{"id":22352,"date":"2024-11-13T12:08:00","date_gmt":"2024-11-13T10:08:00","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22352"},"modified":"2024-11-13T12:08:00","modified_gmt":"2024-11-13T10:08:00","slug":"how-to-play-tanks-and-catch-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/how-to-play-tanks-and-catch-backdoor\/22352\/","title":{"rendered":"Comment (ne pas) jouer avec des tanks et se retrouver avec une porte d\u00e9rob\u00e9e"},"content":{"rendered":"<p>Battle City, connu commun\u00e9ment sous le nom de \u00ab\u00a0le jeu de tanks\u00a0\u00bb, est le symbole d\u2019une \u00e9poque r\u00e9volue. Il y a une trentaine d\u2019ann\u00e9es, les joueurs ins\u00e9raient une cartouche dans leur console, s\u2019installaient devant un t\u00e9l\u00e9viseur imposant et d\u00e9truisaient des vagues de chars d\u2019assaut ennemis jusqu\u2019\u00e0 ce que l\u2019\u00e9cran cesse de fonctionner.<\/p>\n<p>Aujourd\u2019hui, le monde a chang\u00e9, mais les jeux de tanks restent tr\u00e8s pris\u00e9s. Les versions modernes offrent aux joueurs non seulement le plaisir du jeu, mais aussi la possibilit\u00e9 de gagner des NFT. Les cybercriminels ont eux aussi quelque chose \u00e0 offrir\u00a0: une attaque complexe visant les amateurs de jeux crypto.<\/p>\n<h2>Porte d\u00e9rob\u00e9e et exploit de type \u00ab\u00a0zero-day\u00a0\u00bb dans Google Chrome<\/h2>\n<p>L\u2019histoire commence en f\u00e9vrier 2024, lorsque notre <a href=\"https:\/\/www.kaspersky.fr\/premium?icid=fr_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">solution de s\u00e9curit\u00e9<\/a>\u00a0d\u00e9tecte la porte d\u00e9rob\u00e9e Manuscrypt sur l\u2019ordinateur d\u2019un utilisateur en Russie. Nous connaissons tr\u00e8s bien cette porte d\u00e9rob\u00e9e ; diverses versions ont \u00e9t\u00e9 utilis\u00e9es par le groupe <a href=\"https:\/\/www.kaspersky.fr\/blog\/lazarus-vhd-ransomware\/15384\/\" target=\"_blank\" rel=\"noopener\">Lazarus APT<\/a> depuis au moins 2013. \u00c9tant donn\u00e9 que nous connaissons d\u00e9sormais les principaux outils et m\u00e9thodes utilis\u00e9s par les pirates informatiques, qu\u2019y a-t-il de si sp\u00e9cial dans cet incident particulier\u00a0?<\/p>\n<p>Ces pirates ciblent g\u00e9n\u00e9ralement les grandes organisations telles que les banques, les entreprises informatiques, les universit\u00e9s et m\u00eame les agences gouvernementales. Mais cette fois-ci, Lazarus a touch\u00e9 un utilisateur isol\u00e9, en installant une porte d\u00e9rob\u00e9e sur un ordinateur personnel\u00a0! Les cybercriminels ont attir\u00e9 la victime sur un site de jeu et ont ainsi obtenu un acc\u00e8s complet \u00e0 son syst\u00e8me. Trois facteurs ont rendu cette op\u00e9ration possible\u00a0:<\/p>\n<ul>\n<li>L\u2019envie irr\u00e9sistible de la victime de jouer \u00e0 son jeu de tanks favori dans un nouveau format<\/li>\n<li>Une vuln\u00e9rabilit\u00e9 de type \u00ab\u00a0zero-day\u00a0\u00bb dans Google Chrome<\/li>\n<li>Un exploit qui a permis l\u2019ex\u00e9cution de code \u00e0 distance dans le processus Google Chrome<\/li>\n<\/ul>\n<p>Avant que vous ne commenciez \u00e0 vous inqui\u00e9ter, d\u00e9tendez-vous\u00a0: Google a depuis publi\u00e9 une mise \u00e0 jour du navigateur, bloqu\u00e9 le site Web du jeu de tanks et <a href=\"https:\/\/chromereleases.googleblog.com\/2024\/05\/stable-channel-update-for-desktop_15.html\" target=\"_blank\" rel=\"noopener nofollow\">remerci\u00e9<\/a> les chercheurs en s\u00e9curit\u00e9 de Kaspersky. Mais sachez que <a href=\"https:\/\/www.kaspersky.fr\/home-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">nos produits<\/a>\u00a0d\u00e9tectent \u00e0 la fois la porte d\u00e9rob\u00e9e Manuscrypt et l\u2019exploit. Nous avons approfondi cette histoire sur le <a href=\"https:\/\/securelist.com\/lazarus-apt-steals-crypto-with-a-tank-game\/114282\/\" target=\"_blank\" rel=\"noopener\">blog Securelist<\/a>.<\/p>\n<p><strong>Faux comptes<\/strong><\/p>\n<p>Au d\u00e9but de l\u2019enqu\u00eate, nous pensions que le groupe avait d\u00e9ploy\u00e9 des efforts extraordinaires cette fois-ci : \u00ab\u00a0Ont-ils vraiment cr\u00e9\u00e9 un jeu entier juste pour une escroquerie ?\u00a0\u00bb Mais nous avons vite compris ce qu\u2019ils avaient vraiment fait. Les cybercriminels ont bas\u00e9 leur jeu, DeTankZone, sur le jeu existant DeFiTankLand. Et ils n\u2019ont pas fait les choses \u00e0 moiti\u00e9 : ils ont vol\u00e9 le code source de DeFiTankLand et cr\u00e9\u00e9 de faux comptes de r\u00e9seaux sociaux pour leur contrefa\u00e7on.<\/p>\n<p>\u00c0 peu pr\u00e8s au m\u00eame moment, en mars\u00a02024, le cours de la cryptomonnaie DefitankLand (sic) s\u2019est effondr\u00e9. Les d\u00e9veloppeurs du jeu original <a href=\"https:\/\/t.me\/DFTLofficial\/8935\" target=\"_blank\" rel=\"noopener nofollow\">ont annonc\u00e9<\/a> que leur <a href=\"https:\/\/www.kaspersky.fr\/blog\/five-threats-hardware-crypto-wallets\/20486\/#:~:text=Hot%20and%20cold%2C%20hardware%20and%20software%20wallets\" target=\"_blank\" rel=\"noopener\">portefeuille froid<\/a> avait \u00e9t\u00e9 pirat\u00e9, et que \u00ab\u00a0quelqu\u2019un\u00a0\u00bb avait vol\u00e9 20 000 dollars. L\u2019identit\u00e9 de ce \u00ab\u00a0quelqu\u2019un\u00a0\u00bb reste un myst\u00e8re. Les d\u00e9veloppeurs pensent qu\u2019il s\u2019agit d\u2019un utilisateur interne, mais nous soup\u00e7onnons que le groupe Lazarus y est bien pour quelque chose.<\/p>\n<div id=\"attachment_22357\" style=\"width: 1810px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/11\/13115925\/how-to-play-tanks-and-catch-backdoor-1.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-22357\" class=\"size-full wp-image-22357\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/11\/13115925\/how-to-play-tanks-and-catch-backdoor-1.png\" alt=\"Les diff\u00e9rences entre la fausse version et l'original sont minimes\" width=\"1800\" height=\"864\"><\/a><p id=\"caption-attachment-22357\" class=\"wp-caption-text\">Les diff\u00e9rences entre la fausse version et l\u2019original sont minimes<\/p><\/div>\n<p>Les cybercriminels ont d\u00e9ploy\u00e9 une v\u00e9ritable campagne de promotion pour leur jeu\u00a0: ils ont fait gonfler le nombre d\u2019abonn\u00e9s sur X (anciennement Twitter), envoy\u00e9 des offres de collaboration \u00e0 des centaines d\u2019influenceurs de cryptomonnaies (\u00e9galement des victimes potentielles), cr\u00e9\u00e9 des comptes LinkedIn premium et organis\u00e9 des vagues de courriels de phishing. En cons\u00e9quence, le faux jeu a eu encore plus de succ\u00e8s que l\u2019<a href=\"https:\/\/twitter.com\/defitankland\" target=\"_blank\" rel=\"noopener nofollow\">original<\/a> (6\u00a0000\u00a0abonn\u00e9s sur X contre 5\u00a0000 pour le compte du jeu original).<\/p>\n<div id=\"attachment_22356\" style=\"width: 1325px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/11\/13115913\/how-to-play-tanks-and-catch-backdoor-2.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-22356\" class=\"size-full wp-image-22356\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/11\/13115913\/how-to-play-tanks-and-catch-backdoor-2.png\" alt=\"Contenu pour les r\u00e9seaux sociaux cr\u00e9\u00e9 par l'IA avec l'aide de graphistes\" width=\"1315\" height=\"696\"><\/a><p id=\"caption-attachment-22356\" class=\"wp-caption-text\">Contenu pour les r\u00e9seaux sociaux cr\u00e9\u00e9 par l\u2019IA avec l\u2019aide de graphistes<\/p><\/div>\n<p><strong>Comment nous avons jou\u00e9 aux tanks<\/strong><\/p>\n<p>Et maintenant, la partie la plus amusante : le site malveillant sur lequel Lazarus a attir\u00e9 ses victimes offrait la possibilit\u00e9 non seulement de \u00ab\u00a0tester\u00a0\u00bb un exploit de navigateur de type \u00ab\u00a0zero-day\u00a0\u00bb, mais aussi de jouer \u00e0 une version b\u00eata du jeu. Chez Kaspersky, nous restons fid\u00e8les aux classiques et nous n\u2019avons donc pas pu r\u00e9sister \u00e0 l\u2019envie de tester cette nouvelle version prometteuse. Nous avons t\u00e9l\u00e9charg\u00e9 une archive qui semblait tout \u00e0 fait authentique : taille de 400 Mo, structure de fichier correcte, logos, \u00e9l\u00e9ments d\u2019interface utilisateur et textures de mod\u00e8les 3D. C\u2019est parti !<\/p>\n<p>Le menu de d\u00e9marrage de DeTankZone nous a accueillis en nous invitant \u00e0 saisir une adresse email et un mot de passe. Nous avons d\u2019abord essay\u00e9 de nous connecter en utilisant des <a href=\"https:\/\/www.kaspersky.fr\/blog\/password-can-be-hacked-in-one-hour\/21965\/#:~:text=Using%20popular%20words%20and%20number%20sequences\" target=\"_blank\" rel=\"noopener\">mots de passe courants<\/a> tels que \u00ab\u00a012345\u00a0\u00bb et \u00ab\u00a0password\u00a0\u00bb, mais cela n\u2019a pas fonctionn\u00e9. \u00ab\u00a0Bon, d\u2019accord\u00a0\u00bb, nous nous sommes dit. \u00ab\u00a0Nous allons simplement cr\u00e9er un compte\u00a0\u00bb. Encore une fois, pas de chance \u2013 le syst\u00e8me ne nous laissait pas jouer.<\/p>\n<div id=\"attachment_22355\" style=\"width: 1930px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/11\/13115902\/how-to-play-tanks-and-catch-backdoor-3.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-22355\" class=\"size-full wp-image-22355\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/11\/13115902\/how-to-play-tanks-and-catch-backdoor-3.png\" alt=\"Le menu principal inspirait confiance avec un formulaire d'identifiant qui semble l\u00e9gitime\" width=\"1920\" height=\"1080\"><\/a><p id=\"caption-attachment-22355\" class=\"wp-caption-text\">Le menu principal inspirait confiance avec un formulaire d\u2019identifiant qui semble l\u00e9gitime<\/p><\/div>\n<p>Alors pourquoi y avait-il des textures de mod\u00e8les\u00a03D et d\u2019autres fichiers dans les archives du jeu\u00a0? Pouvait-il s\u2019agir d\u2019autres composants du programme malveillant\u00a0? En fait, la situation n\u2019\u00e9tait pas si grave. Nous avons proc\u00e9d\u00e9 \u00e0 une r\u00e9tro-ing\u00e9nierie du code et d\u00e9couvert les \u00e9l\u00e9ments responsables de la connexion au serveur du jeu, qui, dans le cas de cette fausse version, ne fonctionnaient pas. En th\u00e9orie, le jeu \u00e9tait donc toujours jouable. Avec un peu de temps libre et de programmation, nous avons remplac\u00e9 le serveur des pirates par le n\u00f4tre et <em>voil\u00e0<\/em> que le tank rouge \u00ab\u00a0Boris\u00a0\u00bb entrait dans l\u2019ar\u00e8ne.<\/p>\n<div id=\"attachment_22354\" style=\"width: 1556px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/11\/13115845\/how-to-play-tanks-and-catch-backdoor-4.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-22354\" class=\"size-full wp-image-22354\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/11\/13115845\/how-to-play-tanks-and-catch-backdoor-4.png\" alt=\"Le jeu nous a rappel\u00e9 les jeux shareware d'il y a vingt ans \u2013 les efforts consentis en valaient vraiment la peine\" width=\"1546\" height=\"806\"><\/a><p id=\"caption-attachment-22354\" class=\"wp-caption-text\">Le jeu nous a rappel\u00e9 les jeux shareware d\u2019il y a vingt ans \u2013 les efforts consentis en valaient vraiment la peine<\/p><\/div>\n<h2>Les le\u00e7ons \u00e0 tirer de cette attaque<\/h2>\n<p>Ce qu\u2019il faut retenir, c\u2019est que m\u00eame des liens Web en apparence inoffensifs peuvent entra\u00eener le piratage de tout votre ordinateur. Les cybercriminels perfectionnent constamment leurs tactiques et m\u00e9thodes. Le groupe Lazarus utilise d\u00e9j\u00e0 l\u2019IA g\u00e9n\u00e9rative et obtient des r\u00e9sultats positifs, ce qui signifie que nous pouvons nous attendre \u00e0 des attaques encore plus complexes faisant appel \u00e0 cette technologie \u00e0 l\u2019avenir.