La chaîne d’attaque s’appuie sur une exécution retardée, des utilitaires Windows fiables et des services d’hébergement légitimes pour maintenir la persistance et échapper à la détection.
Microsoft avertit les utilisateurs de WhatsApp d’une nouvelle campagne de logiciels malveillants qui les incite à exécuter des fichiers Visual Basic Script (VBS) malveillants, permettant ainsi la persistance et l’accès à distance.
Dans un rapport du 31 mars, les experts de Microsoft Defender ont déclaré que les attaquants distribuaient des fichiers Visual Basic Script (VBS) malveillants via WhatsApp depuis au moins fin février, en s’appuyant sur l’ingénierie sociale pour les exécuter.
Une fois lancés, les scripts exécutent un malware retardé, déclenchant d’abord un flux d’infection en plusieurs étapes conçu pour se fondre dans l’activité normale du système tout en travaillant en arrière-plan pour extraire des charges utiles supplémentaires pour le contrôle à distance. « La campagne repose sur une combinaison de techniques d’ingénierie sociale et de vie à l’extérieur de la terre (LOTL) », ont écrit les chercheurs de Microsoft dans le rapport. « En combinant des plateformes fiables avec des outils légitimes, l’auteur de la menace réduit sa visibilité et augmente les chances de réussite de son exécution. »
La campagne installe finalement des packages Microsoft Installer (MSI) malveillants pour garder le contrôle des appareils infectés.
La campagne déploie une chaîne d’infection LOTL
L’attaque commence par un message WhatsApp contenant un fichier VBS. Une fois exécuté, le script crée des répertoires cachés sur le système et commence à organiser les prochaines étapes de la compromission.
Cependant, plutôt que d’abandonner immédiatement le malware personnalisé, la campagne s’oriente vers des techniques de survie. La charge utile VBS déploie des versions renommées d’utilitaires Windows légitimes, tels que curl.exe et bitsadmin.exe, déguisés sous des noms de fichiers trompeurs pour échapper à une inspection occasionnelle.
Ces binaires conservent leurs métadonnées d’origine, mais leurs noms modifiés leur permettent de se fondre dans l’environnement tout en effectuant des tâches malveillantes comme le téléchargement de charges utiles supplémentaires. « Microsoft Defender et d’autres solutions de sécurité peuvent exploiter cette divergence de métadonnées comme signal de détection, signalant les cas où le nom d’un fichier ne correspond pas à son OriginalFileName intégré », ajoute le rapport.
Les chercheurs ont noté que même la récupération des charges utiles s’effectue à partir de sources d’hébergement légitimes. Les attaquants hébergent des composants sur des plateformes cloud bien connues, notamment AWS, Tencent Cloud et Blackblaze B2. L’utilisation de ces outils fiables, d’une infrastructure fiable et d’une exécution par étapes a été signalée comme une raison pour laquelle il s’agit d’une voie d’attaque fiable et à faible bruit.
MSI comme véhicule de porte dérobée pour la persévérance
Les dernières étapes de la campagne mènent à la persistance, en utilisant les packages Microsoft Installer (MSI) comme mécanisme de livraison des portes dérobées.
Les fichiers MSI constituent un choix efficace car ils ne sont généralement pas traités comme intrinsèquement suspects et peuvent exécuter des actions personnalisées lors de l’installation. Dans cette campagne, ils sont utilisés pour déployer des logiciels malveillants qui maintiennent l’accès, élèvent les privilèges et permettent le contrôle à distance des systèmes infectés.
Au moment où le composant MSI est installé, les attaquants ont déjà pris pied à l’aide de scripts et d’outils système, faisant de la porte dérobée une seule couche dans une stratégie de persistance plus large trouvée par Microsoft. Les premières étapes garantissent la préparation de l’environnement, tandis que l’installateur formalise l’accès à long terme.
Microsoft a également noté que la campagne intègre une élévation de privilèges pour renforcer la persistance, permettant aux logiciels malveillants de s’exécuter avec des privilèges élevés et de maintenir l’accès au-delà de la compromission initiale au niveau de l’utilisateur. Les recommandations comprenaient la surveillance des scripts et de l’exécution des programmes d’installation, la surveillance de l’utilisation abusive d’outils légitimes et le suivi des activités suspectes liées aux fichiers transmis via des plateformes telles que WhatsApp.
