong>est probablement motiv\u00e9 financi\u00e8rement.<\/p>\n<p>&#8220;TA866 est un acteur organis\u00e9 capable d&#8217;effectuer des attaques bien pens\u00e9es \u00e0 grande \u00e9chelle en fonction de la disponibilit\u00e9 d&#8217;outils personnalis\u00e9s\u00a0; de la capacit\u00e9 et des connexions pour acheter des outils et des services aupr\u00e8s d&#8217;autres fournisseurs\u00a0; et de l&#8217;augmentation des volumes d&#8217;activit\u00e9&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/screentime-sometimes-it-feels-like-somebodys-watching-me\" target=\"_blank\">\u00e9valu\u00e9<\/a>.<\/p>\n<p>Les campagnes mont\u00e9es par l&#8217;adversaire auraient commenc\u00e9 vers le 3 octobre 2022, avec les attaques lanc\u00e9es via des e-mails contenant une pi\u00e8ce jointe pi\u00e9g\u00e9e ou une URL qui m\u00e8ne \u00e0 des logiciels malveillants.  Les pi\u00e8ces jointes vont des fichiers Microsoft Publisher contenant des macros aux fichiers PDF avec des URL pointant vers des fichiers JavaScript.<\/p>\n<p>Les intrusions ont \u00e9galement tir\u00e9 parti du d\u00e9tournement de conversation pour inciter les destinataires \u00e0 cliquer sur des URL apparemment anodines qui d\u00e9clenchent une cha\u00eene d&#8217;attaque en plusieurs \u00e9tapes.<\/p>\n<p>Quelle que soit la m\u00e9thode utilis\u00e9e, l&#8217;ex\u00e9cution du fichier JavaScript t\u00e9l\u00e9charg\u00e9 conduit \u00e0 un programme d&#8217;installation MSI qui d\u00e9compresse un VBScript appel\u00e9 WasabiSeed, qui fonctionne comme un outil pour r\u00e9cup\u00e9rer les logiciels malveillants de la prochaine \u00e9tape \u00e0 partir d&#8217;un serveur distant.<\/p>\n<p>L&#8217;une des charges utiles t\u00e9l\u00e9charg\u00e9es par WasabiSeed est Screenshotter, un utilitaire charg\u00e9 de prendre p\u00e9riodiquement des captures d&#8217;\u00e9cran du bureau de la victime et de transmettre ces informations \u00e0 un serveur de commande et de contr\u00f4le (C2).<\/p>\n<p>&#8220;Cela est utile \u00e0 l&#8217;acteur de la menace pendant la phase de reconnaissance et de profilage des victimes&#8221;, a d\u00e9clar\u00e9 le chercheur de Proofpoint, Axel F.<\/p>\n<p>Une phase de reconnaissance r\u00e9ussie est suivie par la distribution de plus de logiciels malveillants pour la post-exploitation, avec des attaques s\u00e9lectionn\u00e9es d\u00e9ployant un bot bas\u00e9 sur AutoHotKey (AHK) pour supprimer un voleur d&#8217;informations nomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/threatmon.io\/rhadamanthys-stealer-analysis-threatmon\/\" target=\"_blank\">Rhadamanthys<\/a>. <\/p>\n<p>Proofpoint a d\u00e9clar\u00e9 que les URL utilis\u00e9es dans la campagne impliquaient un syst\u00e8me de direction du trafic (TDS) appel\u00e9 404 TDS, permettant \u00e0 l&#8217;adversaire de ne diffuser des logiciels malveillants que dans des sc\u00e9narios o\u00f9 les victimes r\u00e9pondent \u00e0 un ensemble sp\u00e9cifique de crit\u00e8res, tels que la g\u00e9ographie, l&#8217;application de navigateur et le syst\u00e8me d&#8217;exploitation.<\/p>\n<p>Les origines de TA866 ne sont pas encore claires, bien que des noms et des commentaires de variables en langue russe aient \u00e9t\u00e9 identifi\u00e9s dans le code source d&#8217;AHK Bot, dont une variante de 2020 a \u00e9t\u00e9 utilis\u00e9e dans des attaques visant des banques canadiennes et am\u00e9ricaines.  Le logiciel malveillant est \u00e9galement soup\u00e7onn\u00e9 d&#8217;avoir \u00e9t\u00e9 utilis\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/19\/d\/potential-targeted-attack-uses-autohotkey-and-malicious-script-embedded-in-excel-file-to-avoid-detection.html\" target=\"_blank\">aussi loin que<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2019\/finteam-trojanized-teamviewer-against-government-targets\/\" target=\"_blank\">Avril 2019<\/a>.<\/p>\n<p>&#8220;L&#8217;utilisation de Screenshotter pour collecter des informations sur un h\u00f4te compromis avant de d\u00e9ployer des charges utiles suppl\u00e9mentaires indique que l&#8217;acteur de la menace examine manuellement les infections pour identifier les cibles de grande valeur&#8221;, a d\u00e9clar\u00e9 Proofpoint.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/Des-pirates-ciblant-des-entreprises-americaines-et-allemandes-surveillent-les.png\" alt=\"\" border=\"0\" data-original-height=\"497\" data-original-width=\"728\"\/><\/div>\n<p>&#8220;Il est important de noter que pour qu&#8217;un compromis r\u00e9ussisse, un utilisateur doit cliquer sur un lien malveillant et, s&#8217;il est filtr\u00e9 avec succ\u00e8s, interagir avec un fichier JavaScript pour t\u00e9l\u00e9charger et ex\u00e9cuter des charges utiles suppl\u00e9mentaires.&#8221;<\/p>\n<p>Les d\u00e9couvertes surviennent au milieu d&#8217;un pic d&#8217;acteurs de la menace <a rel=\"nofollow noopener\" href=\"https:\/\/www.silentpush.com\/blog\/silent-push-uncovers-a-russian-ursnifgozi-banking-trojan-operation-targeting-global-anydesk-users\" target=\"_blank\">en essayant<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.silentpush.com\/blog\/threat-actors-continue-to-exploit-malvertising-and-brand-spoofing-to-deploy-infostealers-and-propagate-crypto-fraud\" target=\"_blank\">dehors<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/01\/crypto-inspired-magecart-skimmer-surfaces-via-digital-crime-haven\" target=\"_blank\">de nouvelles fa\u00e7ons<\/a> pour ex\u00e9cuter du code sur les appareils des cibles apr\u00e8s que Microsoft a bloqu\u00e9 les macros par d\u00e9faut dans les fichiers Office t\u00e9l\u00e9charg\u00e9s sur Internet.<\/p>\n<p>Cela inclut l&#8217;utilisation de l&#8217;empoisonnement de l&#8217;optimisation des moteurs de recherche (SEO), de la publicit\u00e9 malveillante et de l&#8217;usurpation de marque pour distribuer des logiciels malveillants en regroupant les charges utiles sous forme de logiciels populaires tels que des applications de bureau \u00e0 distance et des plateformes de r\u00e9union en ligne.<\/p>\n<p>En outre, des publicit\u00e9s frauduleuses sur les r\u00e9sultats de recherche Google sont utilis\u00e9es pour rediriger les utilisateurs sans m\u00e9fiance vers des sites Web de phishing frauduleux con\u00e7us pour voler les connexions Amazon Web Services (AWS), selon une nouvelle campagne document\u00e9e par SentinelOne.<\/p>\n<p>&#8220;La prolif\u00e9ration d&#8217;annonces Google malveillantes menant \u00e0 des sites Web de phishing AWS repr\u00e9sente une menace s\u00e9rieuse non seulement pour les utilisateurs moyens, mais aussi pour les administrateurs r\u00e9seau et cloud&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/blog\/cloud-credentials-phishing-malicious-google-ads-target-aws-logins\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>&#8220;La facilit\u00e9 avec laquelle ces attaques peuvent \u00eatre lanc\u00e9es, combin\u00e9e \u00e0 l&#8217;audience large et diversifi\u00e9e que Google Ads peut atteindre, en fait une menace particuli\u00e8rement puissante.&#8221;<\/p>\n<p>Une autre technique qui a connu une augmentation ces derniers mois est l&#8217;utilisation abusive de nouveaux formats de fichiers tels que Microsoft OneNote et les documents Publisher pour la diffusion de logiciels malveillants.<\/p>\n<p>Les attaques ne sont pas diff\u00e9rentes de celles utilisant d&#8217;autres types de fichiers Office malveillants, dans lesquelles le destinataire de l&#8217;e-mail est dup\u00e9 en ouvrant le document et en cliquant sur un faux bouton, ce qui entra\u00eene l&#8217;ex\u00e9cution de code HTA int\u00e9gr\u00e9 pour r\u00e9cup\u00e9rer le logiciel malveillant Qakbot.<\/p>\n<p>&#8220;Les administrateurs de messagerie ont, au fil des ans, mis en place des r\u00e8gles qui soit emp\u00eachent carr\u00e9ment, soit lancent des avertissements s\u00e9v\u00e8res, sur tous les messages entrants provenant de l&#8217;ext\u00e9rieur de l&#8217;organisation avec une vari\u00e9t\u00e9 de formats de fichiers abusifs en pi\u00e8ce jointe&#8221;, a d\u00e9clar\u00e9 Andrew Brandt, chercheur chez Sophos. <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2023\/02\/06\/qakbot-onenote-attacks\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>&#8220;Il semble probable que les blocs-notes OneNote .one seront le prochain format de fichier \u00e0 se retrouver sur le bloc de coupe des pi\u00e8ces jointes aux e-mails, mais pour l&#8217;instant, cela reste un risque persistant.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/hackers-targeting-us-and-german-firms.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur de la menace jusque-l\u00e0 inconnu cible des entreprises aux \u00c9tats-Unis et en Allemagne avec des logiciels malveillants sur mesure con\u00e7us pour voler des informations confidentielles. La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Proofpoint, qui suit le cluster d&#8217;activit\u00e9 sous le nom Temps d&#8217;\u00e9crana d\u00e9clar\u00e9 le groupe, surnomm\u00e9 TA866est probablement motiv\u00e9 financi\u00e8rement. &#8220;TA866 est un acteur [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1293,1076,84,9720,4175,4168,4158,4165,4161,19729,133,3244,4157,4159,4171,4170,65,4167,4160,4163,4162,4394,7834,4172,4169,11058,709,1884,4166,4164],"class_list":["post-605607","post","type-post","status-publish","format-standard","hentry","category-technologie","tag-allemandes","tag-americaines","tag-avec","tag-capture","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decran","tag-des","tag-entreprises","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-postes","tag-securite-informatique","tag-securite-internet","tag-surveillent","tag-travail","tag-victimes","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/605607","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=605607"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/605607\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=605607"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=605607"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=605607"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}