Charles TechCharles Tech
  • Tests High-Tech
    • Smartphones
      • iPhone
      • Asus
      • Huawei
      • Poco
      • Samsung
      • Xiaomi
    • Ordinateurs
      • PC fixe / gamer
      • PC portables
    • Composants PC
      • Cartes Graphiques
      • Processeurs
      • SSD
    • Eléctromenager
      • Aspirateurs robots
    • Périphériques
      • Claviers
      • Souris
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Vous lisez Une backdoor Windows déployée grâce à la 0-Day Follina
Font ResizerAa
Charles TechCharles Tech
Font ResizerAa
Rechercher ...
  • Tests High-Tech
    • Smartphones
    • Ordinateurs
    • Composants PC
    • Eléctromenager
    • Périphériques
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Suivez-nous
Charles Tech > Actualité High-Tech : Toutes nos dernières news > Une backdoor Windows déployée grâce à la 0-Day Follina

Une backdoor Windows déployée grâce à la 0-Day Follina

Louis Touzalin
Louis Touzalin
Published: 11/07/2022
Last updated: 11/07/2022
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.
Partager

Une campagne de phishing récente exploite la faille de sécurité Windows Follina récemment détectée qui sert ici à déployer une porte dérobée sur les systèmes Windows.

« Rozena est un malware de type backdoor capable d’injecter une connexion shell à distance sur la machine de l’attaquant« , a déclaré Cara Lin, chercheuse au FortiGuard Labs de Fortinet, dans un rapport publié cette semaine.

Répertoriée sous le nom de CVE-2022-30190, la vulnérabilité d’exécution de code à distance de l’outil de diagnostic du support Microsoft Windows (MSDT), désormais corrigé, a fait l’objet d’une exploitation intensive ces dernières semaines, depuis qu’elle a été révélée fin mai 2022.

Le point de départ de la dernière chaîne d’attaque observée par Fortinet est un document Office armé qui, une fois ouvert, se connecte à une URL CDN Discord pour récupérer un fichier HTML (« index.htm ») qui, à son tour, invoque l’utilitaire de diagnostic à l’aide d’une commande PowerShell pour télécharger les Payloads suivants à partir du même espace d’attachement CDN.

D'autres articles intéressants

TikTok débarque sur les TV Samsung, LG et les Android TV
Teufel Cinebar 11 Dolby Atmos : Une nouvelle barre de son élégante et puissante
Amazon Prime facilite la résiliation pour les abonnés en Europe avant le Prime Day
Android 13 Beta : Le Google Pixel 6A enfin supporté
BLUETTI lance sa plus petite station électrique portable AC2A pour des aventures en plein air illimitées

windows

Cela inclut l’implant Rozena (« Word.exe ») et un fichier batch (« cd.bat ») conçu pour mettre fin aux processus MSDT, établir la persistance de la porte dérobée par le biais d’une modification du Registre Windows et télécharger un document Word inoffensif en guise de leurre.

La fonction principale du malware est d’injecter un shellcode qui lance un reverse shell vers l’hôte de l’attaquant (« microsofto.duckdns[.]org »), permettant finalement à l’attaquant de prendre le contrôle du système nécessaire pour surveiller et capturer des informations, tout en conservant une porte dérobée sur le système compromis.

L’exploitation de la faille Follina pour distribuer des logiciels malveillants par le biais de documents Word malveillants s’inscrit dans le cadre d’attaques d’ingénierie sociale s’appuyant sur Microsoft Excel, des raccourcis Windows (LNK) et des fichiers images ISO comme droppers pour déployer des logiciels malveillants tels que Emotet, QBot, IcedID et Bumblebee sur l’appareil d’une victime.

Les droppers sont distribués par le biais d’e-mails contenant directement le dropper ou un ZIP protégé par mot de passe en pièce jointe, un fichier HTML qui extrait le dropper lorsqu’il est ouvert, ou un lien pour télécharger le dropper dans le corps de l’e-mail.

Windows

Alors que les attaques repérées au début du mois d’avril mettaient en évidence des fichiers Excel avec des macros XLM, la décision de Microsoft de bloquer les macros par défaut à peu près au même moment aurait forcé les acteurs de la menace à se tourner vers des méthodes alternatives comme la contrebande de fichiers HTML, ainsi que de fichiers .LNK et .ISO.

Microsoft a depuis temporairement mis en pause son projet de désactiver les macros d’Office dans les fichiers téléchargés sur Internet. La société a déclaré qu’elle prenait le temps d’apporter « des modifications supplémentaires pour améliorer la convivialité« .

0/5 (0 Reviews)
Partager cet article
Facebook Email Copy Link Imprimer
Laisser une note

Laisser une note Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Sélectionnez une note

Réseaux sociaux

23kLike
38kSuivre
170Suivre
2.8kAbonnement
10.8kSuivre
1.1kSuivre
34Suivre

Publicité

Vous aimerez aussi ...

samsung

Samsung développe une puce en 2nm pour les Galaxy S26

24/05/2024
intel core i9 13900K

Core i9 13900K et 14900K qui plantent : Intel travaille à une solution

09/04/2024

L’Europe pourrait interdire Facebook et Instagram d’ici un mois

08/07/2022
Whatsapp

WhatsApp améliore la fonction des réactions dans sa dernière mise à jour

31/05/2022

A ne pas louper !

ecran msi 24 1440p 144hz promo amazon
Cet écran gamer 34 pouces et 144 Hz est en promo exceptionnelle
Bons plans
promotion alimentation asus tuf 1200w
Asus fait tomber le prix de cette alimentation 1200W à moins de 200€
Bons plans
roborock saros 10 promo
À peine sorti, cet aspirateur robot est déjà en promo exceptionnelle
Bons plans
  • Annoncer sur CharlesTech
  • Mentions légales
  • Contactez nous
  • À propos
  • Plan de site
© Charles Tech 2017 - 2025 - Toute reproduction (même partielle) interdite sous peine de poursuites.
Re !

Connectez-vous

Username or Email Address
Password

Vous avez perdu votre mot de passe ?