Tout commence par un simple message WhatsApp contenant un fichier .vbs. Pour m\u00e9moire, VBScript est un langage de script int\u00e9gr\u00e9 nativement \u00e0 Windows, con\u00e7u pour automatiser des t\u00e2ches courantes. Son ex\u00e9cution est rarement pass\u00e9e au crible par des solutions de s\u00e9curit\u00e9 traditionnelles. Une fois le fichier ouvert, la cha\u00eene d’infection se d\u00e9clenche sans autre action de la part de la victime.<\/p>\n
Le script cr\u00e9e des dossiers cach\u00e9s dans \u00ab\u00a0C:\\ProgramData\u00a0\u00bb. Il y copie des utilitaires Windows parfaitement l\u00e9gaux, renomm\u00e9s pour passer inaper\u00e7us. : curl.exe, un utilitaire de t\u00e9l\u00e9chargement en ligne de commande, est rebaptis\u00e9 \u00ab\u00a0netapi.dll\u00a0\u00bb ; bitsadmin.exe prend le nom de \u00ab\u00a0sc.exe\u00a0\u00bb. L’objectif est bien entendu de les rendre moins suspects au premier coup d’\u0153il.<\/p>\n
Ces outils d\u00e9tourn\u00e9s se connectent ensuite \u00e0 des services cloud (AWS S3, Tencent Cloud, Backblaze B2) afin de r\u00e9cup\u00e9rer des charges malveillantes suppl\u00e9mentaires. Depuis un pare-feu ou un syst\u00e8me de surveillance r\u00e9seau, le trafic ressemble \u00e0 des \u00e9changes normaux. C’est ce que les chercheurs appellent le \u00ab\u00a0living-off-the-land\u00a0\u00bb : exploiter ce qui est d\u00e9j\u00e0 pr\u00e9sent sur le syst\u00e8me, plut\u00f4t qu’introduire des outils d’embl\u00e9e suspects. Mi-mars, nous rapportions qu’une alerte avait \u00e9t\u00e9 lanc\u00e9e en France sur les risques croissants li\u00e9s aux messageries instantan\u00e9es comme vecteurs d’attaque – cette campagne vient confirmer ce constat.<\/p>\n","protected":false},"excerpt":{"rendered":"Tout commence par un simple message WhatsApp contenant un fichier .vbs. Pour m\u00e9moire, VBScript est un langage de…\n","protected":false},"author":2,"featured_media":842496,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[1011,27,43,40,41,39,42,44],"class_list":{"0":"post-842495","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-sciences-et-technologies","8":"tag-fr","9":"tag-france","10":"tag-science","11":"tag-science-and-technology","12":"tag-sciences","13":"tag-sciences-et-technologies","14":"tag-technologies","15":"tag-technology"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@fr\/116335230803636250","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/posts\/842495","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/comments?post=842495"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/posts\/842495\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/media\/842496"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/media?parent=842495"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/categories?post=842495"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/tags?post=842495"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}