La campagne exploite une vulnérabilité d’Office pour fournir le RAT modulaire XWorm, enchaînant l’exécution HTA, PowerShell et .NET en mémoire pour contourner la détection et étendre le contrôle post-compromis.
Les chercheurs de Fortinet ont révélé une nouvelle campagne de phishing délivrant le malware XWorm disponible dans le commerce, enchaînant une vulnérabilité de Microsoft Office vieille de plusieurs années avec une exécution sans fichier pour échapper à la détection.
La campagne, qui utilise des e-mails de phishing multithématiques et un complément Excel malveillant, déploie finalement le cheval de Troie d’accès à distance (RAT) modulaire capable de commande et de contrôle cryptés (C2) et d’expansion basée sur des plugins.
« Cette campagne est frappante par son caractère ordinaire », a déclaré Shane Barney, responsable de la sécurité de l’information chez Keeper Security. « Il n’y a pas de technique révolutionnaire ici. Il s’agit d’une chaîne d’exécution propre construite à partir de composants que nous avons tous vus auparavant. La sophistication ne réside pas dans la nouveauté, mais dans l’assemblage. »
Les attaquants ont utilisé un e-mail de phishing contenant un complément Excel malveillant qui exploite CVE-2018-0802, une faille de corruption de mémoire dans Office corrigée en 2018. L’attaque se poursuit ensuite avec une exécution basée sur HTA et PowerShell pour charger des composants supplémentaires de l’attaque.
Les attaquants ont utilisé un point d’entrée familier
Selon un article du blog Fortinet, la campagne s’appuie sur des leurres de phishing à caractère professionnel et sur la vulnérabilité d’exécution de code à distance dans l’éditeur d’équations Microsoft que les défenseurs connaissent depuis des années. Fortinet a noté que le succès continu de CVE-2018-0802 suggère que la correction des lacunes reste une surface d’attaque viable.
Jason Soroko, chercheur principal chez Sectigo, a déclaré que l’association du phishing de routine avec l’artisanat back-end moderne est ce qui rend la campagne remarquable.
« Ce qui ressort ici, c’est à quel point le front-end est « ancien » et « routinier », et à quel point le back-end reste moderne », a-t-il déclaré. « Le leurre est un prétexte commercial familier et un complément Excel malveillant, mais le véritable signal est la confiance de l’attaquant dans le fait que les anciens chemins d’exploitation d’Office sont toujours convertis à grande échelle. La pièce jointe abuse du CVE-2018-0802, puis pivote rapidement vers HTA plus PowerShell pour éviter le gros du travail sur le disque. »
Les chercheurs de Fortinet ont ajouté que les privilèges de code à distance obtenus grâce au CVE-2018-0802 permettent en outre l’exécution de composants HTA et PowerShell, conservant ainsi une grande partie de l’activité hors disque. « Cette combinaison rappelle que l’hygiène des correctifs et la politique d’exécution des macros ou des scripts font encore plus de travail réel que la plupart des organisations ne veulent l’admettre », a ajouté Soroko.
Étape .NET sans fichier et noyau XWorm modulaire
Au-delà de l’accès initial, Fortinet a observé une étape .NET sans fichier chargée directement en mémoire, suivie d’un processus creusé dans msbuild.exe, un outil de build Microsoft légitime capable d’exécuter du code .NET. Le choix de msbuild.exe s’aligne sur les exigences d’exécution du logiciel malveillant tout en l’aidant à se fondre dans l’activité normale du système.
« Une étape .NET sans fichier chargée en mémoire, suivie d’un processus creusé dans msbuild.exe, est un mouvement de « mélange » propre qui exploite un binaire légitime compatible .NET et complique l’attribution pour des détections simplistes », a déclaré Soroko. « La justification de Fortinet pour msbuild.exe est particulièrement utile pour les défenseurs car elle lie le choix de LOLBin aux besoins d’exécution .NET du malware, et pas seulement au masquage générique. »
Une fois actif, XWorm communique avec son C2 à l’aide d’un paquet crypté AES, qui prend en charge un large écosystème de plugins. Cette modularité, ont noté les chercheurs, étend ses capacités au-delà de l’accès à distance, permettant le vol d’informations d’identification, l’exfiltration de données, la perturbation et les voies de modernisation en fonction des souhaits de l’opérateur.
Fortinet a déclaré que XWorm prend en charge un large éventail de commandes opérateur, notamment le contrôle du système (FERMER, désinstallation, mise à jour), le téléchargement et l’exécution de fichiers (DW, LN), le chargement de plugins, la capture d’écran ($Cap), la récupération du keylogger, le contrôle DDoS et les fonctions d’arrêt ou de redémarrage. La divulgation répertorie également des indicateurs de compromission liés à la campagne, notamment les URL de phishing et les domaines utilisés pour héberger les fichiers HTA et de chargement, le serveur C2, les hachages de fichiers pour la pièce jointe Excel malveillante et la charge utile finale de XWorm.
Barney a souligné que le risque plus large dépend moins de l’étiquette du logiciel malveillant que des contrôles post-compromission. « Des campagnes comme celle-ci exposent une réalité simple : le vecteur d’entrée est prévisible. Les outils sont banalisés. La seule vraie variable est de savoir si l’environnement limite ce qu’un intrus peut faire ensuite », a-t-il déclaré.
