Des acteurs malveillants utilisent un injecteur légitime basé sur Rust appelé Gel[.]rs pour déployer un logiciel malveillant de base appelé XWorm dans les milieux victimes.
La nouvelle chaîne d’attaque, détectée par Fortinet FortiGuard Labs le 13 juillet 2023, est lancée via un e-mail de phishing contenant un fichier PDF piégé. Il a également été utilisé pour introduire Remcos RAT au moyen d’un crypteur appelé SYK Crypter, qui a été documenté pour la première fois par Morphisec en mai 2022.
« Ce fichier redirige vers un fichier HTML et utilise le protocole » search-ms « pour accéder à un fichier LNK sur un serveur distant », a déclaré la chercheuse en sécurité Cara Lin. « En cliquant sur le fichier LNK, un script PowerShell exécute Freeze[.]rs et SYK Crypter pour d’autres actions offensives. »
Gel[.]rs, sorti le 4 mai 2023, est un outil d’équipe rouge open source d’Optiv qui fonctionne comme un outil de création de charge utile utilisé pour contourner les solutions de sécurité et exécuter du shellcode de manière furtive.
« Geler[.]rs utilise plusieurs techniques non seulement pour supprimer les crochets Userland EDR, mais également pour exécuter le shellcode de manière à contourner les autres contrôles de surveillance des terminaux », selon une description partagée sur GitHub.
SYK Crypter, d’autre part, est un outil utilisé pour distribuer une grande variété de familles de logiciels malveillants telles que AsyncRAT, NanoCore RAT, njRAT, QuasarRAT, RedLine Stealer et Warzone RAT (alias Ave Maria). Il est récupéré à partir du réseau de diffusion de contenu Discord (CDN) au moyen d’un chargeur .NET joint à des e-mails qui se font passer pour des bons de commande bénins.
« Cette chaîne d’attaque fournit un crypteur qui est persistant, comporte plusieurs couches d’obscurcissement et utilise le polymorphisme pour maintenir sa capacité à éviter la détection par les solutions de sécurité », a expliqué le chercheur de Morphisec, Hido Cohen.
Il convient de noter que l’abus du gestionnaire de protocole URI « search-ms » a été récemment mis en évidence par Trellix, qui a mis au jour des séquences d’infection contenant des pièces jointes HTML ou PDF pour effectuer des recherches sur un serveur contrôlé par un attaquant et répertorier les fichiers malveillants dans l’explorateur de fichiers Windows comme s’il s’agit de résultats de recherche locaux.
Les conclusions de Fortinet ne sont pas différentes en ce sens que les fichiers sont camouflés en tant que fichiers PDF, mais sont en fait des fichiers LNK qui exécutent un script PowerShell pour lancer l’injecteur basé sur Rust, tout en affichant un document PDF leurre.
Dans la dernière étape, le shellcode injecté est déchiffré pour exécuter le cheval de Troie d’accès à distance XWorm et récolter des données sensibles, telles que des informations sur la machine, des captures d’écran et des frappes, et contrôler à distance l’appareil compromis.
Le fait qu’un programme vieux de trois mois soit déjà militarisé lors d’attaques symbolise l’adoption rapide d’outils offensifs par des acteurs malveillants pour atteindre leurs objectifs.
Ce n’est pas tout. Le script PowerShell, en plus de charger l’injecteur, est configuré pour exécuter un autre exécutable, qui fonctionne comme un dropper en contactant un serveur distant pour récupérer le SYK Crypter contenant le malware crypté Remcos RAT.
« La combinaison de XWorm et Remcos crée un formidable cheval de Troie avec un éventail de fonctionnalités malveillantes », a déclaré Lin. « Le rapport de trafic du serveur C2 […] révèle que l’Europe et l’Amérique du Nord sont les principales cibles de cette campagne malveillante. »
