Les experts mettent en garde contre le déguisement furtif de la porte dérobée PowerShell en tant que mise à jour Windows


Des détails sont apparus sur une porte dérobée PowerShell précédemment non documentée et totalement indétectable (FUD) qui gagne en discrétion en se déguisant dans le cadre d’un processus de mise à jour Windows.

“L’outil secret auto-développé et les commandes C2 associées semblent être l’œuvre d’un acteur de menace sophistiqué et inconnu qui a ciblé environ 100 victimes”, a déclaré Tomer Bar, directeur de la recherche sur la sécurité chez SafeBreach, a dit dans un nouveau rapport.

Attribué à un acteur de menace anonymeles chaînes d’attaque impliquant le logiciel malveillant commencent par un Document Microsoft Word qui, selon la société, a été téléchargé depuis la Jordanie le 25 août 2022.

La cyber-sécurité

Les métadonnées associées au document leurre indiquent que le vecteur d’intrusion initial est une attaque de harponnage basée sur LinkedIn, qui conduit finalement à l’exécution d’un script PowerShell via un morceau de code macro intégré.

Porte dérobée PowerShell

Le script PowerShell (Script1.ps1) est conçu pour se connecter à un serveur de commande et de contrôle (C2) distant et récupérer une commande à lancer sur la machine compromise au moyen d’un second script PowerShell (temp.ps1).

Mais une erreur de sécurité opérationnelle commise par l’acteur en utilisant un identifiant incrémental trivial pour identifier de manière unique chaque victime (c’est-à-dire 0, 1, 2, etc.) a permis de reconstituer les commandes émises par le serveur C2.

La cyber-sécurité

Certaines des commandes notables émises consistent à exfiltrer la liste des processus en cours d’exécution, à énumérer les fichiers dans des dossiers spécifiques, à lancer whoami et à supprimer des fichiers sous les dossiers publics des utilisateurs.

Au moment de la rédaction, 32 fournisseurs de sécurité et 18 moteurs anti-malware signalent respectivement le document leurre et les scripts PowerShell comme malveillants.

Les résultats surviennent alors que Microsoft a pris des mesures pour bloquer les macros Excel 4.0 (XLM ou XL4) et Visual Basic pour Applications (VBA) par défaut dans les applications Office, incitant les acteurs de la menace à se tourner vers des méthodes de livraison alternatives.



ttn-fr-57