14 mars 2025Ravie LakshmananIntelligence de menace / logiciels malveillants

Une nouvelle campagne de logiciels malveillants a été observée en tirant parti des tactiques d’ingénierie sociale pour fournir un rootkit open source appelé R77.

L’activité, condamnée Obscur # batte Par Securonix, permet aux acteurs de la menace d’établir de la persistance et d’échapper à la détection sur les systèmes compromis. On ne sait actuellement pas qui est derrière la campagne.

Le rootkit “a la possibilité de cntourer ou de masquer n’importe quel fichier, clé de registre ou tâche commençant par un préfixe spécifique”, chercheurs de sécurité den iuzvyk et Tim Peck dit Dans un rapport partagé avec le Hacker News. “Il a ciblé les utilisateurs en se faisant passer pour des téléchargements de logiciels légitimes ou via de fausses escroqueries en génie social CAPTCHA.”

La campagne est conçue pour cibler principalement les individus anglophones, en particulier les États-Unis, le Canada, l’Allemagne et le Royaume-Uni.

Cybersécurité

Obscure # BAT tire son nom du fait que le point de départ de l’attaque est un script de lot Windows obscurcissant qui, à son tour, exécute des commandes PowerShell pour activer un processus en plusieurs étapes qui culmine dans le déploiement du rootkit.

Au moins deux voies d’accès initiales différentes ont été identifiées pour amener les utilisateurs à exécuter les scripts de lots malveillants: celui qui utilise la infâme stratégie ClickFix en dirigeant les utilisateurs vers une fausse page de vérification CAPTCHA CloudFlare et une deuxième méthode qui utilise la publicité des logiciels malveillants comme des outils légitimes comme le navigateur Tor Tor, le logiciel VoIP et les clients de messagerie.

Bien qu’il ne soit pas clair comment les utilisateurs sont attirés par le logiciel piégé, il est soupçonné d’impliquer des approches éprouvées comme le malvertising ou l’empoisonnement d’optimisation des moteurs de recherche (SEO).

Quelle que soit la méthode utilisée, la charge utile en première étape est une archive contenant le script de lot, qui invoque ensuite les commandes PowerShell pour supprimer des scripts supplémentaires, effectuer des modifications du registre Windows et configurer des tâches planifiées pour la persistance.

“Les magasins de logiciels malveillants obscurcissent les scripts dans le registre Windows et assure l’exécution via des tâches planifiées, ce qui lui permet de s’exécuter furtivement en arrière-plan”, ont déclaré les chercheurs. “De plus, il modifie les clés de registre système pour enregistrer un faux pilote (ACPIX86.SYS), s’intégrant davantage dans le système.”

MALWORIAL OBSCURE # BAT

La charge utile .NET est déployée au cours de l’attaque. Cela comprend l’obscurcissement du flux de contrôle, le chiffrement des chaînes et l’utilisation de noms de fonctions qui mélangent les caractères arabes, chinois et spéciaux.

Une autre charge utile chargée au moyen de PowerShell est un exécutable qui utilise l’interface de numérisation anti-anti-logiciels (Amsi) Patchage pour contourner les détections d’antivirus.

La charge utile .NET est finalement responsable de la suppression d’un rootkit en mode système nommé “ACPIX86.SYS” dans le dossier “C: Windows System32 ” “, qui est ensuite lancé en tant que service. Rootkit en mode utilisateur est également livré appelé ROOTKIT pour la configuration de la persistance sur l’hôte et de la cachette de fichiers, de processus et de clés de registre correspondant au modèle ($ nya-).

Le malware surveille périodiquement périodiquement pour l’activité du presse-papiers et l’historique des commandes et les enregistre dans des fichiers cachés pour une exfiltration probable.

Cybersécurité

“Obscure # BAT démontre une chaîne d’attaque très évasive, tirant parti de l’obscurcissement, des techniques furtives et du connexion des API pour persister sur des systèmes compromis tout en évitant la détection”, ont déclaré les chercheurs.

“De l’exécution initiale du script de lot obscurci (install.bat) à la création de tâches planifiées et de scripts stockés par le registre, le malware assure la persistance même après les redémarrages.

Les résultats viennent comme cofense détaillé Une campagne d’usurpation de Microsoft Copilot qui utilise des e-mails de phishing pour amener les utilisateurs à une fausse page de destination pour l’assistant d’intelligence artificielle (AI) qui est conçu pour récolter les informations d’identification des utilisateurs et les codes d’authentification à deux facteurs (2FA).

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57