Le cheval de Troie d’accès à distance open source connu sous le nom de Quasar RAT a été observé en utilisant le chargement latéral de DLL pour passer inaperçu et siphonner furtivement les données des hôtes Windows compromis.
« Cette technique capitalise sur la confiance inhérente à ces fichiers dans l’environnement Windows », ont déclaré Tejaswini Sandapolla et Karthickkumar Kathiresan, chercheurs d’Uptycs. dit dans un rapport publié la semaine dernière, détaillant la dépendance du malware à l’égard de ctfmon.exe et calc.exe dans le cadre de la chaîne d’attaque.
Également connu sous les noms de CinaRAT ou Yggdrasil, Quasar RAT est un outil d’administration à distance basé sur C# capable de collecter des informations système, une liste d’applications en cours d’exécution, des fichiers, des frappes au clavier, des captures d’écran et d’exécuter des commandes shell arbitraires.
Le chargement latéral des DLL est un populaire technique adopté par de nombreux acteurs menaçants pour exécuter leurs propres charges utiles en plantant un fichier DLL usurpé avec un nom qu’un exécutable inoffensif est connu pour rechercher.
« Les adversaires utilisent probablement le chargement latéral comme moyen de masquer les actions qu’ils effectuent dans le cadre d’un système ou d’un processus logiciel légitime, fiable et potentiellement élevé », MITRE Remarques dans son explication de la méthode d’attaque.
Le point de départ de l’attaque documentée par Uptycs est un fichier image ISO contenant trois fichiers : un binaire légitime nommé ctfmon.exe renommé eBill-997358806.exe, un fichier MsCtfMonitor.dll renommé Monitor.ini et un fichier malveillant. MsCtfMonitor.dll.
« Lorsque le fichier binaire ‘eBill-997358806.exe’ est exécuté, il lance le chargement d’un fichier intitulé ‘MsCtfMonitor.dll’ (nom masqué) via une technique de chargement latéral de DLL, dans lequel le code malveillant est dissimulé », ont déclaré les chercheurs. .
Le code caché est un autre exécutable « FileDownloader.exe » injecté dans Regasm.exel’outil d’enregistrement de l’assembly Windows, afin de lancer l’étape suivante, un fichier calc.exe authentique qui charge à nouveau le fichier Secure32.dll malveillant via le chargement latéral de la DLL et lance la charge utile finale Quasar RAT.
Le cheval de Troie, quant à lui, établit des connexions avec un serveur distant pour envoyer des informations système et met même en place un proxy inverse pour l’accès à distance au point final.
L’identité de l’auteur de la menace et le vecteur d’accès initial exact utilisé pour mener à bien l’attaque ne sont pas clairs, mais ils sont susceptibles d’être diffusés au moyen d’e-mails de phishing, ce qui rend impératif que les utilisateurs soient sur leurs gardes face aux e-mails, liens ou pièces jointes douteux. .