{"id":22235,"date":"2024-09-24T12:05:30","date_gmt":"2024-09-24T10:05:30","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22235"},"modified":"2024-09-24T15:21:48","modified_gmt":"2024-09-24T13:21:48","slug":"new-exotic-rat-sambaspy","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/new-exotic-rat-sambaspy\/22235\/","title":{"rendered":"SambaSpy : un nouveau cheval de Troie d&rsquo;acc\u00e8s \u00e0 distance"},"content":{"rendered":"<p>Aujourd\u2019hui, parlons des rats. Il ne s\u2019agit pas ici des rongeurs \u00e0 longue queue, mais ceux de type num\u00e9rique\u00a0: les chevaux de Troie d\u2019acc\u00e8s \u00e0 distance, ou <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-access-trojan-rat\/\" target=\"_blank\" rel=\"noopener\">RAT<\/a> (Remote Access Trojans). Il s\u2019agit de chevaux de Troie que les pirates informatiques utilisent pour acc\u00e9der \u00e0 distance \u00e0 un appareil. De mani\u00e8re g\u00e9n\u00e9rale, ces RAT peuvent installer et d\u00e9sinstaller des programmes, contr\u00f4ler le presse-papiers et enregistrer les frappes au clavier.<\/p>\n<p>En mai\u00a02024, une nouvelle sorte de RAT, SambaSpy, est tomb\u00e9e dans notre pi\u00e8ge \u00e0 rats. Pour comprendre comment ce programme malveillant infecte les appareils de ses victimes et ce qu\u2019il fait une fois en place, lisez la suite.<\/p>\n<h2>Qu\u2019est-ce que SambaSpy\u00a0?<\/h2>\n<p>SambaSpy est un cheval de Troie RAT dot\u00e9 de nombreuses fonctionnalit\u00e9s, <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Code_imp%C3%A9n%C3%A9trable\" target=\"_blank\" rel=\"noopener nofollow\">obfusqu\u00e9<\/a> \u00e0 l\u2019aide de l\u2019outil <a href=\"https:\/\/www.zelix.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Zelix KlassMaster<\/a>, ce qui le rend beaucoup plus difficile \u00e0 d\u00e9tecter et \u00e0 analyser. Cependant, notre \u00e9quipe a relev\u00e9 le d\u00e9fi et a d\u00e9couvert ce dont ce nouveau RAT est capable\u00a0:<\/p>\n<ul>\n<li>G\u00e9rer le syst\u00e8me de fichiers et les processus<\/li>\n<li>T\u00e9l\u00e9charger et envoyer des fichiers<\/li>\n<li>Contr\u00f4ler la webcam<\/li>\n<li>Faire des captures d\u2019\u00e9cran<\/li>\n<li>Voler des mots de passe<\/li>\n<li>Charger des plug-ins suppl\u00e9mentaires<\/li>\n<li>Contr\u00f4ler le bureau \u00e0 distance<\/li>\n<li>Enregistrer les frappes<\/li>\n<li>G\u00e9rer le presse-papiers<\/li>\n<\/ul>\n<p>Vous \u00eates impressionn\u00e9\u00a0? Il semble que SambaSpy puisse tout faire \u2013 l\u2019outil parfait pour un m\u00e9chant de James Bond du 21\u1d49\u00a0si\u00e8cle. Mais m\u00eame cette longue liste n\u2019est pas exhaustive\u00a0: pour en savoir plus sur les capacit\u00e9s de ce RAT, <a href=\"https:\/\/securelist.com\/sambaspy-rat-targets-italian-users\/113851\/\" target=\"_blank\" rel=\"noopener\">consultez la version compl\u00e8te de notre \u00e9tude<\/a>.<\/p>\n<p>La campagne malveillante que nous avons d\u00e9couverte visait exclusivement les victimes en Italie. Vous pourriez \u00eatre surpris, mais il s\u2019agit en fait d\u2019une bonne nouvelle (pour tout le monde, sauf pour les Italiens). Les acteurs de la menace tentent g\u00e9n\u00e9ralement de ratisser large pour maximiser leurs profits, mais ces pirates se concentrent sur un seul pays. Alors pourquoi est-ce une bonne chose ? Il est probable que les pirates informatiques t\u00e2tent le terrain aupr\u00e8s des utilisateurs italiens avant d\u2019\u00e9tendre leur op\u00e9ration \u00e0 d\u2019autres pays. Heureusement, nous avons d\u00e9j\u00e0 une longueur d\u2019avance, puisque nous connaissons bien le virus SambaSpy et savons comment le contrer. Tout ce que nos utilisateurs \u00e0 travers le monde doivent faire, c\u2019est s\u2019assurer qu\u2019ils disposent d\u2019une <a href=\"https:\/\/www.kaspersky.fr\/premium?icid=fr_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">solution de s\u00e9curit\u00e9 fiable<\/a>, et continuer \u00e0 lire la suite en sachant que nous avons ce qu\u2019il faut.<\/p>\n<h2>Comment les pirates informatiques propagent-ils le virus SambaSpy\u00a0?<\/h2>\n<p>En bref, comme beaucoup d\u2019autres RAT, par email. Les pirates informatiques ont utilis\u00e9 deux cha\u00eenes d\u2019infection principales, toutes deux impliquant des emails de phishing camoufl\u00e9s en communications provenant d\u2019une agence immobili\u00e8re. L\u2019\u00e9l\u00e9ment cl\u00e9 de l\u2019email est un appel \u00e0 l\u2019action visant \u00e0 v\u00e9rifier une facture en cliquant sur un lien hypertexte.<\/p>\n<div id=\"attachment_22236\" style=\"width: 854px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/09\/24115955\/new-exotic-rat-sambaspy-01.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-22236\" class=\"size-full wp-image-22236\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/09\/24115955\/new-exotic-rat-sambaspy-01.png\" alt=\"\u00c0 premi\u00e8re vue, l'email semble l\u00e9gitime, sauf qu'il est envoy\u00e9 \u00e0 partir d'une adresse email allemande, mais r\u00e9dig\u00e9 en italien\" width=\"844\" height=\"440\"><\/a><p id=\"caption-attachment-22236\" class=\"wp-caption-text\">\u00c0 premi\u00e8re vue, l\u2019email semble l\u00e9gitime, sauf qu\u2019il est envoy\u00e9 \u00e0 partir d\u2019une adresse email allemande, mais r\u00e9dig\u00e9 en italien<\/p><\/div>\n<p>En cliquant sur le lien, les utilisateurs sont redirig\u00e9s vers un site malveillant qui v\u00e9rifie la langue du syst\u00e8me et le navigateur utilis\u00e9. Si le syst\u00e8me d\u2019exploitation de la victime potentielle est param\u00e9tr\u00e9 en italien et qu\u2019elle ouvre le lien dans le navigateur Edge, Firefox ou Chrome, elle re\u00e7oit un fichier PDF malveillant qui infecte son appareil \u00e0 l\u2019aide d\u2019un virus compte-gouttes ou d\u2019un t\u00e9l\u00e9chargeur. La diff\u00e9rence entre les deux est minime\u00a0: le virus compte-gouttes installe imm\u00e9diatement le cheval de Troie, tandis que le t\u00e9l\u00e9chargeur t\u00e9l\u00e9charge d\u2019abord les modules n\u00e9cessaires \u00e0 partir des serveurs des pirates informatiques.<\/p>\n<p>Avant de commencer l\u2019op\u00e9ration, le t\u00e9l\u00e9chargeur et le virus compte-gouttes v\u00e9rifient tous deux que le syst\u00e8me ne tourne pas au sein d\u2019une machine virtuelle et, surtout, que la langue du syst\u00e8me d\u2019exploitation est r\u00e9gl\u00e9e sur l\u2019italien. Si les deux conditions sont remplies, l\u2019appareil est infect\u00e9.<\/p>\n<p>Les utilisateurs qui ne r\u00e9pondent pas \u00e0 ces crit\u00e8res sont redirig\u00e9s vers le site Internet de <a href=\"https:\/\/www.fattureincloud.it\/\" target=\"_blank\" rel=\"noopener nofollow\">FattureInCloud<\/a>, une solution italienne bas\u00e9e sur le cloud pour le stockage et la gestion des factures num\u00e9riques. Ce camouflage astucieux permet aux pirates informatiques de cibler uniquement un public bien particulier \u2013 tous les autres sont redirig\u00e9s vers un site l\u00e9gitime.<\/p>\n<h2>Qui se cache derri\u00e8re SambaSpy\u00a0?<\/h2>\n<p>Il reste \u00e0 d\u00e9terminer quel groupe est \u00e0 l\u2019origine de cette diffusion \u00e9labor\u00e9e de SambaSpy. Cependant, des preuves indirectes nous ont permis d\u2019\u00e9tablir que les auteurs de l\u2019attaque parlaient le portugais br\u00e9silien. Nous savons \u00e9galement qu\u2019ils \u00e9tendent d\u00e9j\u00e0 leurs op\u00e9rations \u00e0 l\u2019Espagne et au Br\u00e9sil, comme en t\u00e9moignent les domaines malveillants utilis\u00e9s par le m\u00eame groupe dans d\u2019autres campagnes d\u00e9tect\u00e9es. D\u2019ailleurs, ces campagnes n\u2019incluent plus le contr\u00f4le linguistique.<\/p>\n<h2>Comment se prot\u00e9ger de SambaSpy\u00a0?