{"id":984067,"date":"2023-10-23T22:30:13","date_gmt":"2023-10-24T00:30:13","guid":{"rendered":"https:\/\/teknomers.com\/fr\/quasar-rat-exploite-le-chargement-lateral-des-dll-pour-passer-sous-le-radar\/"},"modified":"2023-10-23T22:30:16","modified_gmt":"2023-10-24T00:30:16","slug":"quasar-rat-exploite-le-chargement-lateral-des-dll-pour-passer-sous-le-radar","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/quasar-rat-exploite-le-chargement-lateral-des-dll-pour-passer-sous-le-radar\/","title":{"rendered":"Quasar RAT exploite le chargement lat\u00e9ral des DLL pour passer sous le radar"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 octobre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cyberattaque\/logiciel malveillant<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Quasar-RAT-exploite-le-chargement-lateral-des-DLL-pour-passer.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Le cheval de Troie d&#8217;acc\u00e8s \u00e0 distance open source connu sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.quasar_rat\" target=\"_blank\">Quasar RAT<\/a> a \u00e9t\u00e9 observ\u00e9 en utilisant le chargement lat\u00e9ral de DLL pour passer inaper\u00e7u et siphonner furtivement les donn\u00e9es des h\u00f4tes Windows compromis.<\/p>\n<p>&#8220;Cette technique capitalise sur la confiance inh\u00e9rente \u00e0 ces fichiers dans l&#8217;environnement Windows&#8221;, ont d\u00e9clar\u00e9 Tejaswini Sandapolla et Karthickkumar Kathiresan, chercheurs d&#8217;Uptycs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.uptycs.com\/blog\/quasar-rat\" target=\"_blank\">dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re, d\u00e9taillant la d\u00e9pendance du malware \u00e0 l&#8217;\u00e9gard de ctfmon.exe et calc.exe dans le cadre de la cha\u00eene d&#8217;attaque.<\/p>\n<p>\u00c9galement connu sous les noms de CinaRAT \u200b\u200bou Yggdrasil, Quasar RAT est un outil d&#8217;administration \u00e0 distance bas\u00e9 sur C# capable de collecter des informations syst\u00e8me, une liste d&#8217;applications en cours d&#8217;ex\u00e9cution, des fichiers, des frappes au clavier, des captures d&#8217;\u00e9cran et d&#8217;ex\u00e9cuter des commandes shell arbitraires.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-2.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Les-Bing-Chat-Ads-de-Microsoft-alimentees-par-lIA-peuvent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le chargement lat\u00e9ral des DLL est un <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/reports\/dll-side-loading-thorn-side-anti-virus-industry\" target=\"_blank\">populaire<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/businessinsights\/tech-explainer-what-is-dll-sideloading\/\" target=\"_blank\">technique<\/a> adopt\u00e9 par <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/dll-side-loading-how-to-combat-threat-actor-evasion-techniques\/\" target=\"_blank\">de nombreux acteurs mena\u00e7ants<\/a> pour ex\u00e9cuter leurs propres charges utiles en plantant un fichier DLL usurp\u00e9 avec un nom qu&#8217;un ex\u00e9cutable inoffensif est connu pour rechercher.<\/p>\n<p>&#8220;Les adversaires utilisent probablement le chargement lat\u00e9ral comme moyen de masquer les actions qu&#8217;ils effectuent dans le cadre d&#8217;un syst\u00e8me ou d&#8217;un processus logiciel l\u00e9gitime, fiable et potentiellement \u00e9lev\u00e9&#8221;, MITRE <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Remarques<\/a> dans son explication de la m\u00e9thode d\u2019attaque.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698107412_727_Quasar-RAT-exploite-le-chargement-lateral-des-DLL-pour-passer.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698107412_727_Quasar-RAT-exploite-le-chargement-lateral-des-DLL-pour-passer.jpg\" alt=\"Quasar RAT\" border=\"0\" data-original-height=\"357\" data-original-width=\"728\" title=\"Quasar RAT\"\/><\/a><\/div>\n<p>Le point de d\u00e9part de l&#8217;attaque document\u00e9e par Uptycs est un fichier image ISO contenant trois fichiers\u00a0: un binaire l\u00e9gitime nomm\u00e9 ctfmon.exe renomm\u00e9 eBill-997358806.exe, un fichier MsCtfMonitor.dll renomm\u00e9 Monitor.ini et un fichier malveillant. MsCtfMonitor.dll.<\/p>\n<p>&#8220;Lorsque le fichier binaire &#8216;eBill-997358806.exe&#8217; est ex\u00e9cut\u00e9, il lance le chargement d&#8217;un fichier intitul\u00e9 &#8216;MsCtfMonitor.dll&#8217; (nom masqu\u00e9) via une technique de chargement lat\u00e9ral de DLL, dans lequel le code malveillant est dissimul\u00e9&#8221;, ont d\u00e9clar\u00e9 les chercheurs. .<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1696132289_209_Les-Bing-Chat-Ads-de-Microsoft-alimentees-par-lIA-peuvent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le code cach\u00e9 est un autre ex\u00e9cutable &#8220;FileDownloader.exe&#8221; inject\u00e9 dans <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/dotnet\/framework\/tools\/regasm-exe-assembly-registration-tool\" target=\"_blank\">Regasm.exe<\/a>l&#8217;outil d&#8217;enregistrement de l&#8217;assembly Windows, afin de lancer l&#8217;\u00e9tape suivante, un fichier calc.exe authentique qui charge \u00e0 nouveau le fichier Secure32.dll malveillant via le chargement lat\u00e9ral de la DLL et lance la charge utile finale Quasar RAT. <\/p>\n<p>Le cheval de Troie, quant \u00e0 lui, \u00e9tablit des connexions avec un serveur distant pour envoyer des informations syst\u00e8me et met m\u00eame en place un proxy inverse pour l&#8217;acc\u00e8s \u00e0 distance au point final.<\/p>\n<p>L&#8217;identit\u00e9 de l&#8217;auteur de la menace et le vecteur d&#8217;acc\u00e8s initial exact utilis\u00e9 pour mener \u00e0 bien l&#8217;attaque ne sont pas clairs, mais ils sont susceptibles d&#8217;\u00eatre diffus\u00e9s au moyen d&#8217;e-mails de phishing, ce qui rend imp\u00e9ratif que les utilisateurs soient sur leurs gardes face aux e-mails, liens ou pi\u00e8ces jointes douteux. .<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/quasar-rat-leverages-dll-side-loading.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 octobre 2023\ue804R\u00e9dactionCyberattaque\/logiciel malveillant Le cheval de Troie d&#8217;acc\u00e8s \u00e0 distance open source connu sous le nom de Quasar RAT a \u00e9t\u00e9 observ\u00e9 en utilisant le chargement lat\u00e9ral de DLL pour passer inaper\u00e7u et siphonner furtivement les donn\u00e9es des h\u00f4tes Windows compromis. &#8220;Cette technique capitalise sur la confiance inh\u00e9rente \u00e0 ces fichiers dans l&#8217;environnement Windows&#8221;, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":984068,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,30675,4168,4165,4161,200267,133,210736,7727,4159,4171,15785,200271,200268,200269,200270,1627,185,210735,7677,46743,128318,4172,4169,367,4166,4164],"class_list":["post-984067","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-chargement","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-dll","tag-exploite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-lateral","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-passer","tag-pour","tag-quasar","tag-radar","tag-rat","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sous","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/984067","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=984067"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/984067\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/984068"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=984067"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=984067"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=984067"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}