{"id":713897,"date":"2023-05-02T07:32:34","date_gmt":"2023-05-02T09:32:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lobshot-un-cheval-de-troie-financier-furtif-et-un-voleur-dinformations-diffuse-via-google-ads\/"},"modified":"2023-05-02T07:32:37","modified_gmt":"2023-05-02T09:32:37","slug":"lobshot-un-cheval-de-troie-financier-furtif-et-un-voleur-dinformations-diffuse-via-google-ads","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lobshot-un-cheval-de-troie-financier-furtif-et-un-voleur-dinformations-diffuse-via-google-ads\/","title":{"rendered":"LOBSHOT\u00a0: un cheval de Troie financier furtif et un voleur d&#8217;informations diffus\u00e9 via Google Ads"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Publicit\u00e9 malveillante \/ cybermenace<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Dans un autre exemple de la fa\u00e7on dont les acteurs de la menace abusent de Google Ads pour diffuser des logiciels malveillants, un acteur de la menace a \u00e9t\u00e9 observ\u00e9 en train d&#8217;exploiter la technique pour fournir un nouveau cheval de Troie financier bas\u00e9 sur Windows et un voleur d&#8217;informations appel\u00e9 <b>LOBSHOT<\/b>.<\/p>\n<p>&#8220;LOBSHOT continue de collecter des victimes tout en restant sous le radar&#8221;, a d\u00e9clar\u00e9 Daniel Stepanic, chercheur chez Elastic Security Labs, dans une analyse. <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/elastic-security-labs-discovers-lobshot-malware\" target=\"_blank\">publi\u00e9<\/a> la semaine derni\u00e8re.<\/p>\n<p>&#8220;L&#8217;une des principales capacit\u00e9s de LOBSHOT concerne son composant hVNC (Hidden Virtual Network Computing). Ces types de modules permettent un acc\u00e8s direct et non observ\u00e9 \u00e0 la machine.&#8221;<\/p>\n<p>La soci\u00e9t\u00e9 am\u00e9ricano-n\u00e9erlandaise a attribu\u00e9 la souche de logiciels malveillants \u00e0 un acteur mena\u00e7ant connu sous le nom de TA505 sur la base d&#8217;une infrastructure historiquement connect\u00e9e au groupe.  TA505 est un syndicat du crime \u00e9lectronique \u00e0 motivation financi\u00e8re qui chevauche des groupes d&#8217;activit\u00e9s suivis sous les noms Evil Corp, FIN11 et Indrik Spider.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tractivethreatsstatic-inside-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682946326_927_Decouverte-de-la-nouvelle-boite-a-outils-de-logiciels-malveillants.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le dernier d\u00e9veloppement est significatif car c&#8217;est un signe que TA505, qui est associ\u00e9 au cheval de Troie bancaire Dridex, \u00e9tend \u00e0 nouveau son arsenal de logiciels malveillants pour perp\u00e9trer le vol de donn\u00e9es et la fraude financi\u00e8re.<\/p>\n<p>LOBSHOT, dont les premiers \u00e9chantillons remontent \u00e0 juillet 2022, est distribu\u00e9 au moyen d&#8217;annonces Google malveillantes pour des outils l\u00e9gitimes comme AnyDesk qui sont h\u00e9berg\u00e9s sur un r\u00e9seau de pages de destination similaires g\u00e9r\u00e9es par les op\u00e9rateurs.<\/p>\n<p>Le logiciel malveillant int\u00e8gre une r\u00e9solution d&#8217;importation dynamique (c&#8217;est-\u00e0-dire la r\u00e9solution des noms des API Windows n\u00e9cessaires au moment de l&#8217;ex\u00e9cution), des contr\u00f4les anti-\u00e9mulation et l&#8217;obscurcissement des cha\u00eenes pour \u00e9chapper \u00e0 la d\u00e9tection par les logiciels de s\u00e9curit\u00e9.<\/p>\n<p>Une fois install\u00e9, il modifie le registre Windows pour configurer la persistance et siphonne les donn\u00e9es de plus de 50 extensions de portefeuille de crypto-monnaie pr\u00e9sentes dans des navigateurs Web tels que Google Chrome, Microsoft Edge et Mozilla Firefox.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683019954_612_LOBSHOT-un-cheval-de-Troie-financier-furtif-et-un-voleur.png\" alt=\"Annonces Google\" border=\"0\" data-original-height=\"394\" data-original-width=\"728\" title=\"Annonces Google\"\/><\/div>\n<p>Les autres fonctionnalit\u00e9s notables de LOBSHOT tournent autour de sa capacit\u00e9 \u00e0 acc\u00e9der \u00e0 distance \u00e0 l&#8217;h\u00f4te compromis via un <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwaretech.com\/2015\/09\/hidden-vnc-for-beginners.html\" target=\"_blank\">hVNC<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/securityintelligence.com\/anatomy-of-an-hvnc-attack\/\" target=\"_blank\">module<\/a> et effectuer furtivement des actions dessus sans attirer l&#8217;attention de la victime.<\/p>\n<p>&#8220;Les groupes de menaces continuent de tirer parti des techniques de publicit\u00e9 malveillante pour masquer des logiciels l\u00e9gitimes avec des portes d\u00e9rob\u00e9es comme LOBSHOT&#8221;, a d\u00e9clar\u00e9 Stepanic.<\/p>\n<p>&#8220;Ces types de logiciels malveillants semblent petits, mais finissent par contenir des fonctionnalit\u00e9s importantes qui aident les acteurs de la menace \u00e0 se d\u00e9placer rapidement pendant les \u00e9tapes d&#8217;acc\u00e8s initiales avec des capacit\u00e9s de contr\u00f4le \u00e0 distance enti\u00e8rement interactives.&#8221;<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>Les r\u00e9sultats soulignent \u00e9galement comment un nombre croissant d&#8217;adversaires adoptent la publicit\u00e9 malveillante et l&#8217;empoisonnement de l&#8217;optimisation des moteurs de recherche (SEO) comme technique pour rediriger les utilisateurs vers de faux sites Web et t\u00e9l\u00e9charger des installateurs trojanis\u00e9s de logiciels populaires.<\/p>\n<p>Selon les donn\u00e9es de <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/protecting-end-users-against-the-gootloader-malware-threat-using-the-gootloader-operators-own-tactics\" target=\"_blank\">eSenti<\/a>les acteurs de la menace derri\u00e8re GootLoader ont \u00e9t\u00e9 li\u00e9s \u00e0 une s\u00e9rie d&#8217;attaques ciblant des cabinets d&#8217;avocats et des services juridiques d&#8217;entreprises aux \u00c9tats-Unis, au Canada, au Royaume-Uni et en Australie.<\/p>\n<p>GootLoader, actif depuis 2018 et qui fonctionne comme une op\u00e9ration initiale d&#8217;acc\u00e8s en tant que service pour les attaques de ransomwares, utilise l&#8217;empoisonnement SEO pour attirer les victimes \u00e0 la recherche d&#8217;accords et de contrats vers des blogs WordPress infect\u00e9s qui pointent vers des liens contenant le malware.<\/p>\n<p>Outre la mise en \u0153uvre du g\u00e9orep\u00e9rage pour cibler les victimes dans certaines r\u00e9gions, la cha\u00eene d&#8217;attaque est con\u00e7ue de telle sorte que le logiciel malveillant ne puisse \u00eatre t\u00e9l\u00e9charg\u00e9 qu&#8217;une fois par jour \u00e0 partir des sites pirat\u00e9s afin d&#8217;\u00e9chapper \u00e0 la d\u00e9couverte par les intervenants en cas d&#8217;incident.<\/p>\n<p>L&#8217;utilisation par GootLoader de la m\u00e9thode de l&#8217;adresse IP pour filtrer les victimes d\u00e9j\u00e0 pirat\u00e9es, a d\u00e9couvert eSentire, pourrait \u00eatre utilis\u00e9e contre elle pour bloquer de mani\u00e8re pr\u00e9ventive les adresses IP des utilisateurs finaux et emp\u00eacher les organisations d&#8217;infections potentielles.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/lobshot-stealthy-financial-trojan-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 mai 2023\ue804Ravie LakshmananPublicit\u00e9 malveillante \/ cybermenace Dans un autre exemple de la fa\u00e7on dont les acteurs de la menace abusent de Google Ads pour diffuser des logiciels malveillants, un acteur de la menace a \u00e9t\u00e9 observ\u00e9 en train d&#8217;exploiter la technique pour fournir un nouveau cheval de Troie financier bas\u00e9 sur Windows et un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":713898,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[39578,7968,4168,4158,4165,4161,3469,22908,643,76165,7755,4157,4159,4171,4170,159884,4167,4160,4163,4162,4172,4169,8915,4166,8808,4164],"class_list":["post-713897","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ads","tag-cheval","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-diffuse","tag-dinformations","tag-financier","tag-furtif","tag-google","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lobshot","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-troie","tag-violation-de-donnees","tag-voleur","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/713897","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=713897"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/713897\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/713898"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=713897"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=713897"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=713897"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}