{"id":162807,"date":"2025-10-15T11:19:29","date_gmt":"2025-10-15T18:19:29","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=162807"},"modified":"2025-10-24T11:42:29","modified_gmt":"2025-10-24T18:42:29","slug":"phantomvai-loader-delivers-infostealers","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/","title":{"rendered":"PhantomVAI Loader fournit une gamme d\u2019infostealers"},"content":{"rendered":"<h2><a id=\"post-162807-_4lt92rr5muov\"><\/a>Avant-propos<\/h2>\n<p>Les chercheurs d\u2019Unit\u00a042 ont suivi des campagnes d\u2019hame\u00e7onnage qui utilisent PhantomVAI Loader pour diffuser des malwares infostealers par le biais d\u2019une cha\u00eene d\u2019infection furtive multi-\u00e9tape. Les acteurs de la menace m\u00e8nent ces campagnes pour diffuser des scripts et des chargeurs obfusqu\u00e9s qui utilisent la <a href=\"https:\/\/attack.mitre.org\/techniques\/T1027\/003\/\" target=\"_blank\" rel=\"noopener\">st\u00e9ganographie<\/a> pour dissimuler les payloads.<\/p>\n<p>Le chargeur initialement utilis\u00e9 dans ces campagnes a \u00e9t\u00e9 baptis\u00e9 Katz Stealer Loader, en raison du malware Katz Stealer qu\u2019il diffuse. Les pirates informatiques vendent ce nouvel infostealer sur des forums clandestins sous la forme de Malwares as a Service (MaaS). R\u00e9cemment, nous avons observ\u00e9 que le chargeur fournit d\u00e9sormais d\u2019autres infostealers, tels que <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.asyncrat\" target=\"_blank\" rel=\"noopener\">AsyncRAT<\/a>, <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.xworm\" target=\"_blank\" rel=\"noopener\">XWorm<\/a>, <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.formbook\" target=\"_blank\" rel=\"noopener\">FormBook<\/a> et <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.dcrat\" target=\"_blank\" rel=\"noopener\">DCRat<\/a>. Compte tenu de ce comportement unique, nous suivons d\u00e9sormais le chargeur sous un nouveau nom\u00a0: PhantomVAI Loader. Nous avons choisi ce nom en raison de la discr\u00e9tion du chargeur et de la m\u00e9thode VAI qu\u2019il ex\u00e9cute.<\/p>\n<p>Les acteurs de la menace d\u00e9ploient PhantomVAI Loader dans le cadre d\u2019attaques men\u00e9es dans le monde entier, ciblant des organisations op\u00e9rant dans un large \u00e9ventail de secteurs\u00a0:<\/p>\n<ul>\n<li>Industrie<\/li>\n<li>Enseignement<\/li>\n<li>Fournisseurs d\u2019\u00e9nergie<\/li>\n<li>Technologies<\/li>\n<li>Sant\u00e9<\/li>\n<li>Information<\/li>\n<li>Pouvoirs publics<\/li>\n<\/ul>\n<p>Nous explorons chaque \u00e9tape de la cha\u00eene d\u2019infection \u00e0 plusieurs niveaux, depuis le premier e-mail d\u2019hame\u00e7onnage jusqu\u2019au d\u00e9ploiement final du payload de l\u2019infostealer. Nous d\u00e9crivons \u00e9galement la fonctionnalit\u00e9 du Katz Stealer en particulier.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre cette menace gr\u00e2ce aux produits et services suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n<table style=\"width: 99.3986%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 207.078%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/infostealer-fr\/\" target=\"_blank\" rel=\"noopener\"><b>Infostealers<\/b><\/a><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-162807-_8hzufrtevdg2\"><\/a>Contexte<\/h2>\n<p>Le 13 avril 2025, un utilisateur appel\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">katzadmin<\/span> a publi\u00e9 un message sur un nouvel infostealer nomm\u00e9 Katz Stealer. L\u2019utilisateur a publi\u00e9 ces messages sur le forum clandestin BreachForums, puis sur les forums <span style=\"font-family: 'courier new', courier, monospace;\">exploit[.]in<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">xss[.]is<\/span>. Katz Stealer est un type de MaaS qui collecte des donn\u00e9es sensibles \u00e0 partir de diverses applications h\u00e9berg\u00e9es sur des machines infect\u00e9es.<\/p>\n<p>Nous avons observ\u00e9 que les acteurs de la menace diffusaient Katz Stealer par le biais d\u2019e-mails d\u2019hame\u00e7onnage contenant du code JavaScript ou VBS obfusqu\u00e9, des scripts PowerShell et un chargeur .NET. Initialement appel\u00e9 Katz Stealer Loader (et \u00e9galement connu sous le nom de <a href=\"https:\/\/www.ibm.com\/think\/x-force\/dcrat-presence-growing-in-latin-america\" target=\"_blank\" rel=\"noopener\">VMDetectLoader<\/a>), ce chargeur d\u00e9livre d\u00e9sormais des infostealers tels que <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.asyncrat\" target=\"_blank\" rel=\"noopener\">AsyncRAT<\/a>, <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.xworm\" target=\"_blank\" rel=\"noopener\">XWorm<\/a>, <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.formbook\" target=\"_blank\" rel=\"noopener\">FormBook<\/a> et <a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.dcrat\" target=\"_blank\" rel=\"noopener\">DCRat<\/a>. Nous suivons ce chargeur sous un nouveau nom\u00a0: PhantomVAI Loader.<\/p>\n<h2><a id=\"post-162807-_wven14kmgum2\"><\/a>Analyse de la cha\u00eene d\u2019attaque<\/h2>\n<p>Le cycle d\u2019attaque de PhantomVAI Loader commence par une op\u00e9ration d\u2019hame\u00e7onnage et se termine par le d\u00e9ploiement de payloads. La figure 1 r\u00e9sume les \u00e9tapes de ce processus.