{"id":19575,"date":"2022-10-12T09:43:34","date_gmt":"2022-10-12T07:43:34","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19575"},"modified":"2022-10-12T09:43:34","modified_gmt":"2022-10-12T07:43:34","slug":"malware-propagation-methods","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/malware-propagation-methods\/19575\/","title":{"rendered":"Les m\u00e9thodes utilis\u00e9es pour distribuer des programmes malveillants"},"content":{"rendered":"

Logiquement, la meilleure fa\u00e7on de se prot\u00e9ger et d\u2019\u00e9viter d\u2019\u00eatre victime d\u2019un incident informatique est d\u2019arr\u00eater le programme malveillant avant qu\u2019il n\u2019acc\u00e8de \u00e0 l\u2019infrastructure de l\u2019entreprise. Ainsi, lorsque les experts d\u00e9veloppent une strat\u00e9gie de s\u00e9curit\u00e9 de l\u2019information, ils se concentrent sur les vecteurs d\u2019attaque les plus \u00e9vidents, comme les e-mails. Il est vrai que la plupart des attaques commencent par un e-mail, mais les cybercriminels utilisent diverses m\u00e9thodes pour distribuer un programme malveillant et ont plus d\u2019un tour dans leur sac. Les experts de l\u2019\u00e9quipe GReAT (Global Research & Analysis Team) de Kaspersky ont pr\u00e9sent\u00e9<\/a> quelques m\u00e9thodes rares que les escrocs utilisent pour infecter les appareils et distribuer un programme malveillant, et qu\u2019ils ont d\u00e9tect\u00e9es apr\u00e8s avoir analys\u00e9 les menaces r\u00e9centes.<\/p>\n

Le typosquattage pour imiter un outil<\/h2>\n

Les cr\u00e9ateurs du logiciel malveillant surnomm\u00e9 AdvancedIPSpyware ont d\u00e9cid\u00e9 d\u2019implanter leur code dans l\u2019outil Advanced IP Scanner utilis\u00e9 par les administrateurs syst\u00e8me. Ils ont cr\u00e9\u00e9 deux sites qui ont exactement la m\u00eame mise en page que l\u2019original, ainsi que des noms de domaine qui n\u2019ont qu\u2019une lettre de diff\u00e9rente. L\u2019objectif est que la victime qui recherche un outil de surveillance du r\u00e9seau local, t\u00e9l\u00e9charge le programme qui contient la porte d\u00e9rob\u00e9e du faux site. Curieusement, la version malveillante du programme Advanced IP Scanner est sign\u00e9e par un certificat num\u00e9rique l\u00e9gitime qui semble avoir \u00e9t\u00e9 vol\u00e9.<\/p>\n

Les liens sous les vid\u00e9os YouTube<\/h2>\n

Les op\u00e9rateurs de OnionPoison ont essay\u00e9 de faire quelque chose de similaire. Ils ont cr\u00e9\u00e9 une version malveillante du navigateur Tor. La seule diff\u00e9rence est que ce navigateur n\u2019a pas de signature num\u00e9rique. Afin de distribuer ce faux navigateur, ils ont partag\u00e9 le lien sur une c\u00e9l\u00e8bre cha\u00eene YouTube, qui parle de l\u2019anonymat en ligne, en laissant un commentaire qui explique comment installer Tor. La version infect\u00e9e ne peut pas \u00eatre mise \u00e0 jour et contient une porte d\u00e9rob\u00e9e qui t\u00e9l\u00e9charge une autre biblioth\u00e8que malveillante. Ensuite, les cybercriminels peuvent ex\u00e9cuter des ordres arbitraires dans le syst\u00e8me et obtenir l\u2019historique du navigateur ainsi que les identifiants des comptes WeChat et QQ.<\/p>\n

