{"id":986256,"date":"2023-10-25T07:45:44","date_gmt":"2023-10-25T09:45:44","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-campagne-de-publicite-malveillante-cible-le-systeme-de-paiement-pix-du-bresil-avec-le-logiciel-malveillant-gopix\/"},"modified":"2023-10-25T07:45:48","modified_gmt":"2023-10-25T09:45:48","slug":"une-campagne-de-publicite-malveillante-cible-le-systeme-de-paiement-pix-du-bresil-avec-le-logiciel-malveillant-gopix","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-campagne-de-publicite-malveillante-cible-le-systeme-de-paiement-pix-du-bresil-avec-le-logiciel-malveillant-gopix\/","title":{"rendered":"Une campagne de publicit\u00e9 malveillante cible le syst\u00e8me de paiement PIX du Br\u00e9sil avec le logiciel malveillant GoPIX"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Une-campagne-de-publicite-malveillante-cible-le-systeme-de-paiement.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La popularit\u00e9 du Br\u00e9sil <a rel=\"nofollow noopener\" href=\"https:\/\/www.bcb.gov.br\/en\/financialstability\/pix_en\" target=\"_blank\">PIX<\/a> Le syst\u00e8me de paiement instantan\u00e9 en a fait une cible lucrative pour les acteurs malveillants cherchant \u00e0 g\u00e9n\u00e9rer des profits illicites \u00e0 l&#8217;aide d&#8217;un nouveau malware appel\u00e9 <b>GoPIX<\/b>.<\/p>\n<p>Kaspersky, qui suit la campagne active depuis d\u00e9cembre 2022, a d\u00e9clar\u00e9 que les attaques sont men\u00e9es \u00e0 l&#8217;aide de publicit\u00e9s malveillantes diffus\u00e9es lorsque les victimes potentielles recherchent \u00ab WhatsApp Web \u00bb sur les moteurs de recherche.<\/p>\n<p>&#8220;Les cybercriminels utilisent la publicit\u00e9 malveillante\u00a0: leurs liens sont plac\u00e9s dans la section publicitaire des r\u00e9sultats de recherche, de sorte que l&#8217;utilisateur les voit en premier&#8221;, explique l&#8217;\u00e9diteur russe de cybers\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/crimeware-report-gopix-lumar-rhysida\/110871\/\" target=\"_blank\">dit<\/a>.  &#8220;S&#8217;ils cliquent sur un tel lien, une redirection s&#8217;ensuit, l&#8217;utilisateur se retrouvant sur la page d&#8217;accueil du malware.&#8221;<\/p>\n<p>Comme d\u2019autres campagnes de publicit\u00e9 malveillante l\u2019ont observ\u00e9 r\u00e9cemment, les utilisateurs qui cliquent sur l\u2019annonce seront redirig\u00e9s via un service de masquage destin\u00e9 \u00e0 filtrer les bacs \u00e0 sable, les robots et autres qui ne sont pas consid\u00e9r\u00e9s comme de v\u00e9ritables victimes.<\/p>\n<p>Ceci est accompli en utilisant une solution l\u00e9gitime de pr\u00e9vention de la fraude connue sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/www.ipqualityscore.com\/\" target=\"_blank\">Score de qualit\u00e9 IP<\/a> pour d\u00e9terminer si le visiteur du site est un humain ou un robot.  Les utilisateurs qui r\u00e9ussissent le contr\u00f4le voient appara\u00eetre une fausse page de t\u00e9l\u00e9chargement de WhatsApp pour les inciter \u00e0 t\u00e9l\u00e9charger un programme d&#8217;installation malveillant.<\/p>\n<p>Chose int\u00e9ressante, le malware peut \u00eatre t\u00e9l\u00e9charg\u00e9 \u00e0 partir de deux URL diff\u00e9rentes selon que le port 27275 est ouvert ou non sur la machine de l&#8217;utilisateur.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-2.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Les-Bing-Chat-Ads-de-Microsoft-alimentees-par-lIA-peuvent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Ce port est utilis\u00e9 par le logiciel bancaire s\u00e9curis\u00e9 Avast&#8221;, a expliqu\u00e9 Kaspersky.  &#8220;Si ce logiciel est d\u00e9tect\u00e9, un fichier ZIP est t\u00e9l\u00e9charg\u00e9 contenant un fichier LNK int\u00e9grant un script PowerShell obscurci qui t\u00e9l\u00e9charge l&#8217;\u00e9tape suivante.&#8221;<\/p>\n<p>Si le port est ferm\u00e9, le package d&#8217;installation NSIS est directement t\u00e9l\u00e9charg\u00e9.  Cela indique que le garde-fou suppl\u00e9mentaire est explicitement configur\u00e9 pour contourner le logiciel de s\u00e9curit\u00e9 et diffuser le logiciel malveillant.<\/p>\n<p>L&#8217;objectif principal du programme d&#8217;installation est de r\u00e9cup\u00e9rer et de lancer le malware GoPIX \u00e0 l&#8217;aide d&#8217;une technique appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\">processus de creusement<\/a> en d\u00e9marrant le <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Svchost.exe\" target=\"_blank\">svchost.exe<\/a> Processus syst\u00e8me Windows dans un \u00e9tat suspendu et y injectant la charge utile.<\/p>\n<p>GoPIX fonctionne comme un malware voleur de presse-papiers qui d\u00e9tourne les demandes de paiement PIX et les remplace par une cha\u00eene PIX contr\u00f4l\u00e9e par un attaquant, qui est r\u00e9cup\u00e9r\u00e9e \u00e0 partir d&#8217;un serveur de commande et de contr\u00f4le (C2).<\/p>\n<p>&#8220;Le malware prend \u00e9galement en charge la substitution des adresses de portefeuille Bitcoin et Ethereum&#8221;, a d\u00e9clar\u00e9 Kaspersky.  &#8220;Cependant, celles-ci sont cod\u00e9es en dur dans le malware et ne sont pas r\u00e9cup\u00e9r\u00e9es du C2. GoPIX peut \u00e9galement recevoir des commandes C2, mais celles-ci sont uniquement li\u00e9es \u00e0 la suppression du malware de la machine.&#8221;<\/p>\n<p>Ce n&#8217;est pas la seule campagne ciblant les utilisateurs recherchant des applications de messagerie comme WhatsApp et Telegram sur les moteurs de recherche.<\/p>\n<p>Dans une nouvelle s\u00e9rie d&#8217;attaques concentr\u00e9es dans la r\u00e9gion de Hong Kong, de fausses publicit\u00e9s dans les r\u00e9sultats de recherche Google ont \u00e9t\u00e9 d\u00e9couvertes pour rediriger les utilisateurs vers des pages frauduleuses similaires qui incitent les utilisateurs \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/web.whatsapp.com\/\" target=\"_blank\">scanner un code QR<\/a> pour relier leurs appareils.<\/p>\n<p>&#8220;Le probl\u00e8me ici est que le code QR que vous scannez provient d&#8217;un site malveillant qui n&#8217;a rien \u00e0 voir avec WhatsApp&#8221;, J\u00e9r\u00f4me Segura, directeur de la veille sur les menaces chez Malwarebytes, <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/10\/hong-kong-residents-targeted-in-malvertising-campaigns-for-whatsapp-telegram\" target=\"_blank\">dit<\/a> dans un rapport de mardi.<\/p>\n<p>En cons\u00e9quence, l&#8217;appareil de l&#8217;acteur malveillant est li\u00e9 aux comptes WhatsApp de la victime, accordant \u00e0 la partie malveillante un acc\u00e8s complet \u00e0 ses historiques de discussion et \u00e0 ses contacts enregistr\u00e9s.<\/p>\n<p>Malwarebytes a d\u00e9clar\u00e9 avoir \u00e9galement d\u00e9couvert une campagne similaire qui utilise Telegram comme leurre pour inciter les utilisateurs \u00e0 t\u00e9l\u00e9charger un programme d&#8217;installation contrefait \u00e0 partir d&#8217;une page Google Docs contenant <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/detections\/trojan-injector\" target=\"_blank\">malware d&#8217;injection<\/a>.<\/p>\n<p>Ce d\u00e9veloppement intervient alors que Proofpoint a r\u00e9v\u00e9l\u00e9 qu&#8217;une nouvelle version du <a rel=\"nofollow noopener\" href=\"https:\/\/socradar.io\/resource\/brazil-threat-landscape-report\/\" target=\"_blank\">Cheval de Troie bancaire br\u00e9silien<\/a> surnomm\u00e9 Grandoreiro cible des victimes au Mexique et en Espagne, d\u00e9crivant l&#8217;activit\u00e9 comme \u00ab inhabituelle en fr\u00e9quence et en volume \u00bb.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1696132289_209_Les-Bing-Chat-Ads-de-Microsoft-alimentees-par-lIA-peuvent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;entreprise de s\u00e9curit\u00e9 d&#8217;entreprise a <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/copacabana-barcelona-cross-continental-threat-brazilian-banking-malware\" target=\"_blank\">attribu\u00e9<\/a> la campagne contre un acteur mena\u00e7ant qu&#8217;il suit sous le nom de TA2725, connu pour utiliser des logiciels malveillants bancaires br\u00e9siliens et du phishing pour identifier diverses entit\u00e9s au Br\u00e9sil et au Mexique.<\/p>\n<p>Le ciblage de l\u2019Espagne t\u00e9moigne d\u2019une tendance \u00e9mergente selon laquelle les logiciels malveillants ciblant l\u2019Am\u00e9rique latine se tournent de plus en plus vers l\u2019Europe.  Plus t\u00f4t en mai dernier, SentinelOne a d\u00e9couvert une campagne de longue dur\u00e9e entreprise par un acteur malveillant br\u00e9silien visant \u00e0 cibler plus de 30 banques portugaises avec des logiciels malveillants.<\/p>\n<p>Pendant ce temps, les voleurs d&#8217;informations prosp\u00e8rent dans l&#8217;\u00e9conomie de la cybercriminalit\u00e9, les auteurs de logiciels criminels inondant le march\u00e9 clandestin d&#8217;offres de logiciels malveillants en tant que service (MaaS) qui fournissent aux cybercriminels un moyen pratique et rentable de mener des attaques.<\/p>\n<p>De plus, ces outils abaissent les barri\u00e8res \u00e0 l\u2019entr\u00e9e pour les aspirants acteurs de la menace qui peuvent eux-m\u00eames manquer d\u2019expertise technique.<\/p>\n<p>Le dernier \u00e0 rejoindre l&#8217;\u00e9cosyst\u00e8me des voleurs est Lumar, qui a \u00e9t\u00e9 annonc\u00e9 pour la premi\u00e8re fois par un utilisateur nomm\u00e9 Collector sur des forums de cybercriminalit\u00e9, commercialisant ses capacit\u00e9s pour capturer des sessions Telegram, r\u00e9colter des cookies et des mots de passe de navigateur, r\u00e9cup\u00e9rer des fichiers et extraire des donn\u00e9es de portefeuilles cryptographiques.<\/p>\n<p>&#8220;Malgr\u00e9 toutes ces fonctionnalit\u00e9s, le malware est relativement petit en termes de taille (seulement 50 Ko), ce qui est en partie d\u00fb au fait qu&#8217;il est \u00e9crit en C&#8221;, a not\u00e9 Kaspersky.<\/p>\n<p>&#8220;Les logiciels malveillants \u00e9mergents sont souvent annonc\u00e9s sur le dark web aupr\u00e8s de criminels moins qualifi\u00e9s et distribu\u00e9s sous forme de MaaS, permettant \u00e0 leurs auteurs de s&#8217;enrichir rapidement et de mettre en danger encore et encore les organisations l\u00e9gitimes.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/malvertising-campaign-targets-brazils.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La popularit\u00e9 du Br\u00e9sil PIX Le syst\u00e8me de paiement instantan\u00e9 en a fait une cible lucrative pour les acteurs malveillants cherchant \u00e0 g\u00e9n\u00e9rer des profits illicites \u00e0 l&#8217;aide d&#8217;un nouveau malware appel\u00e9 GoPIX. Kaspersky, qui suit la campagne active depuis d\u00e9cembre 2022, a d\u00e9clar\u00e9 que les attaques sont men\u00e9es \u00e0 l&#8217;aide de publicit\u00e9s malveillantes diffus\u00e9es [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":986257,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,84,2843,2930,7087,4168,4165,4161,200267,210974,4159,4171,6816,200271,7733,45272,200268,200269,200270,2623,210973,5104,128318,4172,4169,2622,196,4166,4164],"class_list":["post-986256","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-avec","tag-bresil","tag-campagne","tag-cible","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-gopix","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-malveillante","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-paiement","tag-pix","tag-publicite","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-systeme","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/986256","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=986256"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/986256\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/986257"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=986256"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=986256"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=986256"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}