<\/p>\n<figure id=\"attachment_162896\" aria-describedby=\"caption-attachment-162896\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162896 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/2577_PhantomVAI-Graphics-2-1.png\" alt=\"Organigramme d\u00e9taillant une cyberattaque impliquant un e-mail d\u2019hame\u00e7onnage, conduisant au t\u00e9l\u00e9chargement de divers fichiers, y compris des archives et des scripts, \u00e0 l\u2019aide d\u2019outils tels que PowerShell, et aboutissant \u00e0 l\u2019injection d\u2019un infostealer par l\u2019interm\u00e9diaire du chargeur PhantomVAI. \" width=\"800\" height=\"486\" \/><figcaption id=\"caption-attachment-162896\" class=\"wp-caption-text\">Figure 1. Le cycle d\u2019attaque de PhantomVAI Loader.<\/figcaption><\/figure>\n<h3><a id=\"post-162807-_puej9mifz0nb\"><\/a><strong>E-mails d\u2019hame\u00e7onnage <\/strong><\/h3>\n<p>La cha\u00eene d\u2019infection commence par un e-mail d\u2019hame\u00e7onnage contenant une pi\u00e8ce jointe malveillante. La figure 2 montre un exemple d\u2019un des e-mails d\u2019hame\u00e7onnage.<\/p>\n<figure id=\"attachment_162819\" aria-describedby=\"caption-attachment-162819\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162819 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-250327-162807-2.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un e-mail affichant un message \u00e0 propos d\u2019un nouvel ordre d\u2019exp\u00e9dition, avec un document en pi\u00e8ce jointe. L\u2019exp\u00e9diteur est identifi\u00e9 comme \u00e9tant une soci\u00e9t\u00e9 de logistique de fret, faisant r\u00e9f\u00e9rence \u00e0 des documents de confirmation d\u2019exp\u00e9dition. Le texte de l\u2019e-mail comprend les coordonn\u00e9es d\u2019un contact et l\u2019URL d\u2019un site Web.\" width=\"1000\" height=\"921\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-250327-162807-2.png 1712w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-250327-162807-2-478x440.png 478w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-250327-162807-2-760x700.png 760w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-250327-162807-2-768x707.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-250327-162807-2-1536x1414.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162819\" class=\"wp-caption-text\">Figure\u00a02. E-mail d\u2019hame\u00e7onnage. Source\u00a0: <a href=\"https:\/\/www.virustotal.com\/\" target=\"_blank\" rel=\"noopener\">VirusTotal<\/a>.<\/figcaption><\/figure>\n<p>Les e-mails \u00e9voquent des th\u00e8mes tels que les ventes, les paiements et les actions en justice afin d\u2019inciter les utilisateurs cibl\u00e9s \u00e0 ouvrir la pi\u00e8ce jointe malveillante. Certains de ces e-mails int\u00e8grent des <a href=\"https:\/\/unit42.paloaltonetworks.com\/homograph-attacks\/\" target=\"_blank\" rel=\"noopener\">attaques par homographe<\/a>,qui consistent \u00e0 remplacer les caract\u00e8res de l\u2019alphabet latin de l\u2019e-mail par d\u2019autres caract\u00e8res Unicode ou math\u00e9matiques. Les attaquants utilisent cette technique pour contourner les d\u00e9fenses des messageries \u00e9lectroniques en d\u00e9guisant des termes que les m\u00e9canismes de s\u00e9curit\u00e9 signalent habituellement comme suspects.<\/p>\n<h3><a id=\"post-162807-_tt2ro3wqe8tu\"><\/a>\u00c9tape 1\u00a0: Scripts JavaScript et VBS<\/h3>\n<p>Les pi\u00e8ces jointes des e-mails d\u2019hame\u00e7onnage sont des fichiers JavaScript ou VBS archiv\u00e9s. Les acteurs de la menace obfusquent ces scripts pour tenter de contourner les d\u00e9tections. La figure 3 montre un exemple de JavaScript obfusqu\u00e9 provenant de l\u2019un de ces fichiers.<\/p>\n<figure id=\"attachment_162830\" aria-describedby=\"caption-attachment-162830\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162830 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-254083-162807-3.png\" alt=\"Capture d\u2019\u00e9cran de JavaScript obfusqu\u00e9 dans un \u00e9diteur de texte, affichant plusieurs lignes avec mise en \u00e9vidence de la syntaxe.\" width=\"1000\" height=\"173\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-254083-162807-3.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-254083-162807-3-786x136.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-254083-162807-3-1920x333.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-254083-162807-3-768x133.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-254083-162807-3-1536x266.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162830\" class=\"wp-caption-text\">Figure 3. JavaScript obfusqu\u00e9.<\/figcaption><\/figure>\n<p>Le script int\u00e8gre un script PowerShell encod\u00e9 en Base64 et l\u2019ex\u00e9cute pour t\u00e9l\u00e9charger et passer \u00e0 l\u2019\u00e9tape suivante de l\u2019infection.<\/p>\n<h3><a id=\"post-162807-_mxoteg9ghv6e\"><\/a>\u00c9tape 2\u00a0: script PowerShell<\/h3>\n<p>Le script PowerShell d\u00e9cod\u00e9 t\u00e9l\u00e9charge et charge l\u2019\u00e9tape suivante de l\u2019infection. La figure 4 montre un exemple de script PowerShell d\u00e9cod\u00e9.<\/p>\n<figure id=\"attachment_162841\" aria-describedby=\"caption-attachment-162841\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162841 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-256885-162807-4.png\" alt=\"Capture d\u2019\u00e9cran du script PowerShell contenant la st\u00e9ganographie, mis en \u00e9vidence par un cadre et une fl\u00e8che. La derni\u00e8re ligne contient les arguments de la ligne de commande du chargeur PhantomVAI.\" width=\"1000\" height=\"197\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-256885-162807-4.png 1652w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-256885-162807-4-786x155.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-256885-162807-4-768x151.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-256885-162807-4-1536x302.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162841\" class=\"wp-caption-text\">Figure 4. Script PowerShell utilis\u00e9 pour t\u00e9l\u00e9charger les \u00e9tapes suivantes de l\u2019attaque.<\/figcaption><\/figure>\n<p>Le script PowerShell t\u00e9l\u00e9charge un fichier GIF ou un autre fichier image qui dissimule le payload du chargeur. Cette technique est connue sous le nom de <a href=\"https:\/\/attack.mitre.org\/techniques\/T1027\/003\/\" target=\"_blank\" rel=\"noopener\">st\u00e9ganographie<\/a>. Dans les infections que nous avons observ\u00e9es, les acteurs de la menace ont utilis\u00e9 cette technique pour int\u00e9grer du texte dans l\u2019image. Le texte est un fichier DLL encod\u00e9 en Base64.<\/p>\n<p>Ensuite, le script extrait les donn\u00e9es Base64 en recherchant des cha\u00eenes sp\u00e9cifiques repr\u00e9sentant le d\u00e9but et la fin du texte encod\u00e9. Dans ce cas, le script PowerShell recherche tout le texte compris entre &lt;&lt;<span style=\"font-family: 'courier new', courier, monospace;\">sudo_png<\/span>&gt;&gt; et &lt;&lt;<span style=\"font-family: 'courier new', courier, monospace;\">sudo_odt<\/span>&gt;&gt;. Ce texte est un DLL encod\u00e9. Dans d\u2019autres cas, les acteurs de la menace ont ins\u00e9r\u00e9 le texte encod\u00e9 entre diff\u00e9rents en-t\u00eates. La figure 5 montre un exemple de texte encod\u00e9 incorpor\u00e9 dans un fichier GIF \u00e0 l\u2019aide de la st\u00e9ganographie.<\/p>\n<figure id=\"attachment_162852\" aria-describedby=\"caption-attachment-162852\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162852 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-259448-162807-5.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un code informatique dans un \u00e9diteur, comportant diverses lignes de texte en blanc et gris sur un fond noir. Le texte comprend diverses syntaxes et mots-cl\u00e9s de programmation, avec une section encadr\u00e9e en rouge qui indique \u00ab\u00a0sudo png\u00a0\u00bb.\" width=\"1000\" height=\"303\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-259448-162807-5.png 1500w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-259448-162807-5-786x238.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-259448-162807-5-768x232.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162852\" class=\"wp-caption-text\">Figure 5. D\u00e9but du texte encod\u00e9 en Base64 int\u00e9gr\u00e9 dans un fichier GIF.<\/figcaption><\/figure>\n<p>Apr\u00e8s avoir extrait le texte encod\u00e9 de l\u2019image ou du fichier GIF, le script PowerShell d\u00e9code le texte et charge le DLL. Le fichier DLL charg\u00e9 est le payload du chargeur .NET que nous appelons PhantomVAI Loader.<\/p>\n<p>Le script PowerShell invoque une m\u00e9thode appel\u00e9e VAI dans PhantomVAI Loader et lui fournit plusieurs param\u00e8tres. Le premier param\u00e8tre est l\u2019URL du serveur de commande et de contr\u00f4le (C2) qui h\u00e9berge le payload final.<\/p>\n<h3><a id=\"post-162807-_dwvd86hy08wu\"><\/a>\u00c9tape 3\u00a0: Ex\u00e9cution de PhantomVAI Loader<\/h3>\n<p>PhantomVAI Loader est \u00e9crit en C#, et la m\u00e9thode VAI compte trois fonctionnalit\u00e9s principales\u00a0:<\/p>\n<ul>\n<li>Ex\u00e9cution des contr\u00f4les des machines virtuelles<\/li>\n<li>\u00c9tablissement de la persistance<\/li>\n<li>R\u00e9cup\u00e9ration du payload final<\/li>\n<\/ul>\n<h4><a id=\"post-162807-_tp3nwrkra3ic\"><\/a>D\u00e9tection des machines virtuelles<\/h4>\n<p>Lorsque PhantomVAI Loader est ex\u00e9cut\u00e9, il effectue des contr\u00f4les pour d\u00e9terminer s\u2019il s\u2019ex\u00e9cute sur une machine virtuelle, comme le montre le code ci-dessous. La partie du code relative \u00e0 la d\u00e9tection des machines virtuelles semble \u00eatre bas\u00e9e sur un projet GitHub nomm\u00e9 <a href=\"https:\/\/github.com\/robsonfelix\/VMDetector\" target=\"_blank\" rel=\"noopener\">VMDetector<\/a>. Si l\u2019une des v\u00e9rifications renvoie une r\u00e9ponse vraie, PhantomVAI Loader quitte le syst\u00e8me et cesse de s\u2019ex\u00e9cuter.<\/p>\n<pre class=\"lang:default decode:true\">Detected as a virtual machine given key computer information.\r\n\r\nDetected as a virtual machine given bios information.\r\n\r\nDetected as a virtual machine given hard disk information.\r\n\r\nDetected as a virtual machine given PnP devices information.\r\n\r\nDetected as a virtual machine given Windows services information.