Une nouvelle campagne de phishing cible les organisations des pays d’Europe de l’Est avec le malware Remcos RAT à l’aide d’un ancien contournement du contrôle de compte d’utilisateur Windows découvert il y a plus de deux ans.
L’utilisation de faux répertoires de confiance pour contourner le contrôle de compte d’utilisateur Windows se distingue dans l’attaque telle qu’elle est connue depuis 2020, mais reste efficace aujourd’hui.
La dernière campagne de Remcos a été observée et analysée par les chercheurs de SentinelOne, qui ont documenté leurs découvertes dans un rapport publié aujourd’hui.
Ça commence par une fausse facture
Les e-mails de campagne de phishing sont envoyés à partir de domaines de premier niveau qui correspondent au pays du destinataire et sont généralement masqués sous forme de factures, de documents d’appel d’offres et d’autres documents financiers.
Les e-mails ne contiennent pas beaucoup de texte autre que ce qui est nécessaire pour attirer l’attention du destinataire sur la pièce jointe, une archive tar.lz contenant l’exécutable DBatLoader.
Un tel choix inhabituel de format de fichier réduit les chances que les victimes ouvrent avec succès la pièce jointe, mais aide également à échapper à la détection des logiciels antivirus et des outils de sécurité des e-mails.
La charge utile de la première étape du chargeur de logiciels malveillants est déguisée en un document Microsoft Office, LibreOffice ou PDF utilisant des doubles extensions et des icônes d’application pour inciter la victime à l’ouvrir.
Lors du lancement du chargeur de logiciels malveillants, une charge utile de deuxième étape est récupérée à partir d’un service de cloud public, tel que Microsoft OneDrive ou Google Drive.
Sentinel One rapporte que dans un cas, le service cloud a été abusé pour avoir hébergé DBatLoader pendant plus d’un mois, bien qu’il ne soit pas clair si les acteurs de la menace ont utilisé leur propre compte ou un compte compromis avec un historique propre.
Abus de faux dossiers « de confiance »
Avant de charger Remcos RAT, DBatLoader crée et exécute un script batch Windows pour abuser d’une méthode de contournement Windows UAC documentée en 2020.
La méthode, démontrée pour la première fois sur Windows 10 par le chercheur en sécurité Daniel Gebert, consiste à utiliser une combinaison de détournement de DLL et de faux répertoires de confiance pour contourner l’UAC et exécuter du code malveillant sans inviter l’utilisateur.
Windows UAC est un mécanisme de protection que Microsoft a introduit dans Windows Vista, demandant aux utilisateurs de confirmer l’exécution d’applications à haut risque.
Certains dossiers, tels que C:\Windows\System32\, sont approuvés par Windows, ce qui permet aux exécutables de s’élever automatiquement sans afficher d’invite UAC.
Un répertoire factice est un répertoire d’imitation avec un espace à la fin. Par exemple, « C:\Windows\System32 » est un dossier légitime et est considéré comme un emplacement de confiance dans Windows. Un répertoire fictif ressemblerait à « C:\Windows \System32 », avec un espace supplémentaire après C:\Windows.
Le problème est que certains programmes Windows, comme l’Explorateur de fichiers, traitent « C:\Windows » et « C:\Windows » comme le même dossier, incitant ainsi le système d’exploitation à penser que C:\Windows \System32 est un dossier de confiance et devrait faire élever automatiquement ses fichiers sans invite UAC.
Le script utilisé par DBatLoader, dans ce cas, crée des faux répertoires de confiance de la même manière, en créant un dossier « C:\Windows \System32 » et en copiant des exécutables légitimes (« easinvoker.exe ») et des DLL malveillantes (« netutils.dll » ) à celui-ci.
« easinvoker.exe est sensible au piratage de DLL permettant l’exécution du netutils.dll malveillant dans son contexte », explique Sentinel One
« easinvoker.exe est un exécutable à élévation automatique, ce qui signifie que Windows élève automatiquement ce processus sans émettre d’invite UAC s’il se trouve dans un répertoire de confiance – le faux répertoire %SystemRoot%\System32 garantit que ce critère est rempli. »
Le chargeur de logiciels malveillants ajoute le script malveillant (« KDECO.bat ») qui se cache dans la DLL à la liste d’exclusion Defender de Microsoft, puis établit la persistance pour Remcos en créant une nouvelle clé de registre.
Finalement, Remcos est exécuté par injection de processus, configuré avec des capacités d’enregistrement de frappe et de capture d’écran.
Sentinel One suggère aux administrateurs système de configurer Windows UAC sur « Toujours notifier », bien que cela puisse être trop gênant et bruyant.
Les administrateurs doivent également surveiller les créations de fichiers suspectes ou les exécutions de processus dans les chemins de système de fichiers de confiance avec des espaces de fin, en particulier les dossiers contenant la chaîne « \Windows ».