Une nouvelle vague de campagnes de phishing a été observée propageant un logiciel malveillant précédemment documenté appelé SVCReady.
« Le logiciel malveillant se distingue par la manière inhabituelle dont il est transmis aux PC cibles – en utilisant un shellcode caché dans les propriétés des documents Microsoft Office », a déclaré Patrick Schläpfer, analyste des menaces chez HP. a dit dans une rédaction technique.
SVCReady en serait à ses débuts de développement, les auteurs ayant mis à jour le malware de manière itérative plusieurs fois le mois dernier. Les premiers signes d’activité remontent au 22 avril 2022.
Les chaînes d’infection impliquent l’envoi de pièces jointes de documents Microsoft Word à des cibles par e-mail contenant des macros VBA pour activer le déploiement de charges utiles malveillantes.
Mais là où cette campagne se démarque, c’est qu’au lieu d’utiliser PowerShell ou MSHTA pour récupérer les exécutables de la prochaine étape à partir d’un serveur distant, la macro exécute le shellcode stocké dans le propriétés du documentqui supprime ensuite le logiciel malveillant SVCReady.
En plus d’assurer la persistance sur l’hôte infecté au moyen d’une tâche planifiée, le logiciel malveillant a la capacité de collecter des informations système, de capturer des captures d’écran, d’exécuter des commandes shell, ainsi que de télécharger et d’exécuter des fichiers arbitraires.
Cela comprenait également la livraison de RedLine Stealer en tant que charge utile de suivi dans une instance le 26 avril après qu’une machine ait été initialement compromise avec SVCReady.
HP a déclaré avoir identifié des chevauchements entre les noms de fichiers des documents de leurre et les images contenues dans les fichiers utilisés pour distribuer SVCReady et ceux employés par un autre groupe appelé TA551 (alias Hive0106 ou Shathak), mais il n’est pas immédiatement clair si le même acteur de la menace est derrière la dernière campagne.
« Il est possible que nous voyions les artefacts laissés par deux attaquants différents qui utilisent les mêmes outils », a noté Schläpfer. « Cependant, nos résultats montrent que des modèles similaires et potentiellement des générateurs de documents sont utilisés par les acteurs derrière les campagnes TA551 et SVCReady. »