Nous avons détecté un nouveau malware permettant le contrôle à distance des PC Windows

Une nouvelle campagne de malware, identifiée comme **SHADOW#REACTOR**, installe un **cheval de Troie d'accès à distance** (RAT) appelé **Remcos**, permettant aux **cybercriminels** de contrôler les appareils infectés. L'attaque utilise des techniques d'ingénierie sociale, y compris des e-mails et des messages frauduleux, pour tromper les victimes.

L'auteur du rapport, la société de sécurité **Securonix**, révèle que l'intrusion commence lorsque la victime clique sur un lien malveillant. Cela déclenche un script **Visual Basic** obscurci nommé "win64.vbs", qui est exécuté via le programme légitime **wscript.exe** de Windows. Cette première étape prépare le système pour les étapes futures de l'attaque.

Après l'exécution du script VBS, un code **PowerShell** codé en **Base64** est téléchargé. Ce codage est une technique visant à rendre l'analyse du code malveillant plus difficile.

Le script PowerShell établit une communication avec un serveur distant contrôlé par les attaquants, utilisant la bibliothèque **System.Net.WebClient**. Ensuite, des fichiers texte, qui semblent inoffensifs et sont nommés "qpwoe64.txt" ou "qpwoe32.txt", sont téléchargés et enregistrés dans le répertoire temporaire de Windows. La nomenclature du fichier dépend si le système d'exploitation est de 64 ou 32 bits.

Techniques Avancées Rendent la Détection Difficile

Cette attaque se distingue par un strict **mécanisme de vérification** et d'auto-correction. Après le téléchargement des fichiers texte, le script entre dans une **boucle** qui vérifie la présence du fichier et s'il a la taille minimale attendue.

Si le fichier est absent ou incomplet, le malware suspend l'exécution et tente de le télécharger à nouveau. Même avec le temps limite dépassé, le processus continue, évitant les échecs lors de l'infection initiale, ce qui démontre une planification sophistiquée.

Lorsque les critères sont satisfaits, le processus progresse avec la création d'un second script PowerShell appelé "jdywa.ps1", également dans le répertoire temporaire.

Ce script invoque un **chargeur** protégé par l'outil **.NET Reactor**, une solution commerciale qui obfusque le code pour compliquer son analyse.

Quand des Outils Légitimes De deviennent des Armes

Le chargeur exécute des fonctions critiques, comme établir une persistance dans le système et récupérer la prochaine phase du malware, tout en mettant en œuvre des vérifications pour éviter la détection par des outils de sécurité.

À la phase finale de l'attaque, les cybercriminels utilisent une technique appelée **"living-off-the-land"**. Cela signifie qu'ils tirent parti des outils légitimes du système d'exploitation pour réaliser des activités malveillantes.

Dans ce cas, le **MSBuild.exe** - un outil de **Microsoft** utilisé pour compiler des applications - est utilisé pour lancer le Remcos RAT sur l'ordinateur de la victime. De plus, des scripts supplémentaires sont programmés pour réactiver le script VBS, garantissant que le malware reste opérationnel, même si certains composants sont désactivés. Les chercheurs estiment que cette campagne est étendue, visant principalement les **environnements d'entreprise** et les **petites et moyennes entreprises**.

La technique utilisée est préoccupante, car elle correspond à l'opération de **brokers d'accès initial**, qui compromettent les systèmes et vendent ensuite l'accès à d'autres groupes cybercriminels, afin qu'ils réalisent des attaques plus complexes, telles que du **ransomware** ou du **vol de données**.

L'aspect innovant de cette campagne est l'utilisation de **stades intermédiaires** basés sur du texte brut, en plus de la reconstruction dynamique de code malveillant dans la mémoire de l'ordinateur, utilisant PowerShell et un chargeur protégé.

Cette structure a été méticuleusement planifiée pour rendre la détection par les antivirus et l'analyse par des experts en sécurité difficile. Le design modulaire et bien entretenu suggère qu'il s'agit d'une opération professionnelle avec des ressources significatives.

Comment se Protéger

La Securonix recommande plusieurs mesures pour éviter d'être affecté par des attaques comme celle-ci :

• Accroître la sensibilisation des utilisateurs sur les menaces impliquant des scripts ;
• Former les employés sur les risques d'exécution de scripts téléchargés et alerter sur des fichiers inattendus ;
• Restreindre ou surveiller l'exécution de scripts VBS, JS et PowerShell, en particulier ceux de répertoires écrits par l'utilisateur ;
• S'assurer que les solutions de **Endpoint Detection and Response** (EDR) puissent détecter des comportements suspects des interpréteurs de scripts ;
• Activer le **logging** amélioré de PowerShell pour identifier les activités suspectes ;
• Vérifier l'utilisation inappropriée de binaires de confiance, surtout lorsqu'ils sont exécutés dans des contextes non habituels ;
• Surveiller les raccourcis suspects et les tâches planifiées susceptibles de compromettre le système.

Ces pratiques sont essentielles pour renforcer la sécurité et atténuer les attaques potentielles.

Suivez nos mises à jour pour plus d'informations sur la sécurité et la technologie en utilisant nos réseaux sociaux et en vous inscrivant à nos newsletters.