<\/pre>\n<h4><a id=\"post-162807-_bpt870que0mh\"><\/a>\u00c9tablir la persistance<\/h4>\n<p>PhantomVAI Loader utilise une ou toutes les m\u00e9thodes suivantes pour cr\u00e9er la persistance\u00a0:<\/p>\n<ul>\n<li>Une t\u00e2che planifi\u00e9e ex\u00e9cute des commandes PowerShell pour t\u00e9l\u00e9charger un fichier \u00e0 partir d\u2019une URL contr\u00f4l\u00e9e par l\u2019attaquant. La t\u00e2che enregistre le fichier sous un nom et une extension sp\u00e9cifiques, puis l\u2019ex\u00e9cute.<\/li>\n<li>Une t\u00e2che planifi\u00e9e ex\u00e9cute un script \u00e0 l\u2019aide de <span style=\"font-family: 'courier new', courier, monospace;\">wscript.exe<\/span>. Le chemin d\u2019acc\u00e8s \u00e0 ce script est fourni en tant que param\u00e8tre de la ligne de commande.<\/li>\n<li>Une cl\u00e9 de registre permet d\u2019ex\u00e9cuter un fichier sp\u00e9cifique. Le chemin d\u2019acc\u00e8s au fichier est \u00e9galement fourni en tant qu\u2019argument de ligne de commande.<\/li>\n<\/ul>\n<h4><a id=\"post-162807-_37sogngirbip\"><\/a>R\u00e9cup\u00e9ration du payload et de l\u2019injection<\/h4>\n<p>PhantomVAI Loader t\u00e9l\u00e9charge le payload \u00e0 partir de l\u2019URL sp\u00e9cifi\u00e9e comme param\u00e8tre de ligne de commande dans le script PowerShell de l\u2019\u00e9tape 2. Il injecte ensuite ce payload dans un processus cible \u00e9galement d\u00e9fini par un param\u00e8tre de ligne de commande, \u00e0 l\u2019aide de la technique <a href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\" rel=\"noopener\">de proc\u00e9d\u00e9 d\u2019\u00e9videment<\/a>. Le chargeur injecte le payload dans un processus situ\u00e9 dans l\u2019un de ces quatre chemins, en fonction de l\u2019argument de la ligne de commande et de l\u2019architecture du payload\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\Microsoft.NET\\Framework64\\v4.0.30319\\<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\System32\\<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\SysWOW64\\<\/span><\/li>\n<\/ul>\n<p>Dans la plupart des cas observ\u00e9s au moment de la r\u00e9daction de cet article, PhantomVAI Loader a inject\u00e9 le payload dans l\u2019ex\u00e9cutable <a href=\"https:\/\/learn.microsoft.com\/en-us\/visualstudio\/msbuild\/msbuild?view=vs-2022\" target=\"_blank\" rel=\"noopener\">Microsoft Build Engine<\/a>, <span style=\"font-family: 'courier new', courier, monospace;\">MSBuild.exe<\/span>. La figure 6 montre un exemple d\u2019une telle injection, dans le contexte de la cha\u00eene d\u2019infection.<\/p>\n<figure id=\"attachment_162863\" aria-describedby=\"caption-attachment-162863\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162863 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-262712-162807-6.png\" alt=\"Capture d\u2019\u00e9cran de l\u2019interface de Cortex\u00a0XDR montrant quatre fichiers\u00a0: msedge.exe, wscript.exe, powershell.exe et MSBuild.exe. Chaque fichier se caract\u00e9rise par une ic\u00f4ne, powershell.exe affichant un symbole d\u2019avertissement et le code d\u2019erreur associ\u00e9. Il est marqu\u00e9 au niveau du chargeur PhantomVAI charg\u00e9. \" width=\"1000\" height=\"361\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-262712-162807-6.png 1650w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-262712-162807-6-786x283.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-262712-162807-6-768x277.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-262712-162807-6-1536x554.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162863\" class=\"wp-caption-text\">Figure 6. Cha\u00eene d\u2019infection qui commence par l\u2019ouverture par l\u2019utilisateur d\u2019un e-mail utilisant <span style=\"font-family: 'courier new', courier, monospace;\">msedge.exe<\/span> (navigateur Microsoft Edge) et se termine par l\u2019injection par PhantomVAI Loader du payload dans <span style=\"font-family: 'courier new', courier, monospace;\">MSBuild.exe<\/span>.<\/figcaption><\/figure>\n<h2><a id=\"post-162807-_e9pipkvdbnvi\"><\/a>Katz Stealer\u00a0: Un nouveau stealer Malware-as-a-Service<\/h2>\n<p>PhantomVAI Loader a \u00e9volu\u00e9 pour fournir un certain nombre d\u2019infostealers. Katz Stealer \u00e9tant le moins connu et le moins document\u00e9, nous le d\u00e9taillons ici.<\/p>\n<p>Les acteurs de la menace utilisent Katz Stealer pour voler des donn\u00e9es \u00e0 partir de machines infect\u00e9es, telles que les \u00e9l\u00e9ments suivants\u00a0:<\/p>\n<ul>\n<li>Identifiants du navigateur<\/li>\n<li>Donn\u00e9es du navigateur (telles que les cookies, l\u2019historique, les donn\u00e9es de connexion)<\/li>\n<li>Portefeuilles de crypto-monnaies<\/li>\n<li>Donn\u00e9es Telegram<\/li>\n<li>Donn\u00e9es Discord<\/li>\n<li>Informations sur le syst\u00e8me d\u2019exploitation<\/li>\n<li>Donn\u00e9es de flux et de jeux<\/li>\n<li>Donn\u00e9es VPN<\/li>\n<li>Donn\u00e9es des clients FTP<\/li>\n<li>Donn\u00e9es des applications de communication et de messagerie<\/li>\n<li>Donn\u00e9es des clients de messagerie<\/li>\n<li>Captures d\u2019\u00e9cran<\/li>\n<li>Donn\u00e9es du presse-papiers<\/li>\n<\/ul>\n<p>Katz Stealer v\u00e9rifie \u00e9galement la langue de la machine et la compare \u00e0 une liste de codes pays cod\u00e9s en dur en utilisant les API suivantes\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">GetKeyboardLayout<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">GetLocaleInfoA<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">GetSystemDefaultLangID<\/span><\/li>\n<\/ul>\n<p>Les codes pays que Katz Stealer v\u00e9rifie font tous partie de la <a href=\"https:\/\/en.wikipedia.org\/wiki\/Commonwealth_of_Independent_States\" target=\"_blank\" rel=\"noopener\">Communaut\u00e9 des \u00c9tats ind\u00e9pendants (CEI)<\/a> comme le montre la figure 7. S\u2019il trouve une correspondance, Katz Stealer arr\u00eate l\u2019ex\u00e9cution. Cette v\u00e9rification de la langue et le comportement qui s\u2019ensuit pourraient fournir un indice sur l\u2019origine de l\u2019auteur du malware.