Charles TechCharles Tech
  • Tests High-Tech
    • Smartphones
      • iPhone
      • Asus
      • Huawei
      • Poco
      • Samsung
      • Xiaomi
    • Ordinateurs
      • PC fixe / gamer
      • PC portables
    • Composants PC
      • Cartes Graphiques
      • Processeurs
      • SSD
    • Eléctromenager
      • Aspirateurs robots
    • Périphériques
      • Claviers
      • Souris
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Vous lisez Windows : un malware chinois s’en prend aux utilisateurs
Font ResizerAa
Charles TechCharles Tech
Font ResizerAa
Rechercher ...
  • Tests High-Tech
    • Smartphones
    • Ordinateurs
    • Composants PC
    • Eléctromenager
    • Périphériques
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Suivez-nous
Charles Tech > Actualité High-Tech : Toutes nos dernières news > Windows : un malware chinois s’en prend aux utilisateurs

Windows : un malware chinois s’en prend aux utilisateurs

Louis Touzalin
Louis Touzalin
Published: 14/04/2022
Last updated: 14/04/2022
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.
Partager

Le groupe de pirates Hafnium, soutenu par la Chine, a été lié à une partie d’un nouveau logiciel malveillant utilisé pour maintenir la persistance des environnements Windows compromis.

L’acteur de la menace aurait ciblé des entités dans les secteurs des télécommunications, des fournisseurs de services Internet et des services de données entre août 2021 et février 2022, en élargissant les modèles de victimologie initiaux observés lors de ses attaques exploitant les failles de type « zero-day » des serveurs Microsoft Exchange en mars 2021.

Le Microsoft Threat Intelligence Center (MSTIC), qui a baptisé le malware d’évasion de défense « Tarrask », l’a caractérisé comme un outil qui crée des tâches programmées « cachées » sur le système. « L’abus de tâches programmées est une méthode très courante de persistance et d’évasion de défense et une méthode séduisante, en plus », ont déclaré les chercheurs.

D'autres articles intéressants

iPad Mini 6 : Des performances moins bonnes que l’iPhone 13 ?
Fonctionnalités incontournables dont il faut profiter en tant que Pro de TradingView
Les AirPods Pro sont une alternative à des aides auditives
Le premier prototype Apple-1 vendu 700 000 dollars
Nothing propose iMessage sur ses smartphones Android

Hafnium, bien qu’il soit surtout connu pour ses attaques contre Exchange Server, a depuis exploité des vulnérabilités de type  » zero-day  » non corrigées comme vecteurs initiaux pour déposer des shells web et d’autres logiciels malveillants, dont Tarrask, qui crée de nouvelles clés de registre dans deux chemins Tree et Tasks lors de la création des tâches planifiées

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

« Dans ce scénario, l’acteur de la menace a créé une tâche planifiée nommée ‘WinUpdate’ via HackTool:Win64/Tarrask afin de rétablir les connexions perdues avec son infrastructure de commande et de contrôle (C&C)« , expliquent les chercheurs.

Windows

« Cela a entraîné la création des clés et valeurs de registre décrites dans la section précédente, mais l’acteur de la menace a supprimé la valeur du [descripteur de sécurité] dans le chemin du registre de l’arbre. » Un descripteur de sécurité (alias SD) définit les contrôles d’accès pour l’exécution de la tâche planifiée.

Mais en effaçant la valeur SD du chemin de registre Tree susmentionné, cela conduit effectivement à la « disparition » de la tâche du planificateur de tâches de Windows ou de l’utilitaire de ligne de commande schtasks, à moins qu’elle ne soit examinée manuellement en naviguant vers les chemins dans l’éditeur de registre.

« Les attaques […] montrent comment l’acteur de la menace Hafnium a une compréhension unique du sous-système Windows et utilise cette expertise pour masquer les activités sur les points finaux ciblés afin de maintenir la persistance sur les systèmes affectés et de se cacher à la vue de tous« , ont déclaré les chercheurs.

Cette divulgation marque la deuxième fois en autant de semaines qu’un mécanisme de persistance basé sur des tâches programmées est mis en lumière. Récemment, Malwarebytes a décrit en détail une méthode « simple mais efficace » adoptée par un malware appelé Colibri, qui consiste à coopter des tâches programmées pour survivre aux redémarrages de la machine et exécuter des charges utiles malveillantes.

0/5 (0 Reviews)
Partager cet article
Facebook Email Copy Link Imprimer
Laisser une note

Laisser une note Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Sélectionnez une note

Notre partenaire

H9 Banner 300x600 FR

Réseaux sociaux

23kLike
38kSuivre
170Suivre
2.8kAbonnement
10.8kSuivre
1.1kSuivre
34Suivre

Vous aimerez aussi ...

interdiction de tiktok aux usa

La bataille entre les États-Unis et TikTok pour interdire l’application se poursuit

17/04/2023

Apple serait en train de travailler sur un service de coaching par l’IA

26/04/2023
Sony

Sony Bravia X72K : De nouveaux téléviseurs 4K accessibles

23/05/2022

uStream One : De nouvelles enceintes Bluetooth par Mitchell Acoustics

06/05/2021

A ne pas louper !

test asus rog phone 8pro avis (10)
Le Asus ROG Phone 8 n’a jamais été à un prix aussi intéressant
Bons plans
ecran msi 24 1440p 144hz promo amazon
Cet écran gamer 34 pouces et 144 Hz est en promo exceptionnelle
Bons plans
promotion alimentation asus tuf 1200w
Asus fait tomber le prix de cette alimentation 1200W à moins de 200€
Bons plans
  • Annoncer sur CharlesTech
  • Mentions légales
  • Contactez nous
  • À propos
  • Plan de site
© Charles Tech 2017 - 2025 - Toute reproduction (même partielle) interdite sous peine de poursuites.
Re !

Connectez-vous

Username or Email Address
Password

Vous avez perdu votre mot de passe ?