<\/p>\n<p><a href=\"https:\/\/www.kaspersky.fr\/premium?icid=fr_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Les solutions de s\u00e9curit\u00e9<\/a> \u00e9voluent \u00e9galement, avec l\u2019int\u00e9gration efficace de l\u2019IA \u2013 pour en savoir plus, cliquez <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-role-in-cybersecurity-automation\/52448\/\" target=\"_blank\" rel=\"noopener nofollow\">ici<\/a> et <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-cybersecurity-practical-soc-usage\/52474\/\" target=\"_blank\" rel=\"noopener nofollow\">ici<\/a>. Ainsi, tout ce que les internautes ordinaires ont \u00e0 faire, c\u2019est de veiller \u00e0 <a href=\"https:\/\/www.kaspersky.fr\/home-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">prot\u00e9ger<\/a>\u00a0leurs appareils et de se tenir au courant des derni\u00e8res escroqueries. Heureusement, Kaspersky Daily simplifie les choses \u2013 <a href=\"https:\/\/www.kaspersky.fr\/blog\/subscribe\/\" target=\"_blank\" rel=\"noopener\">abonnez-vous<\/a> pour rester inform\u00e9.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Les cybercriminels ont mis au point un nouveau stratag\u00e8me : ils attirent les joueurs dans un jeu \u00e0 la mode de tanks crypto afin d&rsquo;obtenir un acc\u00e8s complet \u00e0 leurs ordinateurs.<\/p>\n","protected":false},"author":2706,"featured_media":22353,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3798,686],"tags":[4122,179,796,89,4506],"class_list":{"0":"post-22352","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-confidentialite","8":"category-threats","9":"tag-cryptomonnaies","10":"tag-escroquerie","11":"tag-jeu","12":"tag-phishing","13":"tag-vulnerabilite-zero-day"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-play-tanks-and-catch-backdoor\/22352\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-play-tanks-and-catch-backdoor\/28271\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/23526\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-play-tanks-and-catch-backdoor\/28412\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/27787\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-play-tanks-and-catch-backdoor\/30528\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/how-to-play-tanks-and-catch-backdoor\/29279\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-play-tanks-and-catch-backdoor\/38498\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/how-to-play-tanks-and-catch-backdoor\/12940\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/52561\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/how-to-play-tanks-and-catch-backdoor\/23095\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-play-tanks-and-catch-backdoor\/28482\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-play-tanks-and-catch-backdoor\/34367\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-play-tanks-and-catch-backdoor\/33992\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/escroquerie\/","name":"escroquerie"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22352","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=22352"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22352\/revisions"}],"predecessor-version":[{"id":22361,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22352\/revisions\/22361"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/22353"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=22352"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=22352"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=22352"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}