<\/p>\n<figure id=\"attachment_162874\" aria-describedby=\"caption-attachment-162874\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162874 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-265534-162807-7.png\" alt=\"Capture d\u2019\u00e9cran du code avec les codes pays et leurs noms complets correspondants, y compris la Russie, la Bi\u00e9lorussie, le Kazakhstan, le Kirghizstan, le Tadjikistan, l\u2019Ouzb\u00e9kistan, l\u2019Arm\u00e9nie, l\u2019Azerba\u00efdjan et la Moldavie. Chaque entr\u00e9e est pr\u00e9c\u00e9d\u00e9e de la mention \u00ab\u00a0dq offset\u00a0\u00bb. \" width=\"700\" height=\"182\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-265534-162807-7.png 1092w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-265534-162807-7-786x204.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-265534-162807-7-768x200.png 768w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-162874\" class=\"wp-caption-text\">Figure 7. Extrait de code montrant les codes de pays que Katz Stealer v\u00e9rifie.<\/figcaption><\/figure>\n<h2><a id=\"post-162807-_2an8ryq91inv\"><\/a>Conclusion<\/h2>\n<p>Cet article pr\u00e9sente des campagnes d\u2019hame\u00e7onnage qui diffusent PhantomVAI Loader, \u00e9galement connu sous le nom de Katz Stealer Loader. Combinant l\u2019ing\u00e9nierie sociale via des e-mails d\u2019hame\u00e7onnage, des scripts obfusqu\u00e9s, la st\u00e9ganographie et un chargeur .NET, cette cha\u00eene d\u2019infection multi-\u00e9tapes met en \u00e9vidence les efforts d\u00e9ploy\u00e9s par les attaquants pour \u00e9viter d\u2019\u00eatre d\u00e9tect\u00e9s et contourner les d\u00e9fenses.<\/p>\n<p>Nos recherches mettent en \u00e9vidence l\u2019\u00e9volution de ce chargeur dans l\u2019\u00e9cosyst\u00e8me de la cybercriminalit\u00e9. Alors qu\u2019au d\u00e9part les acteurs de la menace utilisaient le chargeur uniquement pour diffuser Katz\u00a0Stealer, des observations r\u00e9centes montrent que le chargeur distribue d\u00e9sormais d\u2019autres souches de malwares, notamment AsyncRAT, XWorm, FormBook et DCRat.<\/p>\n<p>Les offres MaaS telles que Katz Stealer constituent une menace omnipr\u00e9sente qui peut avoir un impact significatif sur la s\u00e9curit\u00e9 et la vie priv\u00e9e en exposant des donn\u00e9es sensibles telles que des mots de passe, des donn\u00e9es de r\u00e9seau, des e-mails et des fichiers. Il est essentiel de comprendre les cycles d\u2019attaque et les techniques utilis\u00e9es par les acteurs de la menace pour diffuser ces payloads malveillants afin de garantir la s\u00e9curit\u00e9 de l\u2019organisation.<\/p>\n<h3><a id=\"post-162807-_lsbythhc3nz9\"><\/a>Protection et att\u00e9nuation des risques par Palo\u00a0Alto\u00a0Networks<\/h3>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es ci-dessus gr\u00e2ce aux produits et services suivants\u00a0:<\/p>\n<ul>\n<li>Les mod\u00e8les de Machine\u00a0Learning d\u2019<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a> ont \u00e9t\u00e9 mis \u00e0 jour sur la base des indicateurs de compromission (IoC) identifi\u00e9s dans cette recherche.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a> aident \u00e0 pr\u00e9venir toutes les menaces d\u00e9crites ci-dessus \u00e0 l\u2019aide du <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">moteur de pr\u00e9vention des malwares<\/a>. Cette approche combine plusieurs couches de protection, dont <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a>, la protection comportementale contre les menaces et le module Local\u00a0Analysis afin de bloquer les malwares \u2013\u00a0connus ou non\u00a0\u2013 avant qu\u2019ils ne puissent impacter les terminaux.<\/li>\n<\/ul>\n<p>La figure 8 montre deux exemples d\u2019alertes de d\u00e9tection que les e-mails de cette campagne d\u00e9clenchent dans Cortex\u00a0XDR.<\/p>\n<figure id=\"attachment_162885\" aria-describedby=\"caption-attachment-162885\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-162885 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-267733-162807-8.png\" alt=\"Deux captures d\u2019\u00e9cran des avertissements de Cortex\u00a0XDR. La capture d\u2019\u00e9cran de gauche, intitul\u00e9e \u00ab\u00a0Suspicious theme and sentiment in email\u00a0\u00bb (Th\u00e8me et sentiment suspects dans les e-mails) de XDR\u00a0Analytics, mentionne le contenu possible d\u2019un e-mail malveillant. La capture d\u2019\u00e9cran de droite, intitul\u00e9e \u00ab\u00a0Usage of homograph characters detected in an email\u00a0\u00bb (Utilisation de caract\u00e8res homographes d\u00e9tect\u00e9s dans un e-mail) provenant \u00e9galement de XDR\u00a0Analytics, signale les caract\u00e8res qui imitent l\u2019alphabet latin et qui sont susceptibles d\u2019usurper l\u2019identit\u00e9 d\u2019une marque ou d\u2019une personne bien connue.\" width=\"1000\" height=\"202\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-267733-162807-8.png 1598w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-267733-162807-8-786x158.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-267733-162807-8-768x155.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/word-image-267733-162807-8-1536x310.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-162885\" class=\"wp-caption-text\">Figure 8. D\u00e9tection des e-mails d\u2019hame\u00e7onnage contenant des th\u00e8mes suspects et des caract\u00e8res homographes.<\/figcaption><\/figure>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-162807-_vtt2kpoamyzi\"><\/a>Indicateurs de compromission<\/h2>\n<h3>Exemple de hachage SHA256 pour l\u2019archive<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">02aa167e4bb41e3e40a75954f5a0bd5915f9a16fd6c21b544a557f2a7df3c89b<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-162807-_8dekmjce64w5\"><\/a>Exemples de hachages SHA256 pour JavaScript<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e663916cc91b4285a1ee762716ff7ce4537153c7893e2d88c13c7e57bbb646a9<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45fddf55acb50df5b027701073dee604b4135f750c585b29d6dcac824f26ae00<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9f28f82d21fe99d0efdcab403f73870d68fd94e6d0f762e658d923ccd1e7424c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">05d66568017f2c2e417fa6680f9b4fa4a8a9bc1b7256fe46fbf3e71956b99773<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4346c3c08df612b8bcd23a3b57845755bafb0efc57ff77203f8da3b46628a008<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">0c0dae4d7da069c928f06addb1c5c824e820e4556a1244142f56227954bf9c7d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3a039ce210a0b5ff65f57d304519b885bae91d1bec345c54e59e07bc39fca97e<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-162807-_1rh2pnvd1ua3\"><\/a>Hachages SHA256 pour PhantomVAI Loader<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4ab4a37db01eba53ee47b31cba60c7a3771b759633717e2c7b9c75310f57f429<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9ae50e74303cb3392a5f5221815cd210af6f4ebf9632ed8c4007a12defdfa50d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">893ee952fa11f4bdc71aee3d828332f939f93722f2ec4ae6c1edc47bed598345<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b60ee1cd3a2c0ffadaad24a992c1699bcc29e2d2c73107f605264dbf5a10d9b6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6051384898e7c2e48a2ffb170d71dbf87e6410206614989a037dac7c11b8d346<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">01222c6c2dbb021275688b0965e72183876b7adb5363342d7ac49df6c3e36ebe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6f7c5bad09698592411560a236e87acae3195031646ff06a24f1cfada6774ba6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6aa2989ebb38e77a247318b5a3410b5d4f72b283c7833a0b800ea7d1de84ccc6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4c5d7e437f59b41f9f321be8c17ae1f128c04628107a36f83df21b33d12ff8db<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">639eb0d2c2da5487412e7891638b334927232ff270781fad81dc5371f44f7c8e<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">553d76d0c449377be550570e65e2bcae4371964fc3b539a1e1022d80699da5db<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a7993775f4518c6c68db08e226c11e51f9bc53314e4ff9385269baac582e2528<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7ddce5be3642b66c7559821e26877c9f0242c748da64b2e68a81844bb1a6b148<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">84e0a543df302b18f1188139160fc5a8bd669da071e492453d5d6756064ee568<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">97b76d61941b790deff9f025dec55484e32ebff32b1b6e173d6fbf42cd8996ef<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bf6a5e37097330d7d68b6ac3deb6a10a1d3269be575fd51315774d1e7e1eca34<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a62a81785714844a099a918c66df9367b5eb14df06e589d59bc81f392358c5cc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">920309f3822f993afeaa8ec70b4ef6b43dd2562be85cc2985efedc6cda2e7578<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">421c4b4b53d291da2b53c068a491b3913d92fe0eb6f330861e7b60f3d9f8eee7<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">87fae395c0e9ce3631dece94971befa578623ff0540d06539f583df921568814<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4b8bde867c06b617d731ea9e965bf64800330701942324e475b8119352122e7c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3c6a8132df3351e2b7d186d0b3f41847e6920ebcb940548e3c9ed274901104c2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">76cbb0abd9511aab2cc9dda993e3b9ab77afb09d2959f143647065ca47e725cc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ed1b4a03595c59e5a90dd4f02f1993a2c5a43ca46a33aab0d15a1bbb1f8b3d30<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c44bac8b66ad11756b4c5ff3b1cd7e1187c634088f9e7aa2250067033df24e8d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">63dfdb4927c0bca64f8952904f463330360eb052f2a2a749bf91a851a2be89b4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">373c820cc395ea5b9c6f38b9470913e6684e8afea59e9dfeb3da490014074bf1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b263df6b58c9259000e45a238327de8c07e79f2e7462c2b687c1c5771