{"id":731736,"date":"2023-05-12T21:33:22","date_gmt":"2023-05-12T23:33:22","guid":{"rendered":"https:\/\/teknomers.com\/fr\/xworm-malware-exploite-la-vulnerabilite-de-follina-dans-une-nouvelle-vague-dattaques\/"},"modified":"2023-05-12T21:33:26","modified_gmt":"2023-05-12T23:33:26","slug":"xworm-malware-exploite-la-vulnerabilite-de-follina-dans-une-nouvelle-vague-dattaques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/xworm-malware-exploite-la-vulnerabilite-de-follina-dans-une-nouvelle-vague-dattaques\/","title":{"rendered":"XWorm Malware exploite la vuln\u00e9rabilit\u00e9 de Follina dans une nouvelle vague d’attaques"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>12 mai 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Cybermenace\/malware<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une campagne de phishing en cours qui utilise une cha\u00eene d’attaque unique pour diffuser le malware XWorm sur des syst\u00e8mes cibl\u00e9s.<\/p>\n

Securonix, qui suit le cluster d’activit\u00e9 sous le nom MEME#4CHAN<\/strong>a d\u00e9clar\u00e9 que certaines des attaques visaient principalement des entreprises manufacturi\u00e8res et des cliniques de sant\u00e9 situ\u00e9es en Allemagne.<\/p>\n

“La campagne d’attaque a tir\u00e9 parti d’un code PowerShell rempli de m\u00e8mes plut\u00f4t inhabituel, suivi d’une charge utile XWorm fortement obscurcie pour infecter ses victimes”, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Den Iuzvyk, Tim Peck et Oleg Kolesnikov dans une nouvelle analyse partag\u00e9e avec The Hacker News.<\/p>\n

Le rapport s’appuie sur d\u00e9couvertes r\u00e9centes<\/a> d’Elastic Security Labs, qui a r\u00e9v\u00e9l\u00e9 les leurres sur le th\u00e8me de la r\u00e9servation de l’acteur de la menace pour inciter les victimes \u00e0 ouvrir des documents malveillants capables de fournir des charges utiles XWorm et Agent Tesla.<\/p>\n

\"La<\/a><\/center><\/div>\n

Les attaques commencent par des attaques de phishing pour distribuer des documents Microsoft Word leurres qui, au lieu d’utiliser des macros, militarisent la vuln\u00e9rabilit\u00e9 Follina (CVE-2022-30190, score CVSS\u00a0: 7,8) pour supprimer un script PowerShell obfusqu\u00e9.<\/p>\n

\u00c0 partir de l\u00e0, les pirates abusent du script PowerShell pour contourner l’interface d’analyse antimalware (AMSI<\/a>), d\u00e9sactivez Microsoft Defender, \u00e9tablissez la persistance et finalement lancez le binaire .NET contenant XWorm.<\/p>\n

\"Logiciel<\/div>\n

Fait int\u00e9ressant, l’une des variables du script PowerShell est nomm\u00e9e “$CHOTAbheem”, ce qui est probablement une r\u00e9f\u00e9rence \u00e0 Chhota Bhem<\/em><\/a>une s\u00e9rie t\u00e9l\u00e9vis\u00e9e d’aventure comique d’animation indienne.<\/p>\n

“Sur la base d’une v\u00e9rification rapide, il semble que l’individu ou le groupe responsable de l’attaque pourrait avoir une origine moyen-orientale\/indienne, bien que l’attribution finale n’ait pas encore \u00e9t\u00e9 confirm\u00e9e”, ont d\u00e9clar\u00e9 les chercheurs \u00e0 The Hacker News, soulignant que de tels mots-cl\u00e9s peut aussi servir de couverture.<\/p>\n

XWorm est un logiciels malveillants de base<\/a> qui est annonc\u00e9 \u00e0 la vente sur des forums clandestins et est livr\u00e9 avec un large \u00e9ventail de fonctionnalit\u00e9s qui lui permettent de siphonner les informations sensibles des h\u00f4tes infect\u00e9s.<\/p>\n

WEBINAIRE \u00c0 VENIR<\/span><\/p>\n

Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n

Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n

Sauvez ma place\u00a0!<\/a><\/div>\n

Le malware est \u00e9galement un couteau suisse dans la mesure o\u00f9 il peut effectuer des op\u00e9rations de clipper, de DDoS et de ransomware, se propager via USB et d\u00e9poser des malwares suppl\u00e9mentaires.<\/p>\n

Les origines exactes de l’acteur de la menace ne sont actuellement pas claires, bien que Securonix ait d\u00e9clar\u00e9 que la m\u00e9thodologie d’attaque partage des artefacts similaires \u00e0 celui de TA558, qui a \u00e9t\u00e9 observ\u00e9 frappant l’industrie h\u00f4teli\u00e8re dans le pass\u00e9.<\/p>\n

“Bien que les e-mails de phishing utilisent rarement des documents Microsoft Office depuis que Microsoft a pris la d\u00e9cision de d\u00e9sactiver les macros par d\u00e9faut, nous voyons aujourd’hui la preuve qu’il est toujours important d’\u00eatre vigilant sur les fichiers de documents malveillants, en particulier dans ce cas o\u00f9 il n’y a pas eu d’ex\u00e9cution de VBscript depuis macros \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n