Analyse Mail Phishing
#Phishing en entreprise : une plongée dans la détection et l’analyse d’un mail malveillant
Bandeau Obscura Ransomware
#Obscura en action : découverte et analyse de ce "nouveau" ransomware
Gremlin Stealer
#Gremlin Stealer : Le nouveau voleur d’informations en vogue
Illustration du malware Chaya_003
#Chaya_003 : Un malware qui sème le chaos dans les systèmes OT industriels

Date : 11 novembre 2024

Nouvelle campagne de phishing déployant Remcos RAT avec des techniques d'évasion avancées

Fortinet's FortiGuard Labs a découvert une nouvelle campagne de phishing sophistiquée utilisant une variante avancée de Remcos RAT (Remote Administration Tool). L'attaque commence par un e-mail de phishing contenant un fichier Excel malveillant qui exploite la vulnérabilité CVE-2017-0199. Ce fichier permet aux attaquants d'exécuter du code à distance sur l'appareil de la victime. Comme le souligne le rapport de Fortinet, "Remcos est un RAT commercial... mais des acteurs malveillants l'ont détourné pour collecter des informations sensibles et contrôler les ordinateurs à distance."

Le workflow de l'attaque

Une fois le fichier Excel ouvert, la vulnérabilité CVE-2017-0199 est activée, téléchargeant silencieusement un fichier HTA (HTML Application). Ce fichier est exécuté par l'application native de Windows (mshta.exe), téléchargeant ensuite un fichier supplémentaire : dllhost.exe. Ce dernier déclenche une série de scripts (JavaScript, VBScript, PowerShell) pour dissimuler le code malveillant et éviter la détection.

Process Hollowing et persistance

Après l'exécution de dllhost.exe, la technique de process hollowing est utilisée pour injecter du code malveillant dans un nouveau processus appelé Vaccinerende.exe, rendant le malware invisible aux outils de surveillance classiques. Le rapport précise : "Le code malveillant effectue un process hollowing pour se dissimuler dans le processus Vaccinerende.exe." Pour garantir sa persistance, le malware crée une entrée auto-run dans le registre Windows, lui permettant de survivre même après un redémarrage.

Contrôle à distance avec Remcos RAT

Une fois installé, Remcos RAT se connecte à un serveur de commande et de contrôle (C2), envoyant des informations sur le système de la victime (processeur, mémoire, niveau de privilège, etc.). Ce RAT est particulièrement dangereux, avec des capacités de keylogging, capture d'écran, et contrôle des processus en cours d'exécution. Il peut aussi exécuter des commandes à distance envoyées par le serveur C2.

Techniques d'évasion avancées

Pour rester indétectable, cette campagne de phishing utilise des méthodes d'évasion sophistiquées : gestion des exceptions, appels d'API dynamiques et techniques anti-debugging. Le rapport indique qu'il utilise une technique d'accrochage d'API (API hooking) pour bloquer les outils d'analyse et rester furtif.

Conclusion

Cette nouvelle campagne de phishing démontre une évolution constante des menaces, avec une sophistication accrue dans l'utilisation de techniques d'évasion et d'infiltration. Comme toujours, la vigilance et la mise à jour des systèmes restent la meilleure défense contre ce type de menace.

@NOP_FIX 2025