bac1dd5<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f05bc36211301087e403df09daa014ea8f04f5bdae5cef75eb866b56b82af2d6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c45d3b6d2237fc500688a73d3ba18335d0002917f1a1f09df6934c87deaa097f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fcad234dc2ad5e2d8215bcf6caac29aef62666c34564e723fa6d2eee8b6468ed<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e05b7f44ef8d0b58cfc2f407b84dcff1cb24e0ec392f792a49ad71e7eab39143<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">87c9bede1feac2e3810f3d269b4492fe0902e6303020171e561face400e9bdb4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c3de728850dc1e777ad50a211a4be212ca6c4ac9d94bf7bb6d5f7fe5f4574021<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e5daa86418ac444d590a2c693cd7749d87134c47d8e0dbac30c69f23a8e8131f<\/span><\/li>\n<\/ul>\n<h3>Hachages SHA256 pour Katz Stealer<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a6b736988246610da83ce17c2c15af189d3a3a4f82233e4fedfabdcbbde0cff0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">74052cf53b45399b31743a6c4d3a1643e125a277e4ddcfcad4f2903b32bc7dc4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">20bde6276d6355d33396d5ebfc523b4f4587f706b599573de78246811aabd33c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e345d793477abbecc2c455c8c76a925c0dfe99ec4c65b7c353e8a8c8b14da2b6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">96ada593d54949707437fa39628960b1c5d142a5b1cb371339acc8f86dbc7678<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">925e6375deaa38d978e00a73f9353a9d0df81f023ab85cf9a1dc046e403830a8<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b249814a74dff9316dc29b670e1d8ed80eb941b507e206ca0dfdc4ff033b1c1f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9b6fb4c4dd2c0fa86bffb4c64387e5a1a90adb04cb7b5f7e39352f9eae4b93fa<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d5ead682c9bed748fd13e3f9d0b7d7bacaf4af38839f2e4a35dc899ef1e261e2<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ece74382ec6f319890e24abbf8e0a022d0a4bd7e0aeaf13c20bab3a37035dcd1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2dba8e38ac557374ae8cbf28f5be0541338afba8977fbff9b732dee7cee7b43e<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">11e90765640cbb12b13afa1bcec31f96f50578a5e65e2aa7be24465001b92e41<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b2245ca7672310681caa52dc72e448983d921463c94cdab0ba9c40ad6b2a58fe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c929ee54bdd45df0fa26d0e357ba554ef01159533501ec40f003a374e1e36974<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">c0e3c93c59b45e47dda93438311f50ddb95808fd615a467285c9c359bce02cf0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">309da3c8422422089b7f9af3b1b3f89e2d5c36e48e4d9d9faa07affb7d9a7b17<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fdc86a5b3d7df37a72c3272836f743747c47bfbc538f05af9ecf78547fa2e789<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">25b1ec4d62c67bd51b43de181e0f7d1bda389345b8c290e35f93ccb444a2cf7a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">964ec70fc2fdf23f928f78c8af63ce50aff058b05787e43c034e04ea6cbe30ef<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d92bb6e47cb0a0bdbb51403528ccfe643a9329476af53b5a729f04a4d2139647<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">5dd629b610aee4ed7777e81fc5135d20f59e43b5d9cc55cdad291fcf4b9d20eb<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b912f06cf65233b9767953ccf4e60a1a7c262ae54506b311c65f411db6f70128<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2852770f459c0c6a0ecfc450b29201bd348a55fb3a7a5ecdcc9986127fdb786b<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-162807-_570cbe1pdhwx\"><\/a>Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.ibm.com\/think\/x-force\/dcrat-presence-growing-in-latin-america\" target=\"_blank\" rel=\"noopener\">La pr\u00e9sence de DCRat se d\u00e9veloppe en Am\u00e9rique latine<\/a> \u2013 IBM<\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.asyncrat\" target=\"_blank\" rel=\"noopener\">Outil d\u2019acc\u00e8s \u00e0 distance AsyncRAT<\/a> \u2013 Malpedia<\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.xworm\" target=\"_blank\" rel=\"noopener\">Malware XWorm<\/a> \u2013 Malpedia<\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.formbook\" target=\"_blank\" rel=\"noopener\">Malware FormBook<\/a> \u2013 Malpedia<\/li>\n<li><a href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.dcrat\" target=\"_blank\" rel=\"noopener\">Outil d\u2019acc\u00e8s \u00e0 distance DCRat<\/a> \u2013 Malpedia<\/li>\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/visualstudio\/msbuild\/msbuild?view=vs-2022\" target=\"_blank\" rel=\"noopener\">Microsoft Build Engine<\/a> \u2013 Microsoft Learn<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1027\/003\/\" target=\"_blank\" rel=\"noopener\">Obfuscation de fichiers ou d\u2019informations\u00a0: st\u00e9ganographie<\/a> \u2013 MITRE<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\" rel=\"noopener\">Injection de processus\u00a0: proc\u00e9d\u00e9 d\u2019\u00e9videment<\/a> \u2013 MITRE<\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1127\/001\/\" target=\"_blank\" rel=\"noopener\">Ex\u00e9cution d\u2019un proxy de d\u00e9veloppeurs de confiance\u00a0: MSBuild<\/a> \u2013 MITRE<\/li>\n<li><a href=\"https:\/\/github.com\/robsonfelix\/VMDetector\" target=\"_blank\" rel=\"noopener\">VMDetector<\/a> \u2013 robsonfelix sur GitHub<\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/homograph-attacks\/\" target=\"_blank\" rel=\"noopener\">L\u2019illusion de l\u2019h\u043em\u043egraphe\u00a0: Tout n\u2019est pas comme on le croit<\/a> \u2013 Unit\u00a042, Palo\u00a0Alto Networks<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>PhantomVAI est un nouveau chargeur utilis\u00e9 pour d\u00e9ployer plusieurs infostealers. Nous discutons de son \u00e9volution g\u00e9n\u00e9rale et de l\u2019utilisation de la st\u00e9ganographie et de scripts obfusqu\u00e9s.