{"id":610870,"date":"2023-02-16T14:32:52","date_gmt":"2023-02-16T16:32:52","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-utilisent-google-ads-pour-diffuser-les-logiciels-malveillants-fatalrat-deguises-en-applications-populaires\/"},"modified":"2023-02-16T14:32:53","modified_gmt":"2023-02-16T16:32:53","slug":"les-pirates-utilisent-google-ads-pour-diffuser-les-logiciels-malveillants-fatalrat-deguises-en-applications-populaires","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-utilisent-google-ads-pour-diffuser-les-logiciels-malveillants-fatalrat-deguises-en-applications-populaires\/","title":{"rendered":"Les pirates utilisent Google Ads pour diffuser les logiciels malveillants FatalRAT d\u00e9guis\u00e9s en applications populaires"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 f\u00e9vrier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Fraude publicitaire\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les personnes de langue chinoise en Asie du Sud-Est et de l&#8217;Est sont les cibles d&#8217;une nouvelle campagne Google Ads malveillante qui fournit des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance tels que FatalRAT aux machines compromises.<\/p>\n<p>Les attaques impliquent l&#8217;achat d&#8217;espaces publicitaires pour appara\u00eetre dans les r\u00e9sultats de recherche Google qui dirigent les utilisateurs \u00e0 la recherche d&#8217;applications populaires vers des sites Web malveillants h\u00e9bergeant des installateurs troyens, a d\u00e9clar\u00e9 ESET dans un rapport publi\u00e9 aujourd&#8217;hui.  Les publicit\u00e9s ont depuis \u00e9t\u00e9 supprim\u00e9es.<\/p>\n<p>Certaines des applications usurp\u00e9es incluent Google Chrome, Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao et WPS Office.<\/p>\n<p>&#8220;Les sites Web et les installateurs t\u00e9l\u00e9charg\u00e9s \u00e0 partir de ceux-ci sont pour la plupart en chinois et, dans certains cas, proposent \u00e0 tort des versions en langue chinoise de logiciels qui ne sont pas disponibles en Chine&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2023\/02\/16\/these-arent-apps-youre-looking-for-fake-installers\/\" target=\"_blank\">a dit<\/a>ajoutant avoir observ\u00e9 les attentats entre ao\u00fbt 2022 et janvier 2023.<\/p>\n<p>La majorit\u00e9 des victimes se trouvent \u00e0 Ta\u00efwan, en Chine et \u00e0 Hong Kong, suivis de la Malaisie, du Japon, des Philippines, de la Tha\u00eflande, de Singapour, de l&#8217;Indon\u00e9sie et du Myanmar.<\/p>\n<p>L&#8217;aspect le plus important des attaques est la cr\u00e9ation de sites Web similaires avec des domaines typosquatt\u00e9s pour propager l&#8217;installateur malveillant, qui, dans une tentative de maintenir la ruse, installe le logiciel l\u00e9gitime, mais laisse \u00e9galement tomber un chargeur qui d\u00e9ploie FatalRAT.<\/p>\n<p>Ce faisant, il accorde \u00e0 l&#8217;attaquant le contr\u00f4le complet de l&#8217;ordinateur victime, y compris l&#8217;ex\u00e9cution de commandes shell arbitraires, l&#8217;ex\u00e9cution de fichiers, la collecte de donn\u00e9es \u00e0 partir de navigateurs Web et la capture de frappes.<\/p>\n<p>&#8220;Les attaquants ont d\u00e9ploy\u00e9 des efforts concernant les noms de domaine utilis\u00e9s pour leurs sites Web, essayant d&#8217;\u00eatre aussi similaires que possible aux noms officiels&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Les faux sites Web sont, dans la plupart des cas, des copies identiques des sites l\u00e9gitimes.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1676565172_806_Les-pirates-utilisent-Google-Ads-pour-diffuser-les-logiciels-malveillants.png\" alt=\"Logiciel malveillant FatalRAT\" border=\"0\" data-original-height=\"446\" data-original-width=\"728\" title=\"Logiciel malveillant FatalRAT\"\/><\/div>\n<p>Les r\u00e9sultats arrivent moins d&#8217;un an apr\u00e8s que Trend Micro a divulgu\u00e9 une campagne Purple Fox qui a tir\u00e9 parti des progiciels corrompus Adobe, Google Chrome, Telegram et WhatsApp comme vecteur d&#8217;arriv\u00e9e pour propager FatalRAT.<\/p>\n<p>Ils arrivent \u00e9galement au milieu d&#8217;un abus plus large de Google Ads pour servir un large \u00e9ventail de logiciels malveillants, ou alternativement, diriger les utilisateurs vers des pages de phishing d&#8217;informations d&#8217;identification.<\/p>\n<p>Dans un d\u00e9veloppement connexe, l&#8217;\u00e9quipe Threat Hunter de Symantec a mis en lumi\u00e8re une autre campagne de logiciels malveillants qui cible des entit\u00e9s \u00e0 Ta\u00efwan avec un implant .NET pr\u00e9c\u00e9demment non document\u00e9 appel\u00e9 Frebniis.<\/p>\n<p>&#8220;La technique utilis\u00e9e par Frebniis consiste \u00e0 injecter du code malveillant dans la m\u00e9moire d&#8217;un fichier DLL (iisfreb.dll) li\u00e9 \u00e0 une fonctionnalit\u00e9 IIS utilis\u00e9e pour d\u00e9panner et analyser les requ\u00eates de pages Web ayant \u00e9chou\u00e9&#8221;, Symantec <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/frebniis-malware-iis\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>&#8220;Cela permet au logiciel malveillant de surveiller furtivement toutes les requ\u00eates HTTP et de reconna\u00eetre les requ\u00eates HTTP sp\u00e9cialement format\u00e9es envoy\u00e9es par l&#8217;attaquant, permettant l&#8217;ex\u00e9cution de code \u00e0 distance.&#8221;<\/p>\n<p>La firme de cybers\u00e9curit\u00e9, qui a attribu\u00e9 l&#8217;intrusion \u00e0 un acteur inconnu, a d\u00e9clar\u00e9 qu&#8217;on ne sait pas actuellement comment l&#8217;acc\u00e8s \u00e0 la machine Windows ex\u00e9cutant le serveur Internet Information Services (IIS) a \u00e9t\u00e9 obtenu.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/hackers-using-google-ads-to-spread.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 f\u00e9vrier 2023\ue804Ravie LakshmananFraude publicitaire\/malware Les personnes de langue chinoise en Asie du Sud-Est et de l&#8217;Est sont les cibles d&#8217;une nouvelle campagne Google Ads malveillante qui fournit des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance tels que FatalRAT aux machines compromises. Les attaques impliquent l&#8217;achat d&#8217;espaces publicitaires pour appara\u00eetre dans les r\u00e9sultats de recherche Google [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":610871,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[39578,8361,4168,4158,4165,4161,85169,773,37893,7755,4157,4159,4171,4170,65,4167,4589,4590,4160,4163,4162,4394,12308,185,4172,4169,10784,4166,4164],"class_list":["post-610870","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ads","tag-applications","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deguises","tag-diffuser","tag-fatalrat","tag-google","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-populaires","tag-pour","tag-securite-informatique","tag-securite-internet","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/610870","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=610870"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/610870\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/610871"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=610870"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=610870"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=610870"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}