Un nouveau chargeur de logiciels malveillants en plein essor.
HP Threat Research a publié un nouveau rapport détaillant un nouveau chargeur. Les chercheurs observent de nouvelles campagnes de spam malveillant depuis fin avril 2022, distribution d'un logiciel malveillant jusqu'alors inconnu, appelé SVCReady. Le chargeur est distribué d'une manière peu commune – via shellcode caché dans les propriétés des documents Microsoft Office. D'après ce que l'équipe de recherche sur les menaces a découvert, il semble que le malware soit encore en développement, avec plusieurs mises à jour effectuées en mai.
Un aperçu du chargeur de logiciels malveillants SVCReady
Dans la campagne analysée, les attaquants ont envoyé des pièces jointes .doc par e-mail. Ces documents contiennent Visual Basic pour Applications (VBA) Macros AutoOpen nécessaires pour exécuter du code malveillant. Cependant, les documents n'utilisent pas PowerShell ou MSHTA pour télécharger d'autres charges utiles à partir du Web. Plutôt que, la macro VBA exécute le shellcode stocké dans les propriétés du document, qui supprime et exécute ensuite le logiciel malveillant SVCReady, le rapport note.
Quant au malware lui-même, il est capable de collecter des informations système, comme le nom d'utilisateur, Nom de l'ordinateur, fuseau horaire, et si la machine est jointe à un domaine. Il effectue également des requêtes auprès du registre, spécifiquement le HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystème clé, pour les détails sur le fabricant de l'ordinateur, BIOS et micrologiciel. D'autres détails collectés par SVCReady incluent des listes de processus en cours d'exécution et de logiciels installés. La collecte d'informations est effectuée via des appels d'API Windows plutôt que par le biais de l'outil de requête Windows Management Instrumentation.. Toutes les informations collectées sont au format JSON et envoyées à le serveur C2 via une requête HTTP POST.
La communication avec le serveur de commande et de contrôle se fait via HTTP, mais les données elles-mêmes sont cryptées via le chiffrement RC4. Il convient également de noter que le logiciel malveillant tente d'atteindre la persistance:
Après avoir exfiltré des informations sur le PC infecté, le logiciel malveillant essaie d'atteindre la persistance sur le système. Les auteurs du malware avaient probablement l'intention de copier la DLL du malware dans le répertoire Roaming, en lui donnant un nom unique basé sur un UUID fraîchement généré. Mais il semble qu'ils n'aient pas réussi à l'implémenter correctement car rundll32.exe est copié dans le répertoire Roaming au lieu de la DLL SVCReady.
Un logiciel malveillant de suivi également livré
Un autre logiciel malveillant est distribué en tant que charge utile de suivi après l'infection initiale – le voleur RedLine. "A cette époque, le format de communication C2 n'était pas crypté. Il se peut que cette campagne ait été un test par les opérateurs de SVCReady. Au moment de la rédaction, nous n'avons pas encore reçu d'autres charges utiles de logiciels malveillants depuis lors,»Le rapport conclut.
D'autres exemples de chargeurs de logiciels malveillants récemment découverts incluent ChromeLoader et Bourdon.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: