Une nouvelle campagne de phishing a été observée utilisant des leurres sur le thème fiscal pour fournir une charge utile furtive dans le cadre d’attaques ciblant le Pakistan.
La société de cybersécurité Securonix, qui suit l’activité sous le nom FLUX#CONSOLEa déclaré que cela commençait probablement par un lien ou une pièce jointe d’e-mail de phishing, bien qu’il ait déclaré qu’il n’avait pas pu obtenir l’e-mail d’origine utilisé pour lancer l’attaque.
“L’un des aspects les plus remarquables de la campagne est la façon dont les acteurs de la menace exploitent les fichiers MSC (Microsoft Common Console Document) pour déployer un chargeur et un dropper à double usage afin de fournir d’autres charges utiles malveillantes”, chercheurs en sécurité Den Iuzvyk et Tim Peck. dit.
Il convient de noter que l’utilisation abusive de fichiers de console de gestion sauvegardés (MSC) spécialement conçus pour exécuter du code malveillant a été baptisée GrimResource par Elastic Security Labs.
Le point de départ est un fichier avec des extensions doubles (.pdf.msc) qui se fait passer pour un fichier PDF (si le paramètre d’affichage des extensions de fichier est désactivé) et est conçu pour exécuter un code JavaScript intégré lors de son lancement à l’aide de la console de gestion Microsoft (MMC). ).
Ce code, à son tour, est responsable de la récupération et de l’affichage d’un fichier leurre, tout en chargeant également secrètement un fichier DLL (“DismCore.dll”) en arrière-plan. L’un de ces documents utilisé dans la campagne s’intitule « Réductions, remises et crédits d’impôts 2024 », qui est un document légitime associé au Conseil fédéral du revenu (FBR) du Pakistan.
“En plus de fournir la charge utile à partir d’une chaîne intégrée et obscurcie, le fichier .MSC est capable d’exécuter du code supplémentaire en s’adressant à un fichier HTML distant qui atteint également le même objectif”, ont déclaré les chercheurs, ajoutant que la persistance est établie en utilisant tâches planifiées.
La charge utile principale est une porte dérobée capable d’établir un contact avec un serveur distant et d’exécuter les commandes envoyées par celui-ci pour exfiltrer les données des systèmes compromis. Securonix a déclaré que l’attaque avait été interrompue 24 heures après l’infection initiale.
On ne sait pas encore clairement qui est à l’origine de cette campagne de malware, même si l’acteur malveillant connu sous le nom de Patchwork a déjà été observé en train d’utiliser un outil similaire. document fiscal de FBR début décembre 2023.
« Depuis le JavaScript hautement obscurci utilisé dans les étapes initiales jusqu’au code malveillant profondément dissimulé dans la DLL, l’ensemble de la chaîne d’attaque illustre la complexité de la détection et de l’analyse des codes malveillants contemporains », ont déclaré les chercheurs.
« Un autre aspect notable de cette campagne est l’exploitation des fichiers MSC comme une évolution potentielle du fichier LNK classique qui a été populaire auprès des acteurs malveillants au cours des dernières années. Comme les fichiers LNK, ils permettent également l’exécution de code malveillant tout en mélangeant dans des flux de travail administratifs Windows légitimes.