Pas de résultat
Voir tous les résultats
Managers
  • Business
  • Eco
  • Executives
  • Banking
  • Startups
  • Biz’art & Cult
  • Vidéo
  • Podcast
  • Our Events
    • Femmes Entrepreneurs Tunisie
    • Africa Means Business
    • AFRICAN ESG SUMMIT
  • Packs TRE
  • Inscrivez-vous
Managers
  • Business
  • Eco
  • Executives
  • Banking
  • Startups
  • Biz’art & Cult
  • Vidéo
  • Podcast
  • Our Events
    • Femmes Entrepreneurs Tunisie
    • Africa Means Business
    • AFRICAN ESG SUMMIT
  • Packs TRE
  • Inscrivez-vous
Managers
Pas de résultat
Voir tous les résultats

CERT.tn : une nouvelle version du malware RedLine distribuée sous forme de faux compteur de statistiques Omicron

13 janvier 2022
Dans Business

Les experts mettent en garde contre une nouvelle variante du malware RedLine qui se diffuse via des courriels en utilisant une fausse application de compteur d’état Covid-19 Omicron comme appât.

Les chercheurs de Fortinet ont repéré une nouvelle version du voleur d’informations RedLine qui se propage par le biais d’e-mails en utilisant une fausse application de compteur d’état Covid-19 Omicron comme appât.

Le malware RedLine permet aux opérateurs de voler plusieurs informations, notamment des informations d’identification, des données de cartes de crédit, des cookies, des informations de saisie automatique stockées dans les navigateurs, des portefeuilles de crypto-monnaies, des informations d’identification stockées dans les clients VPN et les clients FTP. Le code malveillant peut également agir comme un malware de première étape.

Les données volées sont stockées dans une archive (logs) avant d’être téléchargées sur un serveur sous le contrôle des attaquants.

La nouvelle variante découverte par Fortinet porte le nom de fichier “Omicron Stats.exe”. Les acteurs de la menace tentent d’exploiter l’énorme intérêt à l’échelle mondiale pour la variante Covid-19 Omicron.

Selon FortiGuard Labs, les victimes potentielles de cette variante de RedLine Stealer sont situées dans au moins 12 pays, une circonstance qui suggère que les attaquants n’ont pas ciblé des organisations ou des individus spécifiques.

Comme d’autres campagnes de malspam à thème Covid-19, la chaîne d’infection commence par l’ouverture d’un document armé utilisé comme pièce jointe.

Une fois exécuté, Omicron Stats.exe décompresse les ressources cryptées par triple DES en utilisant le ciphermode ECB et le padding mode PKCS7. Ensuite, les ressources décompressées sont injectées dans vbc.exe et une tâche planifiée est créée pour établir la persistance.

La nouvelle variante met en œuvre plusieurs nouvelles fonctionnalités, elle est capable de voler plus d’informations à partir de l’instrumentation de gestion Windows (WMI) de la victime, telles que :

Le nom de la carte graphique ;

Fabricant du BIOS, code d’identification, numéro de série, date de sortie et version ;

Le fabricant du disque dur, le modèle, le nombre total de têtes et la signature ;

Informations sur le processeur (CPU) telles que l’ID unique, l’ID du processeur, le fabricant, le nom, la vitesse d’horloge maximale et les informations sur la carte mère.

La nouvelle variante de RedLine recherche les chaînes de caractères suivantes pour localiser les dossiers pertinents pour l’exfiltration de données :

wallet.dat (informations relatives aux crypto-monnaies) 

wallet (informations relatives aux crypto-monnaies)  

Données de connexion 

Données Web

Cookies

Opera GX Stable

Opera GX

Le malware recherche également les dossiers Telegram pour localiser les images et les historiques de conversation à voler, il se concentre également sur Tokens.txt qui est utilisé pour l’accès à Discord.

Cette variante utilise 207[.]32.217.89 comme serveur C2 via le port 14588.

“Cette IP est détenue par 1gservers. Au cours des quelques semaines qui ont suivi la publication de cette variante, nous avons remarqué qu’une adresse IP en particulier communiquait avec ce serveur C2”, indique le rapport publié par Fortinet. 

Cette adresse IP 149[.]154.167.91 est située en Grande-Bretagne et fait partie du Telegram Messenger Network. Il semble que le serveur C2 puisse être contrôlé par les opérateurs de RedLine par le biais d’un service de messagerie Telegram abusé. Cette conclusion n’est pas un saut énorme car le ou les auteurs du malware proposent à la fois des lignes d’achat et d’assistance dédiées via leurs groupes Telegram respectifs”.

Les experts pensent que RedLine Stealer continuera à profiter de la pandémie actuelle de Covid et que les informations volées continueront à alimenter les marchés clandestins de la cybercriminalité.

Source : CERT.tn

Tags: CybersécuritéMalwarevirusvirus informatique
Managers

Managers

RelatedArticles

Le déficit de la balance commerciale énergétique diminue de 5% à fin juillet 2025
Business

Le déficit de la balance commerciale énergétique diminue de 5% à fin juillet 2025

13 septembre 2025
La fin du renouvellement des contrats CIVP, c’est pour très bientôt…
Business

La fin du renouvellement des contrats CIVP, c’est pour très bientôt…

13 septembre 2025
Déficit commercial tunisien creusé à 14,64 milliards de dinars à fin août 2025
Business

Déficit commercial tunisien creusé à 14,64 milliards de dinars à fin août 2025

13 septembre 2025

Les plus lus

  • CMR Tunisie inaugure l’extension de son unité de production à Mghira

    CMR Tunisie inaugure l’extension de son unité de production à Mghira

    0 partages
    Partage 0 Tweet 0
  • Voici les 10 pays africains les plus endettés en 2025

    0 partages
    Partage 0 Tweet 0
  • Fonds de fonds ANAVA, l’accélération de la croissance continue

    0 partages
    Partage 0 Tweet 0
  • Tex Awards 2025: la FTTH lance la deuxième édition pour valoriser l’innovation textile tunisienne

    0 partages
    Partage 0 Tweet 0
  • Recrutement de 110 technologues dans 5 spécialités

    0 partages
    Partage 0 Tweet 0
  • Entrepreneuriat féminin: la BTS offre jusqu’à 200 000 dinars pour lancer ou développer un projet

    0 partages
    Partage 0 Tweet 0
216 Capital Venture Accelerator vise une vingtaine de startups tunisiennes

216 Capital Venture Accelerator vise une vingtaine de startups tunisiennes

12 septembre 2025
Tunis accueille la 4e édition de la TIEXPO

Tunis accueille la 4e édition de la TIEXPO

12 septembre 2025
Université SESAME: former les talents d’aujourd’hui pour bâtir les solutions de demain

Université SESAME: former les talents d’aujourd’hui pour bâtir les solutions de demain

12 septembre 2025
Tunisie-AFD: des accords de financement de 54 M€ pour l’eau, l’emploi et l’autonomisation économique

Tunisie-AFD: des accords de financement de 54 M€ pour l’eau, l’emploi et l’autonomisation économique

12 septembre 2025
Relance économique tuniso-égyptienne: l’Utica appelle à renforcer les investissements et la coopération bilatérale

Relance économique tuniso-égyptienne: l’Utica appelle à renforcer les investissements et la coopération bilatérale

12 septembre 2025
New Body Line: de nouvelles provisions ont pesé sur le résultat net

New Body Line: de nouvelles provisions ont pesé sur le résultat net

12 septembre 2025

Suivez-Nous

L’essentiel de l’actu Business dans votre boîte e-mail

Managers

Managers est un média qui publie un magazine mensuel et un site Web destinés aux entrepreneurs et aux dirigeants d’entreprises pour les informer et les accompagner dans leur progression de carrière

Catégories

  • Banking
  • Biz’art & Cult
  • Business
  • Eco
  • Entreprise
  • Executives
  • Managers
  • Startups
  • Vidéo
  • Podcast
  • Les banques tunisiennes

Abonnez-vous

Facebook Twitter Instagram LinkedIn
  • Qui Sommes Nous

Copyright © , Managers

Pas de résultat
Voir tous les résultats
  • Business
  • Eco
  • Executives
  • Banking
  • Startups
  • Biz’art & Cult
  • Vidéo
  • Podcast
  • Our Events
    • Femmes Entrepreneurs Tunisie
    • Africa Means Business
    • AFRICAN ESG SUMMIT
  • Packs TRE
  • Inscrivez-vous

Copyright © , Managers

Share This
  • Facebook
  • Twitter
  • Gmail
  • LinkedIn