<\/h2>\n<p>Le principal \u00e9l\u00e9ment \u00e0 retenir de cette histoire est la m\u00e9thode d\u2019infection, qui sugg\u00e8re que n\u2019importe qui, n\u2019importe o\u00f9, parlant n\u2019importe quelle langue, pourrait \u00eatre la cible de la prochaine campagne. Pour les pirates informatiques, la personne qu\u2019ils touchent n\u2019a pas vraiment d\u2019importance, pas plus que les d\u00e9tails de l\u2019app\u00e2t de phishing. Aujourd\u2019hui, il peut s\u2019agir d\u2019une facture d\u2019une agence immobili\u00e8re, demain, d\u2019un avis d\u2019imposition, et le surlendemain, de billets d\u2019avion ou de bons de voyage.<\/p>\n<p>Voici quelques conseils et recommandations pour vous aider \u00e0 vous prot\u00e9ger du virus SambaSpy\u00a0:<\/p>\n<ul>\n<li>Installez <a href=\"https:\/\/www.kaspersky.fr\/premium?icid=fr_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0avant que votre appareil ne pr\u00e9sente des <a href=\"https:\/\/www.kaspersky.fr\/blog\/symptoms-of-infection\/19691\/\" target=\"_blank\" rel=\"noopener\">signes d\u2019infection<\/a>. Notre solution d\u00e9tecte et neutralise de mani\u00e8re fiable le virus SambaSpy ainsi que d\u2019autres programmes malveillants.<\/li>\n<li>M\u00e9fiez-vous toujours des emails de phishing. Avant de cliquer sur un lien figurant dans votre bo\u00eete de r\u00e9ception, prenez le temps de faire le point : \u00ab\u00a0Est-ce qu\u2019il pourrait s\u2019agir d\u2019une escroquerie ?\u00a0\u00bb.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Nous avons d\u00e9couvert un nouveau cheval de Troie tr\u00e8s s\u00e9lectif dans le choix de ses victimes.<\/p>\n","protected":false},"author":2706,"featured_media":22237,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3798,1869],"tags":[953,4424,4500,89,784],"class_list":{"0":"post-22235","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-confidentialite","8":"category-technology","9":"tag-emails","10":"tag-logiciels-espions","11":"tag-newsletters","12":"tag-phishing","13":"tag-rat"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/new-exotic-rat-sambaspy\/22235\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/new-exotic-rat-sambaspy\/28007\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/23276\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/12065\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/new-exotic-rat-sambaspy\/28164\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/27716\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/new-exotic-rat-sambaspy\/30440\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/new-exotic-rat-sambaspy\/29201\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/new-exotic-rat-sambaspy\/38246\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/new-exotic-rat-sambaspy\/12828\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/52179\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/new-exotic-rat-sambaspy\/23002\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/new-exotic-rat-sambaspy\/31640\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/new-exotic-rat-sambaspy\/28285\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/new-exotic-rat-sambaspy\/34095\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/new-exotic-rat-sambaspy\/33751\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/rat\/","name":"RAT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22235","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=22235"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22235\/revisions"}],"predecessor-version":[{"id":22240,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22235\/revisions\/22240"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/22237"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=22235"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=22235"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=22235"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}