XWorm et Remcos RAT évitent les EDR pour infecter l'infrastructure critique

L'injecteur Freeze[.]rs basé sur Rust a été armé pour introduire une série de logiciels malveillants sur les cibles, dans une campagne de phishing sophistiquée contenant un fichier PDF malveillant qui contourne la détection et la réponse aux points finaux (EDR).

Découverte pour la première fois par les FortiGuard Labs de Fortinet en juillet, la campagne cible les victimes à travers l'Europe et l'Amérique du Nord, y compris les fournisseurs de produits chimiques ou industriels spécialisés.

Finalement, cette chaîne aboutit au chargement du malware XWorm établissant une communication avec un serveur de commande et de contrôle (C2), a révélé une analyse de la firme. XWorm peut exécuter un large éventail de fonctions, allant du chargement de rançongiciels à la fonction de porte dérobée persistante.

D'autres révélations ont également dévoilé l'implication de SYK Crypter, un outil fréquemment utilisé pour distribuer des familles de logiciels malveillants via la plateforme de chat communautaire Discord. Ce crypteur a joué un rôle dans le chargement Remcos, un cheval de Troie sophistiqué d'accès à distance (RAT) apte à contrôler et à surveiller les appareils Windows.

Mettre l'EDR sur la glace : sous le capot de la chaîne d'attaque Freeze[.]rs

Dans leur enquête, l'analyse par l'équipe des algorithmes codés et des noms d'API a retracé l'origine de ce nouvel injecteur jusqu'à l'outil Red Team "Freeze.rs", conçu explicitement pour créer des charges utiles capables de contourner les mesures de sécurité EDR.

"Ce fichier redirige vers un fichier HTML et utilise le protocole" search-ms "pour accéder à un fichier LNK sur un serveur distant", un article de blog de l'entreprise expliqué. "En cliquant sur le fichier LNK, un script PowerShell exécute Freeze[.]rs et SYK Crypter pour d'autres actions offensives."

Cara Lin, chercheuse, FortiGuard Labs, explique que l'injecteur Freeze[.]rs appelle les appels système NT pour injecter le shellcode, en sautant les appels standard qui se trouvent dans la dll de base du noyau, qui peuvent être accrochés.

"Ils utilisent le léger délai qui se produit avant qu'un EDR ne commence à accrocher et à modifier l'assemblage des DLL système au sein d'un processus", dit-elle. "Si un processus est créé dans un état suspendu, il contient un minimum de DLL chargées et aucune DLL spécifique à EDR n'est chargée, ce qui indique que les appels système dans Ntdll.dll restent inchangés."

Lin explique que la chaîne d'attaque est initiée via un fichier PDF piégé, qui fonctionne avec un protocole "search-ms" pour fournir la charge utile.

Ce code JavaScript a utilisé la fonctionnalité "search-ms" pour révéler le fichier LNK situé sur un serveur distant.

Le protocole « search-ms » peut rediriger les utilisateurs vers un serveur distant via une fenêtre de l'Explorateur Windows.

"Grâce à l'utilisation d'un fichier LNK trompeur déguisé en icône PDF, il peut tromper les victimes en leur faisant croire que le fichier provient de leur propre système et qu'il est légitime", note-t-elle.

Pendant ce temps, "le SYK Crypter se copie dans le dossier de démarrage pour la persistance, chiffre la configuration pendant l'encodage et la déchiffre lors de l'exécution, et chiffre également la charge utile compressée dans la ressource pour l'obscurcissement", ajoute-t-elle.

Un téléchargeur est utilisé parallèlement au codage dans la première couche et, par la suite, une deuxième couche implique l'obscurcissement des chaînes et le chiffrement de la charge utile.

« Cette stratégie multicouche est conçue pour améliorer la complexité et le défi de l'analyse statique », dit-elle. "Enfin, il peut se résilier en reconnaissant un fournisseur de sécurité spécifique."

Comment se défendre contre les risques croissants de phishing

Hameçonnage et autres attaques basées sur la messagerie continue d'être une menace omniprésente, avec 97 % des entreprises ayant vu au moins une attaque de phishing par e-mail au cours des 12 derniers mois et les trois quarts des entreprises s'attendant à des coûts importants d'une attaque par e-mail.

Attaques de phishing deviennent plus intelligents et plus ciblés, s'adaptent aux nouvelles technologies et au comportement des utilisateurs, évoluent pour inclure les exploits mobiles, l'usurpation d'identité de marque et le contenu généré par l'IA.

La recherche note qu'il est crucial de maintenir un logiciel à jour pour atténuer les risques, de fournir une formation régulière et d'utiliser des outils de sécurité avancés pour les défenses afin de contrer la menace évolutive des attaques de phishing.

Formation sur la simulation d'hameçonnage pour les employés semble mieux fonctionner dans les organisations d'infrastructures critiques que dans d'autres secteurs, avec 66% de ces employés signalant correctement au moins une véritable attaque par e-mail malveillant dans l'année suivant la formation, selon une nouvelle étude.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure