
Malware Brief : hameçonnage sophistiqué, BYOVD et RAT Android
Les nouvelles concernant les malwares continuent de pleuvoir. Aujourd’hui, nous allons examiner brièvement trois types d’attaques : une attaque qui exploite les plateformes Meta pour distribuer un malware de type RAT sur les systèmes Android, une technique appelée Bring Your Own Vulnerable Driver (BYOVD) visant les utilisateurs Windows, et une méthode avancée de phishing en plusieurs étapes utilisée par un groupe de cybercriminels bien connu basé en Russie.
Le malvertising sur Meta cible les systèmes Android
Type : RAT, spyware
Malware : Brokewell
Propagation : Malvertising
Vecteur : Environnements Meta
Cible : Systèmes Android
Actif depuis : juillet 2024
Des acteurs malveillants utiliseraient apparemment la publicité malveillante sur les plateformes Meta pour propager de faux logiciels. Les annonces promettent une application TradingView Premium gratuite, mais la victime installe en réalité une version du spyware et cheval de Troie d’accès à distance (RAT) Brokewell.
Comme détaillé dans cet article de BleepingComputer, Brokewell recourt à divers moyens pour fournir une porte dérobée d’accès à distance, tout en enregistrant l’activité et en cherchant à voler des données sensibles, avec un accent particulier sur les données financières et les données liées aux cryptomonnaies.
Bring Your Own Vulnerable Driver (BYOVD)
Type : RAT
Malware : ValleyRAT
Propagation : pilotes WatchDog Antimalware signés par Microsoft mais vulnérables
Groupe de menace : Silver Fox
Cible : Microsoft Windows 7 à 11
Selon SC Media, le groupe cybercriminel Silver Fox a utilisé une technique d’attaque BYOVD pour infecter des systèmes Windows avec le cheval de Troie d’accès à distance ValleyRAT.
Le BYOVD consiste à charger volontairement un pilote comportant une vulnérabilité connue, dans ce cas un pilote WatchDog Antimalware signé par Microsoft (ou un pilote Zemana pour les machines sous Windows 7). Ces pilotes n’étaient pas listés dans la Liste de blocage des pilotes vulnérables de Microsoft.
Étant donné que les pilotes sont installés avec un accès de niveau 0, les pirates peuvent ensuite installer le cheval de Troie d’accès à distance ValleyRAT sans être détectés, obtenant ainsi le contrôle total du système infecté.
Pour une analyse technique complète, consultez cet article de The Hacker News.
BlackBasta utilise des techniques de phishing avancées pour installer des malwares
Type : divers
Malware : Zbot, DarkGate, malware personnalisé
Propagation : techniques d'hameçonnage innovantes
À la fin de l’année dernière, le groupe de menaces Black Basta a commencé à utiliser une nouvelle technique de phishing pour inciter les victimes à installer des malwares sur leur système.
Les cibles sont d’abord bombardées d’emails, donnant l’impression qu’une cyberattaque est en cours. Ensuite, les pirates contactent la cible via Microsoft Teams, en se faisant passer pour le support informatique de l’entreprise.
Une fois la conversation acceptée, la victime est piégée et incitée à installer divers malwares. En général, un collecteur d’identifiants commence par dérober les identifiants de la victime, puis le malware installe un chargeur tel que Zbot, Zloader ou DarkGate.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter