Logiciels Malveillants Svcready

Une nouvelle vague de campagnes de phishing a été observée propageant un logiciel malveillant précédemment documenté appelé SVCReady.

« Le logiciel malveillant se distingue par la manière inhabituelle dont il est transmis aux PC cibles – en utilisant un shellcode caché dans les propriétés des documents Microsoft Office », a déclaré Patrick Schläpfer, analyste des menaces chez HP. a dit dans une rédaction technique.

SVCReady en serait à ses débuts de développement, les auteurs ayant mis à jour le malware de manière itérative plusieurs fois le mois dernier. Les premiers signes d’activité remontent au 22 avril 2022.

Les chaînes d’infection impliquent l’envoi de pièces jointes de documents Microsoft Word à des cibles par e-mail contenant des macros VBA pour activer le déploiement de charges utiles malveillantes.

La Cyber-Sécurité

Mais là où cette campagne se démarque, c’est qu’au lieu d’utiliser PowerShell ou MSHTA pour récupérer les exécutables de la prochaine étape à partir d’un serveur distant, la macro exécute le shellcode stocké dans le propriétés du documentqui supprime ensuite le logiciel malveillant SVCReady.

Publicité

En plus d’assurer la persistance sur l’hôte infecté au moyen d’une tâche planifiée, le logiciel malveillant a la capacité de collecter des informations système, de capturer des captures d’écran, d’exécuter des commandes shell, ainsi que de télécharger et d’exécuter des fichiers arbitraires.

Cela comprenait également la livraison de RedLine Stealer en tant que charge utile de suivi dans une instance le 26 avril après qu’une machine ait été initialement compromise avec SVCReady.

La Cyber-Sécurité

HP a déclaré avoir identifié des chevauchements entre les noms de fichiers des documents de leurre et les images contenues dans les fichiers utilisés pour distribuer SVCReady et ceux employés par un autre groupe appelé TA551 (alias Hive0106 ou Shathak), mais il n’est pas immédiatement clair si le même acteur de la menace est derrière la dernière campagne.

« Il est possible que nous voyions les artefacts laissés par deux attaquants différents qui utilisent les mêmes outils », a noté Schläpfer. « Cependant, nos résultats montrent que des modèles similaires et potentiellement des générateurs de documents sont utilisés par les acteurs derrière les campagnes TA551 et SVCReady. »


Rate this post
Publicité
Article précédentUn leader de Google AI explique pourquoi il est impératif d’avancer lentement dans les technologies de la santé
Article suivantLe championnat Apex Legends ALGS arrive à Raleigh, en Caroline du Nord
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici