Le Windows RAT modulaire utilise l’exécution en mémoire et le contrôle en direct de l’opérateur pour maintenir la persistance et exfiltrer les données sensibles.
Les chercheurs en sécurité de Point Wild ont dévoilé une nouvelle campagne de malware Windows qui utilise une chaîne d’infection en plusieurs étapes pour établir un accès persistant en mémoire sur les systèmes compromis et voler des données sensibles.
L’analyse a révélé que le logiciel malveillant s’appuie sur des composants Windows standard pour son exécution et sa persistance, limitant ainsi le nombre d’artefacts écrits sur le disque. L’activité, analysée par l’équipe Lat61 de la société, implique un cheval de Troie d’accès à distance modulaire basé sur .NET (Pulsar RAT) qui prend en charge le contrôle opérateur interactif en direct.
Le recours du malware à l’exécution en mémoire et aux techniques de survie limite l’efficacité des outils de détection basés sur les fichiers, ont noté les chercheurs dans un article de blog.
« Le malware présente des techniques anti-analyse avancées, notamment la détection des VM, anti-débogage et par injection de processus, ainsi qu’une collecte étendue d’informations d’identification, des capacités de surveillance et un contrôle du système à distance », ont-ils déclaré. « Les données volées sont exfiltrées sous forme d’archives ZIP via les webhooks Discord et les robots Telegram. »
Accès initial et exécution résidente en mémoire
La chaîne d’infection commence par un petit script batch qui établit la persistance via une clé d’exécution du registre par utilisateur. Plutôt que de déployer un exécutable complet, le script lance un chargeur basé sur PowerShell, réduisant ainsi la probabilité d’une détection immédiate par les outils traditionnels de sécurité des points finaux.
Ce chargeur PowerShell décode et exécute le shellcode généré à l’aide de Donut, un framework open source couramment utilisé pour la conversion. NET en shellcode indépendant de la position. Le shellcode injecte la charge utile directement dans la mémoire, évitant ainsi d’avoir à écrire un exécutable portable sur le disque.
En fonctionnant entièrement en mémoire après l’exécution initiale, le malware limite l’efficacité de l’analyse basée sur les fichiers et de l’analyse statique. Les chercheurs de Point Wild ont noté que l’attaque se fondant dans l’activité normale de Windows nécessite une télémétrie comportementale ou centrée sur la mémoire.
Une fois chargé, le malware déploie un composant .NET fortement obscurci qui sert de cadre d’exécution principal pour l’opération.
Capacités RAT et fonctionnalité de voleur
La charge utile .NET implémente un cheval de Troie d’accès à distance qui permet aux opérateurs d’interagir directement avec les systèmes compromis. Contrairement à de nombreux RAT classiques qui s’appuient sur des enregistrements périodiques, ce malware prend en charge la gestion des commandes en direct, permettant aux attaquants d’émettre des instructions et de recevoir des réponses en temps quasi réel.
Cette conception interactive permet aux opérateurs d’effectuer des reconnaissances, de manipuler des fichiers, d’exécuter des commandes et de gérer la persistance de manière dynamique en fonction de ce qu’ils observent sur l’hôte infecté.
Outre la fonctionnalité RAT, le malware inclut un composant de vol d’informations qui collecte des données système sensibles. Bien que la divulgation n’attribue pas le Stealer à une famille de logiciels malveillants spécifique, les chercheurs ont noté qu’il fonctionne en parallèle avec le RAT, permettant ainsi la poursuite de la collecte de données pendant que les opérateurs interagissent activement avec le système.
Persistance, évasion et atténuation
La persistance est maintenue grâce aux entrées d’exécution automatique basées sur le registre et renforcée par la capacité du logiciel malveillant à rétablir l’exécution en cas de perturbation. L’utilisation de l’obscurcissement dans la charge utile .NET complique encore davantage l’ingénierie inverse et ralentit l’analyse.
Point Wild a souligné que l’efficacité de la campagne découle de l’exécution disciplinée des binaires Living-off-the-land, des charges utiles en mémoire et du code géré obscurci. Ensemble, ils rendent la détection difficile.
Les chercheurs ont noté que la détection de l’activité nécessite de surveiller le comportement des processus et de la mémoire plutôt que de s’appuyer sur des indicateurs basés sur les fichiers, notamment la surveillance des exécutions suspectes de PowerShell, l’injection de shellcode dans les processus en cours d’exécution et la persistance suspecte via les clés d’exécution du registre. L’isolement rapide de l’hôte et la réponse en direct ont été soulignés pour contenir l’activité interactive et limiter le vol de données une fois qu’une compromission est suspectée.