<\/p>\n","protected":false},"author":366,"featured_media":160752,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8787,8832],"tags":[9714,9716,9205,9713,9232,9715],"product_categories":[8979,8955,9041,9053,9064,9151],"coauthors":[4094],"class_list":["post-162807","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware-fr","category-threat-research-fr","tag-asyncrat-fr","tag-formbook-fr","tag-infostealer-fr","tag-katz-stealer","tag-powershell-fr","tag-xworm-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>PhantomVAI Loader fournit une gamme d\u2019infostealers<\/title>\n<meta name=\"description\" content=\"PhantomVAI est un nouveau chargeur utilis\u00e9 pour d\u00e9ployer plusieurs infostealers. Nous discutons de son \u00e9volution g\u00e9n\u00e9rale et de l\u2019utilisation de la st\u00e9ganographie et de scripts obfusqu\u00e9s.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"PhantomVAI Loader fournit une gamme d\u2019infostealers\" \/>\n<meta property=\"og:description\" content=\"PhantomVAI est un nouveau chargeur utilis\u00e9 pour d\u00e9ployer plusieurs infostealers. Nous discutons de son \u00e9volution g\u00e9n\u00e9rale et de l\u2019utilisation de la st\u00e9ganographie et de scripts obfusqu\u00e9s.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-10-15T18:19:29+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-10-24T18:42:29+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Tom Fakterman\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"PhantomVAI Loader fournit une gamme d\u2019infostealers","description":"PhantomVAI est un nouveau chargeur utilis\u00e9 pour d\u00e9ployer plusieurs infostealers. Nous discutons de son \u00e9volution g\u00e9n\u00e9rale et de l\u2019utilisation de la st\u00e9ganographie et de scripts obfusqu\u00e9s.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/","og_locale":"fr_FR","og_type":"article","og_title":"PhantomVAI Loader fournit une gamme d\u2019infostealers","og_description":"PhantomVAI est un nouveau chargeur utilis\u00e9 pour d\u00e9ployer plusieurs infostealers. Nous discutons de son \u00e9volution g\u00e9n\u00e9rale et de l\u2019utilisation de la st\u00e9ganographie et de scripts obfusqu\u00e9s.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/","og_site_name":"Unit 42","article_published_time":"2025-10-15T18:19:29+00:00","article_modified_time":"2025-10-24T18:42:29+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Tom Fakterman","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"PhantomVAI Loader fournit une gamme d\u2019infostealers","datePublished":"2025-10-15T18:19:29+00:00","dateModified":"2025-10-24T18:42:29+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/"},"wordCount":3368,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg","keywords":["AsyncRAT","Formbook","Infostealer","Katz Stealer","PowerShell","XWorm"],"articleSection":["Malware","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/","name":"PhantomVAI Loader fournit une gamme d\u2019infostealers","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg","datePublished":"2025-10-15T18:19:29+00:00","dateModified":"2025-10-24T18:42:29+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"PhantomVAI est un nouveau chargeur utilis\u00e9 pour d\u00e9ployer plusieurs infostealers. Nous discutons de son \u00e9volution g\u00e9n\u00e9rale et de l\u2019utilisation de la st\u00e9ganographie et de scripts obfusqu\u00e9s.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/01_Malware_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of PhantomVAI loader. Binary characters in the shape of a glowng skull set against a dark background."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/phantomvai-loader-delivers-infostealers\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"PhantomVAI Loader fournit une gamme d\u2019infostealers"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/162807","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=162807"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/162807\/revisions"}],"predecessor-version":[{"id":162907,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/162807\/revisions\/162907"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/160752"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=162807"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=162807"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=162807"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=162807"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=162807"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}