Une campagne de malware<\/strong> utilise de faux convertisseurs PDF en DOCX comme vecteur pour infiltrer des commandes PowerShell<\/strong> malveillantes sur les machines. Cela permet aux attaquants d’acc\u00e9der aux portefeuilles de cryptomonnaie<\/strong>, de d\u00e9tourner les identifiants de navigateur<\/strong> et de voler des informations sensibles<\/strong>. Suite \u00e0 une alerte du FBI<\/strong> le mois dernier, l’\u00e9quipe de recherche en s\u00e9curit\u00e9 CloudSEK<\/strong> a men\u00e9 une enqu\u00eate qui a r\u00e9v\u00e9l\u00e9 des d\u00e9tails sur ces attaques.<\/p>\n L’objectif de cette campagne est de tromper les utilisateurs en les incitant \u00e0 ex\u00e9cuter une commande PowerShell qui installe le malware Arechclient2<\/strong>, une variante de SectopRAT<\/strong>, une famille de logiciels malveillants connue pour le vol d’informations. Les sites Web malveillants imitent ceux du convertisseur de fichiers l\u00e9gitime PDFCandy<\/strong>. Toutefois, \u00e0 la place du v\u00e9ritable logiciel, c’est le malware qui est t\u00e9l\u00e9charg\u00e9. Ces sites pr\u00e9sentent des barres de chargement et incluent m\u00eame une v\u00e9rification CAPTCHA<\/strong> pour plonger les utilisateurs dans un faux sentiment de s\u00e9curit\u00e9.<\/p>\n Apr\u00e8s plusieurs redirections, la machine de la victime t\u00e9l\u00e9charge un fichier nomm\u00e9 \u00ab\u00a0adobe.zip\u00a0\u00bb<\/em> contenant la charge utile, exposant ainsi l’appareil \u00e0 un Trojan d’acc\u00e8s \u00e0 distance<\/strong>, qui est actif depuis 2019. Cela laisse les utilisateurs vuln\u00e9rables au vol de donn\u00e9es, notamment les identifiants de navigateur et les informations li\u00e9es \u00e0 leurs portefeuilles de cryptomonnaie.<\/p>\n Le malware \u00ab\u00a0v\u00e9rifie les magasins d’extensions, soul\u00e8ve des phrases de r\u00e9cup\u00e9ration et acc\u00e8de m\u00eame aux API Web3 pour siphonner des actifs apr\u00e8s approbation\u00a0\u00bb, a d\u00e9clar\u00e9 Stephen Ajayi<\/strong>, responsable technique de Dapp Audit<\/strong> chez la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 blockchain Hacken, \u00e0 Decrypt.<\/p>\n<\/blockquote>\n CloudSEK<\/strong> recommande d’utiliser des logiciels antivirus et antimalware, et de \u00ab\u00a0v\u00e9rifier les types de fichiers au-del\u00e0 des simples extensions, car les fichiers malveillants se d\u00e9guisent souvent en types de documents l\u00e9gitimes.\u00a0\u00bb\n<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 conseille \u00e9galement de se tourner vers des outils de conversion de fichiers fiables et r\u00e9put\u00e9s<\/strong>, provenant de sites officiels, plut\u00f4t que de rechercher des ‘convertisseurs de fichiers en ligne gratuits’<\/strong>. Ils sugg\u00e8rent aussi d’envisager l’utilisation d’‘outils de conversion hors ligne’<\/strong> qui ne n\u00e9cessitent pas le t\u00e9l\u00e9chargement de fichiers sur des serveurs distants.<\/p>\n Ajayi de Hacken rappelle aux utilisateurs de cryptomonnaies que \u00ab\u00a0la confiance est un spectre, elle se m\u00e9rite, elle n’est pas donn\u00e9e. En cybers\u00e9curit\u00e9, supposez que rien n’est s\u00fbr par d\u00e9faut.\u00a0\u00bb<\/em> Il recommande d’appliquer une mentalit\u00e9 de z\u00e9ro confiance<\/strong> et de maintenir leur pile de s\u00e9curit\u00e9 \u00e0 jour, notamment les outils de d\u00e9tection et r\u00e9ponse aux menaces (EDR)<\/strong> et les antivirus (AV)<\/strong> qui peuvent signaler des anomalies comportementales telles qu’une activit\u00e9 rogue de msbuild.exe<\/strong>.<\/p>\n<\/blockquote>\n \u00ab\u00a0Les attaquants \u00e9voluent constamment, et les d\u00e9fenseurs devraient en faire de m\u00eame,\u00a0\u00bb<\/em> a not\u00e9 Ajayi, ajoutant que \u00ab\u00a0la formation r\u00e9guli\u00e8re, la conscience situationnelle et une couverture de d\u00e9tection solide sont essentielles. Restez sceptiques, pr\u00e9parez-vous aux pires sc\u00e9narios et ayez toujours un plan de r\u00e9ponse test\u00e9 pr\u00eat \u00e0 l’emploi.\u00a0\u00bb<\/em>\n<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":" Campagne de Malware via Faux Convertisseurs PDF Une campagne de malware utilise de faux convertisseurs PDF en DOCX comme vecteur pour infiltrer des commandes PowerShell malveillantes sur les machines. Cela permet aux attaquants d’acc\u00e9der aux portefeuilles de cryptomonnaie, de d\u00e9tourner les identifiants de navigateur et de voler des informations sensibles. Suite \u00e0 une alerte du FBI le mois dernier, l’\u00e9quipe de recherche en s\u00e9curit\u00e9 CloudSEK a men\u00e9 une enqu\u00eate qui a r\u00e9v\u00e9l\u00e9 des d\u00e9tails sur ces attaques. Objectif de la Campagne L’objectif de cette campagne est de tromper les utilisateurs en les incitant \u00e0 ex\u00e9cuter une commande PowerShell qui installe<\/p>\n","protected":false},"author":3,"featured_media":3568,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[65,1927,221],"class_list":["post-3569","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-hack","tag-hacken","tag-web3"],"yoast_description":"Une campagne de malware exploite de faux convertisseurs PDF pour voler des cryptomonnaies et des donn\u00e9es sensibles via des commandes PowerShell malveillantes ciblant les portefeuilles de cryptomonnaie.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/3569","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=3569"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/3569\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/3568"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=3569"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=3569"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=3569"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Objectif de la Campagne<\/h2>\n
\n
Conseils de S\u00e9curit\u00e9<\/h2>\n
\n
\n