Une nouvelle campagne de phishing portant le nom de code MULTI#TEMPÊTE a jeté son dévolu sur l’Inde et les États-Unis en exploitant des fichiers JavaScript pour fournir des chevaux de Troie d’accès à distance sur des systèmes compromis.
« La chaîne d’attaque se termine avec la machine victime infectée par plusieurs instances uniques de logiciels malveillants RAT (cheval de Troie d’accès à distance), tels que Warzone RAT et Quasar RAT », ont déclaré les chercheurs de Securonix, Den Iuzvyk, Tim Peck et Oleg Kolesnikov. a dit.
« Les deux sont utilisés pour le commandement et le contrôle à différentes étapes de la chaîne d’infection. »
La chaîne d’attaque en plusieurs étapes commence lorsqu’un destinataire d’e-mail clique sur le lien intégré pointant vers un fichier ZIP protégé par mot de passe (« REQUEST.zip ») hébergé sur Microsoft OneDrive avec le mot de passe « 12345 ».
L’extraction du fichier d’archive révèle un fichier JavaScript fortement obscurci (« REQUEST.js ») qui, lorsqu’il est double-cliqué, active l’infection en exécutant deux commandes PowerShell chargées de récupérer deux charges utiles distinctes de OneDrive et de les exécuter.
Le premier des deux fichiers est un document PDF leurre qui est affiché à la victime tandis que le second fichier, un exécutable basé sur Python, est exécuté furtivement en arrière-plan.
Le binaire agit comme un compte-gouttes pour extraire et exécuter la charge utile principale emballée à l’intérieur sous la forme de chaînes encodées en Base64 (« Storm.exe »), mais pas avant de configurer la persistance via la modification du registre Windows.
Également décodé par le binaire se trouve un deuxième fichier ZIP (« files.zip ») qui contient quatre fichiers différents, chacun étant conçu pour contourner le contrôle de compte d’utilisateur (UAC) et élever les privilèges en créant des répertoires de confiance factices.
Parmi les fichiers se trouve un fichier batch (« check.bat ») qui, selon Securonix, partage plusieurs points communs avec un autre chargeur appelé DBatLoader malgré la différence de langage de programmation utilisé.
Un deuxième fichier nommé « KDECO.bat » exécute une commande PowerShell pour demander à Microsoft Defender d’ajouter un règle d’exclusion antivirus pour ignorer le répertoire « C:Users ».
L’attaque culmine avec le déploiement de Warzone RAT (alias Ave Maria), un malware prêt à l’emploi qui est disponible à la vente pour 38 $ par mois et est livré avec une liste exhaustive de fonctionnalités pour récolter des données sensibles et télécharger des logiciels malveillants supplémentaires tels que Quasar RAT .
« Il est important de rester extrêmement vigilant en ce qui concerne les e-mails de phishing, en particulier lorsqu’un sentiment d’urgence est souligné », ont déclaré les chercheurs.
« Ce leurre particulier était généralement banal car il obligerait l’utilisateur à exécuter directement un fichier JavaScript. Les fichiers de raccourcis ou les fichiers utilisant des doubles extensions auraient probablement un taux de réussite plus élevé. »