Le cheval de Troie d’accès à distance open source connu sous le nom de Quasar RAT a été observé en train d’exploiter le chargement latéral de DLL pour passer inaperçu et siphonner furtivement les données des hôtes Windows compromis.
« Cette technique capitalise sur la confiance inhérente à ces fichiers dans l’environnement Windows », ont déclaré les chercheurs d’Uptycs Tejaswini Sandapolla et Karthickkumar Kathiresan dans un rapport publié la semaine dernière, détaillant la dépendance du malware à l’égard de ctfmon.exe et calc.exe dans le cadre de la chaîne d’attaque. .
Également connu sous les noms de CinaRAT ou Yggdrasil, Quasar RAT est un outil d’administration à distance basé sur C# capable de collecter des informations système, une liste d’applications en cours d’exécution, des fichiers, des frappes au clavier, des captures d’écran et d’exécuter des commandes shell arbitraires.
Le chargement latéral de DLL est une technique populaire adoptée par de nombreux acteurs malveillants pour exécuter leurs propres charges utiles en implantant un fichier DLL usurpé avec un nom qu’un exécutable inoffensif est connu pour rechercher.
« Les adversaires utilisent probablement le chargement latéral comme moyen de masquer les actions qu’ils effectuent dans le cadre d’un système ou d’un processus logiciel légitime, fiable et potentiellement élevé », note MITRE dans son explication de la méthode d’attaque.
Le point de départ de l’attaque documentée par Uptycs est un fichier image ISO contenant trois fichiers : un binaire légitime nommé ctfmon.exe renommé eBill-997358806.exe, un fichier MsCtfMonitor.dll renommé Monitor.ini et un fichier malveillant. MsCtfMonitor.dll.
« Lorsque le fichier binaire ‘eBill-997358806.exe’ est exécuté, il lance le chargement d’un fichier intitulé ‘MsCtfMonitor.dll’ (nom masqué) via une technique de chargement latéral de DLL, dans lequel le code malveillant est dissimulé », ont déclaré les chercheurs. .
Le code caché est un autre exécutable « FileDownloader.exe » qui est injecté dans Regasm.exe, l’outil d’enregistrement de l’assembly Windows, afin de lancer l’étape suivante, un fichier calc.exe authentique qui charge à nouveau le voyou Secure32.dll via le côté DLL. charger et lancer la charge utile finale du Quasar RAT.
Le cheval de Troie, quant à lui, établit des connexions avec un serveur distant pour envoyer des informations système et met même en place un proxy inverse pour l’accès à distance au point final.
L’identité de l’auteur de la menace et le vecteur d’accès initial exact utilisé pour mener à bien l’attaque ne sont pas clairs, mais ils sont susceptibles d’être diffusés au moyen d’e-mails de phishing, ce qui rend impératif que les utilisateurs soient sur leurs gardes face aux e-mails, liens ou pièces jointes douteux. .
