Accueil La cyber-sécurité Démasquer la nouvelle chaîne d’infection AsyncRAT

Démasquer la nouvelle chaîne d’infection AsyncRAT

0
Démasquer la nouvelle chaîne d’infection AsyncRAT


Rédigé par Lakshya Mathur & Vignesh Dhatchanamoorthy

AsyncRAT, abréviation de « Asynchronous Remote Access Trojan », est un logiciel malveillant sophistiqué conçu pour compromettre la sécurité des systèmes informatiques et voler des informations sensibles. Ce qui distingue AsyncRAT des autres souches de logiciels malveillants est sa nature furtive, ce qui en fait un redoutable adversaire dans le monde de la cybersécurité.

McAfee Labs a observé qu’une récente campagne AsyncRAT était distribuée via un fichier HTML malveillant. L’ensemble de cette stratégie d’infection utilise une gamme de types de fichiers, notamment PowerShell, Windows Script File (WSF), VBScript (VBS), etc., afin de contourner les mesures de détection antivirus.

Figure 1 – Prévalence d’AsyncRAT au cours du dernier mois

Analyse technique

Un destinataire reçoit un courrier indésirable contenant un lien Web néfaste. Lorsqu’il est accessible, ce lien déclenche le téléchargement d’un fichier HTML. Dans ce fichier HTML, un fichier ISO est intégré et ce fichier image ISO héberge un WSF (Windows Script File). Le fichier WSF établit ensuite des connexions avec diverses URL et procède à l’exécution de plusieurs fichiers dans des formats tels que PowerShell, VBS (VBScript) et BAT. Ces fichiers exécutés sont utilisés pour effectuer une injection de processus dans RegSvcs.exe, un utilitaire Microsoft .NET légitime. Cette manipulation de RegSvcs.exe permet à l’attaquant de cacher secrètement ses activités au sein d’une application système approuvée.

Chaîne d’infection

Figure 2 – Chaîne d’infection

Étape 1 : Analyse du fichier HTML & WSF

La séquence commence par une URL malveillante trouvée dans l’e-mail, qui lance le téléchargement d’un fichier HTML. A l’intérieur de ce fichier HTML, un fichier ISO est intégré. De plus, JavaScript est utilisé pour extraire le fichier image ISO.

Figure 3 – Contenu du fichier HTML

Figure 4 – Fichier ISO extrait lors de l’exécution de HTML

Dans le fichier ISO se trouve un script WSF intitulé « FXM_20231606_9854298542_098.wsf ». Ce fichier incorpore des chaînes de données indésirables, entrecoupées de balises spécifiques «  » et «  » (comme indiqué dans la figure 5 et surligné en rouge). Ces balises se chargent d’établir une connexion vers l’URL « hxxp://45.12.253.107:222/f[.]txt » pour récupérer un fichier PowerShell.

Figure 5 – Contenu du fichier WSF

Étape 2 : Analyse des fichiers PowerShell

L’URL « hxxp://45.12.253.107:222/f[.]txt » récupère un fichier texte contenant du code PowerShell.

Figure 6 – Contenu du premier fichier PowerShell

Le code PowerShell initial établit ensuite une connexion vers une autre URL, « hxxp://45.12.253.107:222/j[.]jpg » et récupère le deuxième fichier PowerShell.

Figure 7 – Contenu du deuxième fichier PowerShell

Le script PowerShell dépose quatre fichiers dans le dossier ProgramData, dont deux fichiers PowerShell, un fichier VBS et un fichier BAT. Le contenu de ces quatre fichiers est intégré dans ce script PowerShell. Il crée ensuite un dossier nommé « xral » dans le répertoire ProgramData, où il écrit et extrait ces fichiers, comme illustré dans la figure 8.

Figure 8 – Deuxième PowerShell créant 4 fichiers et y écrivant du contenu à l’aide [IO.File]:: Commande WriteAllText

Figure 9 – Fichiers extraits dans le dossier « ProgramData/xral »

Étape 3 : Analyse des fichiers déposés dans le dossier ProgramData

Ensuite, le script PowerShell exécute « xral.ps1 », qui est chargé d’établir une tâche planifiée pour assurer la persistance. De plus, il lance l’exécution du fichier « xral.vbs ».

Figure 10 – Contenu du fichier VBS

Le script VBS procède à l’exécution du fichier « 1.bat », qui, à son tour, est responsable de l’exécution du script PowerShell final, « hrlm.ps1 ».

En un mot, après le deuxième PowerShell, l’exécution se déroule comme suit :

xral.ps1 -> xral.vbs -> 1.bat -> hrlm.ps1

Ces différentes exécutions de différents types de fichiers sont utilisées de manière stratégique pour contourner les détections antivirus statiques et basées sur le comportement.

Étape 4 : Analyse du fichier PowerShell final

Figure 11 – Contenu du fichier PowerShell final

Comme le montre la figure précédente, ce fichier PowerShell contient un fichier PE (Portable Executable) au format hexadécimal. Ce fichier est destiné à être injecté dans un processus légitime. Dans la deuxième case surlignée en rouge, il est évident que les attaquants ont obscurci le nom du processus, qui sera révélé après avoir effectué une opération de remplacement. Il est désormais évident que ce fichier PE est destiné à être injecté dans « C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe ». L’injection de processus est réalisée via la fonctionnalité de chargement de Reflection Assembly du fichier PowerShell, qui permet l’accès et l’invocation des données .NET à partir de PowerShell.

Après l’injection du processus, l’utilitaire RegSvcs est lancé et exécuté sans aucun paramètre supplémentaire.

Étape 5 : Analyse du RegSvcs.exe infecté

Une fois que PowerShell a injecté avec succès du code malveillant dans RegSvcs, le RegSvcs.exe compromis s’exécute et le serveur AsyncRAT établit une connexion avec celui-ci. Les artefacts de l’exécution de ce RegSvcs.exe infecté sont illustrés dans la figure 12.

Figure 12 – Chaînes du serveur AsyncRAT dans RegSvcs

Une analyse plus approfondie a révélé que cet échantillon possède des capacités d’enregistrement de frappe. Il a enregistré toutes les activités effectuées sur le système après la réplication, stockant ces informations dans un fichier « log.tmp » dans le dossier TEMP à des fins de tenue de registres.

Figure 13 – Fichier journal créé dans le dossier %temp% enregistrant toutes les frappes au clavier

De plus, cet échantillon était activement impliqué dans le vol d’informations d’identification et de données liées au navigateur. En outre, il a tenté de rechercher des informations relatives aux cryptomonnaies, notamment des données liées au Bitcoin, à l’Ethereum et à des actifs similaires. Les données acquises illicitement étaient transmises via TCP à l’adresse IP 45[.]12.253.107 sur le port 8808.

Figure 14 – Informations TCP de RegSvcs.exe

Résumé

La chaîne d’infection commence par une URL malveillante intégrée dans un courrier indésirable, conduisant au téléchargement d’un fichier HTML contenant une image ISO. Dans le fichier ISO, un script WSF se connecte à des URL externes et télécharge un script PowerShell, qui, à son tour, lance une série d’exécutions de fichiers non PE et injecte finalement un fichier PE codé en hexadécimal dans le légitime « RegSvcs.exe ». Ce processus compromis se connecte à un serveur AsyncRAT. Le malware présente des capacités d’enregistrement de frappe, enregistre les activités des utilisateurs et vole les informations d’identification, les données du navigateur et les informations liées à la cryptographie. Les données sont exfiltrées via TCP vers une adresse IP et un port. Cette chaîne complexe exploite divers types de fichiers et méthodes d’obscurcissement pour éviter la détection, ce qui permet aux attaquants d’obtenir le contrôle à distance et de voler des données.

Indicateur de compromission (IOC)

Déposer SHA256/URL
HTML 83c96c9853245a32042e45995ffa41393eeb9891e80ebcfb09de8fae8b5055a3
OIN 97f91122e541b38492ca2a7c781bb9f6b0a2e98e5b048ec291d98c273a6c3d62
FSM ac6c6e196c9245cefbed223a3b02d16dd806523bba4e74ab1bcf55813cc5702a
PS1 0159bd243221ef7c5f392bb43643a5f73660c03dc2f74e8ba50e4aaed6c6f531
PS1 f123c1df7d17d51115950734309644e05f3a74a5565c822f17c1ca22d62c3d99
PS1 19402c43b620b96c53b03b5bcfeaa0e645f0eff0bc6e9d1c78747fafbbaf1807
VBS 34cb840b44befdd236610f103ec1d0f914528f1f256d9ab375ad43ee2887d8ce
CHAUVE SOURIS 1c3d5dea254506c5f7c714c0b05f6e2241a25373225a6a77929e4607eb934d08
PS1 83b29151a192f868362c0ecffe5c5fabe280c8baac335c79e8950fdd439e69ac
URL hxxp://45.12.253[.]107:222/f[.]SMS
hxxp://45.12.253[.]107:222/j[.]jpg

Présentation de McAfee+

Protection contre le vol d’identité et confidentialité pour votre vie numérique



LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici