Cheval De Troie

Source: G DATA CyberDefense (blog) — Analyse technique signée Karsten Hahn et Louis Sorita. Contexte: des sites très bien référencés poussent un faux éditeur PDF « AppSuite » dont le composant principal embarque un backdoor complet. Les opérateurs diffusent un installeur MSI (WiX) qui déploie une application Electron se présentant comme un éditeur PDF. Le code principal (pdfeditor.js) est fortement obfusqué et contient le backdoor; l’interface n’est qu’une fenêtre navigateur vers un site contrôlé. Un user-agent spécifique est requis pour afficher l’outil. ...

L’article publié par The DFIR Report, en collaboration avec Proofpoint, dévoile l’émergence d’une nouvelle variante du cheval de Troie d’accès à distance (RAT) utilisé par le groupe de ransomware Interlock. Cette version inédite, développée en PHP, marque une évolution notable par rapport à la version antérieure en JavaScript (Node.js), surnommée NodeSnake. 💡 Cette nouvelle souche a été identifiée dans le cadre d’une campagne active associée au cluster de menaces web-inject KongTuke (LandUpdate808), qui utilise des sites compromis pour distribuer le malware via un script dissimulé dans le HTML. Le processus d’infection repose sur une chaîne d’exécution sophistiquée, comprenant des vérifications CAPTCHA, des scripts PowerShell et l’exécution furtive de commandes système. ...

Selon un rapport détaillé de Kaspersky, une nouvelle campagne de logiciels espions nommée SparkKitty a été découverte, ciblant les utilisateurs de cryptomonnaies. Ce malware, lié à la campagne précédente SparkCat, vise à voler des photos des galeries des appareils Android et iOS, notamment celles contenant des phrases de récupération pour portefeuilles crypto. Les applications infectées se trouvent aussi bien sur des sources non officielles que sur les App Store et Google Play. Sur iOS, le malware se cache sous forme de frameworks malveillants, tandis que sur Android, il se présente sous forme de modules Xposed malveillants. Les chercheurs ont découvert que le malware utilise l’OCR pour sélectionner les images d’intérêt. ...

L’article publié par GBHackers Security, un média reconnu dans le domaine de la cybersécurité, met en lumière l’émergence d’un nouveau malware nommé Crocodilus. Ce malware représente une menace croissante dans l’écosystème Android. Crocodilus est un cheval de Troie bancaire conçu pour prendre le contrôle total des appareils Android. Initialement détecté lors de campagnes de test avec un nombre limité d’instances actives, ce malware a rapidement évolué, montrant une augmentation des campagnes actives et un développement sophistiqué. ...

Des acteurs malveillants exploitent la plateforme SourceForge pour diffuser un mineur et le cheval de Troie ClipBanker. Ces menaces sont distribuées en utilisant des techniques de persistance non conventionnelles, ce qui peut rendre leur détection et leur suppression plus difficile pour les logiciels de sécurité traditionnels. Le mineur est un type de malware qui utilise les ressources de l’ordinateur infecté pour miner des cryptomonnaies, tandis que le ClipBanker est un cheval de Troie bancaire qui vole les informations sensibles des utilisateurs, notamment les informations de carte de crédit et les identifiants de connexion aux services bancaires en ligne. ...