{"id":796441,"date":"2023-06-22T16:30:32","date_gmt":"2023-06-22T18:30:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-campagne-multistorm-cible-linde-et-les-etats-unis-avec-des-chevaux-de-troie-dacces-a-distance\/"},"modified":"2023-06-22T16:30:35","modified_gmt":"2023-06-22T18:30:35","slug":"la-campagne-multistorm-cible-linde-et-les-etats-unis-avec-des-chevaux-de-troie-dacces-a-distance","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-campagne-multistorm-cible-linde-et-les-etats-unis-avec-des-chevaux-de-troie-dacces-a-distance\/","title":{"rendered":"La campagne MULTI#STORM cible l&#8217;Inde et les \u00c9tats-Unis avec des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyberattaque\/hame\u00e7onnage<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une nouvelle campagne de phishing portant le nom de code <strong>MULTI#TEMP\u00caTE<\/strong> a jet\u00e9 son d\u00e9volu sur l&#8217;Inde et les \u00c9tats-Unis en exploitant des fichiers JavaScript pour fournir des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance sur des syst\u00e8mes compromis.<\/p>\n<p>&#8220;La cha\u00eene d&#8217;attaque se termine avec la machine victime infect\u00e9e par plusieurs instances uniques de logiciels malveillants RAT (cheval de Troie d&#8217;acc\u00e8s \u00e0 distance), tels que Warzone RAT et Quasar RAT&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Securonix, Den Iuzvyk, Tim Peck et Oleg Kolesnikov. <a rel=\"nofollow noopener\" href=\"https:\/\/www.securonix.com\/securonix-threat-labs-security-advisory-multistorm-leverages-python-based-loader-as-onedrive-utilities-to-drop-rat-payloads\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>&#8220;Les deux sont utilis\u00e9s pour le commandement et le contr\u00f4le \u00e0 diff\u00e9rentes \u00e9tapes de la cha\u00eene d&#8217;infection.&#8221;<\/p>\n<p>La cha\u00eene d&#8217;attaque en plusieurs \u00e9tapes commence lorsqu&#8217;un destinataire d&#8217;e-mail clique sur le lien int\u00e9gr\u00e9 pointant vers un fichier ZIP prot\u00e9g\u00e9 par mot de passe (&#8220;REQUEST.zip&#8221;) h\u00e9berg\u00e9 sur Microsoft OneDrive avec le mot de passe &#8220;12345&#8221;.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1685947184_392_Magento-WooCommerce-WordPress-et-Shopify-exploites-dans-une-attaque-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;extraction du fichier d&#8217;archive r\u00e9v\u00e8le un fichier JavaScript fortement obscurci (&#8220;REQUEST.js&#8221;) qui, lorsqu&#8217;il est double-cliqu\u00e9, active l&#8217;infection en ex\u00e9cutant deux commandes PowerShell charg\u00e9es de r\u00e9cup\u00e9rer deux charges utiles distinctes de OneDrive et de les ex\u00e9cuter.<\/p>\n<p>Le premier des deux fichiers est un document PDF leurre qui est affich\u00e9 \u00e0 la victime tandis que le second fichier, un ex\u00e9cutable bas\u00e9 sur Python, est ex\u00e9cut\u00e9 furtivement en arri\u00e8re-plan.<\/p>\n<p>Le binaire agit comme un compte-gouttes pour extraire et ex\u00e9cuter la charge utile principale emball\u00e9e \u00e0 l&#8217;int\u00e9rieur sous la forme de cha\u00eenes encod\u00e9es en Base64 (&#8220;Storm.exe&#8221;), mais pas avant de configurer la persistance via la modification du registre Windows.<\/p>\n<p>\u00c9galement d\u00e9cod\u00e9 par le binaire se trouve un deuxi\u00e8me fichier ZIP (&#8220;files.zip&#8221;) qui contient quatre fichiers diff\u00e9rents, chacun \u00e9tant con\u00e7u pour contourner le contr\u00f4le de compte d&#8217;utilisateur (<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1548\/002\/\" target=\"_blank\">UAC<\/a>) et \u00e9lever les privil\u00e8ges en cr\u00e9ant des r\u00e9pertoires de confiance factices.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1687458632_854_La-campagne-MULTISTORM-cible-lInde-et-les-Etats-Unis-avec-des.jpg\" alt=\"Chevaux de Troie d'acc\u00e8s \u00e0 distance\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\" title=\"Chevaux de Troie d'acc\u00e8s \u00e0 distance\"\/><\/div>\n<p>Parmi les fichiers se trouve un fichier batch (&#8220;check.bat&#8221;) qui, selon Securonix, partage plusieurs points communs avec un autre chargeur appel\u00e9 DBatLoader malgr\u00e9 la diff\u00e9rence de langage de programmation utilis\u00e9.<\/p>\n<p>Un deuxi\u00e8me fichier nomm\u00e9 &#8220;KDECO.bat&#8221; ex\u00e9cute une commande PowerShell pour demander \u00e0 Microsoft Defender d&#8217;ajouter un <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/microsoft-365\/security\/defender-endpoint\/configure-extension-file-exclusions-microsoft-defender-antivirus\" target=\"_blank\">r\u00e8gle d&#8217;exclusion antivirus<\/a> pour ignorer le r\u00e9pertoire &#8220;C:Users&#8221;.<\/p>\n<p>L&#8217;attaque culmine avec le d\u00e9ploiement de Warzone RAT (alias Ave Maria), un malware pr\u00eat \u00e0 l&#8217;emploi qui est disponible \u00e0 la vente pour 38 $ par mois et est livr\u00e9 avec une liste exhaustive de fonctionnalit\u00e9s pour r\u00e9colter des donn\u00e9es sensibles et t\u00e9l\u00e9charger des logiciels malveillants suppl\u00e9mentaires tels que Quasar RAT .<\/p>\n<p>&#8220;Il est important de rester extr\u00eamement vigilant en ce qui concerne les e-mails de phishing, en particulier lorsqu&#8217;un sentiment d&#8217;urgence est soulign\u00e9&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Ce leurre particulier \u00e9tait g\u00e9n\u00e9ralement banal car il obligerait l&#8217;utilisateur \u00e0 ex\u00e9cuter directement un fichier JavaScript. Les fichiers de raccourcis ou les fichiers utilisant des doubles extensions auraient probablement un taux de r\u00e9ussite plus \u00e9lev\u00e9.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/multistorm-campaign-targets-india-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 juin 2023\ue804Ravie LakshmananCyberattaque\/hame\u00e7onnage Une nouvelle campagne de phishing portant le nom de code MULTI#TEMP\u00caTE a jet\u00e9 son d\u00e9volu sur l&#8217;Inde et les \u00c9tats-Unis en exploitant des fichiers JavaScript pour fournir des chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance sur des syst\u00e8mes compromis. &#8220;La cha\u00eene d&#8217;attaque se termine avec la machine victime infect\u00e9e par plusieurs instances [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":796442,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,2930,4454,7087,4168,4158,4165,4161,7192,133,2526,3118,4157,4159,4171,4170,65,10254,4167,4160,169957,4163,4162,4172,4169,8915,4166,4164],"class_list":["post-796441","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-campagne","tag-chevaux","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dacces","tag-des","tag-distance","tag-etatsunis","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-linde","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-multistorm","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-troie","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/796441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=796441"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/796441\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/796442"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=796441"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=796441"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=796441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}