De faux fichiers TTF diffusent des logiciels malveillants furtifs lors d’une campagne mondiale de phishing

Lucas Morel

Les attaquants ont été découverts en utilisant un chargeur de malware basé sur Lua se faisant passer pour une tuile de police TrueType, avec une obfuscation en couches et une exécution sans fichier pour déployer des voleurs et des chevaux de Troie persistants.

Les acteurs malveillants abusent désormais d’un fichier de police ordinaire pour diffuser des logiciels malveillants à faible détection, capables de voler des informations d’identification et d’établir la persistance sur les systèmes Windows compromis.

Selon une nouvelle étude des FortiGuard Labs de Fortinet, une campagne mondiale de phishing utilise activement du JavaScript fortement obscurci et un chargeur basé sur Lua se faisant passer pour un fichier TrueType Font (TTF) pour échapper à la sécurité et supprimer les RAT et les voleurs d’informations.

Un fichier TTF est un fichier de police standard utilisé par les systèmes d’exploitation et les applications pour afficher du texte.

La campagne déploie des familles de logiciels malveillants telles que Agent Tesla, Remcos, XWorm et une variante de Snake Keylogger connue sous le nom de Best Private LOGGER, depuis au moins fin mars 2026. « Dans ces attaques, l’acteur malveillant se fait passer pour plusieurs entreprises bien connues, utilisant le couvert d’une coopération commerciale pour lancer des attaques de phishing », ont déclaré les chercheurs de FortiGuard dans un article de blog.

Shane Barney, RSSI chez Keeper Security, explique qu’une nouvelle technique d’attaque semble encore s’appuyer sur des astuces de phishing classiques : « L’évasion technique la plus sophistiquée au monde commence toujours de la même manière : quelqu’un ouvre un e-mail provenant de ce qui semble être une entreprise de confiance et agit en conséquence. »

« Les couches d’obscurcissement, le chargeur Lua déguisé en fichier de polices, la chaîne d’exécution sans fichier – tout cela existe pour survivre à la détection une fois que la décision humaine a déjà été prise, et les organisations feraient bien de garder cela à l’esprit », a-t-il ajouté.

Leurres de phishing sur le thème des entreprises et des paiements utilisés

Selon les chercheurs, les victimes reçoivent des courriels de phishing usurpant l’identité d’entreprises connues et utilisant des thèmes de collaboration commerciale ou liés au paiement pour inciter les destinataires à ouvrir des archives compressées. Ces archives contiennent le JScript obscurci qui établit la persistance avant de supprimer un exécutable Autolt légitime ou un interpréteur LuaJIT, ainsi qu’un script malveillant intégré dans une extension .ttf.

Le faux fichier de police fonctionne comme un chargeur basé sur Lua qui exécute plusieurs étapes de désobscurcissement avant de décrypter et d’exécuter le shellcode directement en mémoire.

« Les contrôles de sécurité ne peuvent pas traiter une extension de fichier comme une preuve du type ou de l’intention du fichier », a déclaré Jason Soroko, chercheur principal chez Sectigo. « Chaque composant (de la campagne) peut paraître moins suspect lorsqu’il est examiné seul, tandis que la séquence combinée conduit à l’exécution en mémoire de RAT et d’infostealers. »

Certaines des nouvelles variantes, ont souligné les chercheurs, deviennent plus sophistiquées en introduisant le cryptage de shellcode segmenté, le décryptage d’exécution basé sur le gestionnaire d’exceptions vectorielles (VEH), les contournements AMSI et ETW, le décrochage d’API et d’autres techniques anti-analyse conçues pour échapper aux défenses des points finaux.

La charge utile finale du malware est fournie à l’aide du shellcode Donut, permettant une exécution sans écrire la charge utile sur le disque.

La protection nécessite des mesures d’atténuation ciblées et une hygiène de sécurité régulière

Les conclusions de Fortinet confirment que le but ultime des attaquants est de voler des identifiants et de maintenir un accès à long terme. Les familles de malwares observées, notamment Agent Tesla, Remcos, XWorm et Best Private LOGGER, se concentrent toutes sur le vol d’identifiants, la surveillance ou l’accès à distance.

Barney a déclaré que les organisations devraient éviter de se concentrer exclusivement sur la sophistication technique du chargeur et plutôt renforcer les systèmes que les attaquants veulent finalement compromettre.

Selon lui, les contrôles d’identité et d’accès sont ce qui compte, car la détection basée sur les signatures échoue souvent face à la sophistication des chargeurs de ce niveau. « Limiter ce qu’un ensemble donné d’informations d’identification peut atteindre, appliquer le moindre privilège, exiger une ré-authentification pour les systèmes sensibles et surveiller le comportement anormal des sessions n’empêchera pas chaque e-mail de phishing d’atterrir, mais cela limitera considérablement ce qu’un attaquant peut accomplir une fois qu’il a réussi », a-t-il expliqué.

Soroko recommande en revanche de concentrer les contrôles sur les indicateurs techniques. Il a exhorté les organisations à restreindre Windows Script Host, Autolt et LauJIT là où ils ne sont pas nécessaires sur le plan opérationnel, à surveiller les comportements tels que l’injection de processus, l’allocation de mémoire à distance et l’exécution de shellcode, et à utiliser les indicateurs publiés par Fortinet pour la chasse aux menaces.

Les indicateurs de compromission (IOC) partagés par Fortinet incluent les adresses de commande et de contrôle (C2), les hachages de fichiers et les noms de fichiers.

Soroko a mis en garde contre le fait de s’appuyer uniquement sur les hachages ou l’infrastructure C2, car le chargeur a changé au fil du temps. « L’approche la plus efficace consiste à détecter le comportement stable d’une version à l’autre, puis à tester les contrôles sur l’ensemble de la chaîne », a-t-il déclaré.

Logiciel malveillantSécuritéPhishing