Les chercheurs ont révélé une campagne de phishing distribuée par Phorpiex utilisant des fichiers LNK malveillants pour déployer un ransomware Global Group conçu pour fonctionner entièrement hors ligne.
Les chercheurs de Forcepoint X-Labs ont identifié une vaste campagne de phishing assistée par le botnet Phorpiex qui utilise des fichiers de raccourci Windows militarisés pour déployer le ransomware Global Group sur les systèmes des victimes.
La campagne, observée fin 2024 et se poursuivant jusqu’en 2026, exploite un leurre électronique courant, avec le sujet « Votre document », pour inciter les destinataires à ouvrir une pièce jointe LNK malveillante.
« En combinant l’ingénierie sociale, l’exécution furtive et les techniques de Living-off-the-Land (LotL), le fichier (.lnk) récupère et lance silencieusement une charge utile de deuxième étape, éveillant les soupçons », ont déclaré les chercheurs de Forcepoint dans un article de blog.
Contrairement à de nombreuses opérations de ransomware modernes qui s’appuient sur une infrastructure de commande et de contrôle (C2) externe, la charge utile du Global Group s’exécute localement une fois livrée, compliquant les efforts de détection et de réponse des contrôles de sécurité traditionnels centrés sur le réseau, ont noté les chercheurs.
Fichiers LNK armés
La chaîne d’infection commence lorsqu’un utilisateur ouvre un fichier de raccourci avec une double extension, tel que « Document.doc.lnk ». Étant donné que Windows masque les extensions de fichier par défaut, le fichier apparaît à l’utilisateur comme un document légitime. L’icône de raccourci est également personnalisée pour ressembler à un fichier Microsoft Word afin de réduire davantage les soupçons.
Une fois exécuté, le fichier .lnk lance les utilitaires Windows intégrés, notamment cms.exe et PowerShell, pour récupérer et exécuter la charge utile de l’étape suivante. Puisqu’aucun exploit n’est impliqué, cette approche permet aux attaquants de contourner les contrôles de sécurité axés sur les documents malveillants ou les pièces jointes exécutables.
Forcepoint a noté que les commandes intégrées dans le raccourci sont fortement obscurcies et finissent par télécharger la charge utile du ransomware Global Group à partir de l’infrastructure contrôlée par l’attaquant. Une fois récupéré, le ransomware s’exécute immédiatement.
Phorpiex comme couche de distribution
Forcepoint a attribué la distribution des e-mails dans le cadre de cette campagne au botnet Phorpiex, également connu sous le nom de Trik. Phorpiex existe depuis plus d’une décennie et est connu pour maintenir une vaste empreinte mondiale capable de diffuser du spam à grande échelle. Dans cette campagne, les systèmes infectés au sein du botnet sont utilisés pour envoyer directement des e-mails de phishing, plutôt que de s’appuyer sur une infrastructure nouvellement enregistrée.
Le rôle du botnet semble limité à la livraison. Une fois qu’une victime exécute la pièce jointe malveillante, Phorpiex lui-même ne participe plus à la chaîne d’intrusion.
« Cette campagne démontre à quel point les familles de malwares de longue date comme Phorpiex restent très efficaces lorsqu’elles sont associées à des techniques de phishing simples mais fiables », ont déclaré les chercheurs. « En exploitant des types de fichiers familiers tels que les fichiers de raccourci Windows, les attaquants peuvent obtenir un accès initial avec un minimum de frictions, permettant une transition en douceur vers des charges utiles à fort impact comme Global Group Ransomware. »
Global Group fonctionne hors ligne
Le ransomware Global Group, la dernière charge utile de la chaîne, a été identifié par Forcepoint comme le successeur de la famille de ransomwares Mamona. Le ransomware fonctionne entièrement hors ligne. Il génère ses clés de chiffrement localement et ne nécessite pas de communication avec un serveur distant pour terminer le chiffrement des fichiers.
Selon les chercheurs, cette conception limite considérablement les possibilités de détection basées sur le réseau. « Malgré les affirmations faites dans sa demande de rançon, GLOBAL GROUP ne procède à aucune exfiltration de données et est entièrement capable de s’exécuter dans des environnements hors ligne ou isolés », ont-ils déclaré. « Cette conception uniquement hors ligne augmente également la probabilité d’échapper à la détection dans les réseaux où les efforts de surveillance reposent principalement sur l’observation du trafic suspect ou anormal. »
Pendant l’exécution, Global Group crypte les fichiers utilisateur à l’aide de l’algorithme « ChaCha20-Poly1305 » et ajoute une nouvelle extension de fichier. Il publie également une demande de rançon demandant aux victimes de contacter les attaquants via des canaux anonymes pour obtenir des instructions de paiement. Les chercheurs ont partagé une liste d’indicateurs pour soutenir les efforts de détection. « Cette tendance vers des ransomwares silencieux et autonomes souligne l’importance de donner la priorité à la surveillance du comportement des points finaux plutôt qu’à l’activité du réseau », ont-ils déclaré.