Un programme malveillant sur les torrents<\/h2>\n

Les cr\u00e9ateurs de CLoader ont fait croire que leurs programmes d\u2019installation malveillants \u00e9taient des jeux pirat\u00e9s et des programmes utiles. Cette m\u00e9thode s\u2019adressait aux particuliers mais, avec le t\u00e9l\u00e9travail, le p\u00e9rim\u00e8tre de l\u2019entreprise s\u2019est troubl\u00e9 et les torrents malveillants sont d\u00e9sormais une menace pour les ordinateurs professionnels. Les victimes qui ont essay\u00e9 de t\u00e9l\u00e9charger un logiciel malveillant sur les torrents ont obtenu un programme malveillant qui peut s\u2019ex\u00e9cuter comme serveur proxy sur le dispositif infect\u00e9 et installer un autre programme malveillant, ou valider un acc\u00e8s \u00e0 distance non autoris\u00e9 au syst\u00e8me.<\/p>\n

Un mouvement lat\u00e9ral gr\u00e2ce \u00e0 des outils l\u00e9gitimes<\/h2>\n

Les derni\u00e8res versions du ransomware BlackBasta peuvent se distribuer sur un r\u00e9seau local en utilisant certaines technologies Microsoft. Apr\u00e8s avoir infect\u00e9 un ordinateur, le ransomware peut se connecter \u00e0 Active Directory gr\u00e2ce \u00e0 la biblioth\u00e8que LDAP, obtenir une liste des ordinateurs connect\u00e9s au r\u00e9seau local, copier le logiciel malveillant sur les appareils puis l\u2019ex\u00e9cuter \u00e0 distance gr\u00e2ce \u00e0 la technologie Component Object Model (COM). Cette m\u00e9thode laisse moins de trace dans le syst\u00e8me et rend la d\u00e9tection plus difficile.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Ces exemples montrent que l\u2019infrastructure d\u2019une entreprise a besoin d\u2019une protection compl\u00e8te. Il est vrai qu\u2019une solution qui analyse les messages entrants<\/a> \u00e0 la recherche d\u2019hame\u00e7onnage, ou de pi\u00e8ces jointes et de liens malveillants, peut vous prot\u00e9ger contre la plupart des attaques. N\u2019oubliez pas que tout ordinateur ayant acc\u00e8s \u00e0 Internet doit \u00e9galement \u00eatre \u00e9quip\u00e9 d\u2019une protection contre les logiciels malveillants<\/a>. Afin de mieux comprendre ce qui se passe dans le r\u00e9seau de votre entreprise, il convient de d\u00e9ployer des solutions de type EDR<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

M\u00eame si les programmes malveillants se servent g\u00e9n\u00e9ralement des e-mails pour acc\u00e9der \u00e0 l\u2019infrastructure des entreprises, ce n\u2019est pas la seule m\u00e9thode d\u2019infection.<\/p>\n","protected":false},"author":2581,"featured_media":19580,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[445,22,4111,4336],"class_list":{"0":"post-19575","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-infection","11":"tag-logiciel-malveillant","12":"tag-porte-derobee","13":"tag-typosquattage"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/malware-propagation-methods\/19575\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/malware-propagation-methods\/24746\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/malware-propagation-methods\/20224\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/malware-propagation-methods\/10159\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/malware-propagation-methods\/27220\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/malware-propagation-methods\/25074\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/malware-propagation-methods\/25380\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/malware-propagation-methods\/27929\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/malware-propagation-methods\/27258\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/malware-propagation-methods\/34067\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/malware-propagation-methods\/11100\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/malware-propagation-methods\/45747\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/malware-propagation-methods\/20144\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/malware-propagation-methods\/29374\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/malware-propagation-methods\/32679\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/malware-propagation-methods\/28518\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/malware-propagation-methods\/25506\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/malware-propagation-methods\/31121\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/malware-propagation-methods\/30811\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/logiciel-malveillant\/","name":"logiciel malveillant"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19575","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=19575"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19575\/revisions"}],"predecessor-version":[{"id":19579,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19575\/revisions\/19579"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/19580"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=19575"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=19575"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=19575"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}