Une nouvelle campagne de phishing en plusieurs étapes ciblant les utilisateurs en Russie a été observée avec un ransomware et un cheval de Troie d'accès à distance appelé Amnesia RAT.
“L'attaque commence par des leurres d'ingénierie sociale livrés via des documents à caractère commercial conçus pour paraître routiniers et inoffensifs”, a déclaré Cara Lin, chercheuse chez Fortinet FortiGuard Labs, dans une analyse technique publiée cette semaine. “Ces documents et les scripts qui les accompagnent servent de distractions visuelles, détournant les victimes vers de fausses tâches ou de faux messages d'état tandis que les activités malveillantes s'exécutent silencieusement en arrière-plan.”
La campagne se démarque pour plusieurs raisons. Premièrement, il utilise plusieurs services de cloud public pour distribuer différents types de charges utiles. Alors que GitHub est principalement utilisé pour distribuer des scripts, les téléchargements binaires sont organisés dans Dropbox. Cette séparation complique les efforts de démolition, améliorant ainsi efficacement la résilience.
Une autre « caractéristique déterminante » de la campagne, selon Fortinet, est l'abus opérationnel de la défense sans désactiver Microsoft Defender. Defendnot a été lancé l'année dernière par un chercheur en sécurité qui utilise l'alias en ligne es3n1n pour faire croire au programme de sécurité qu'un autre produit antivirus a déjà été installé sur l'hôte Windows.
La campagne exploite l'ingénierie sociale pour distribuer des fichiers compressés, qui contiennent plusieurs documents leurres et un raccourci Windows malveillant (LNK) avec des noms de fichiers russes. Le fichier LNK utilise une double extension (“Задание_для_бухгалтера_02отдела.txt.lnk”) pour donner l'impression qu'il s'agit d'un fichier texte.
Lorsqu'il est exécuté, il exécute une commande PowerShell pour récupérer le script PowerShell de l'étape suivante hébergé dans un référentiel GitHub (“github[.]com/Mafin111/MafinREP111”), qui sert ensuite de chargeur de première étape pour prendre pied, prépare le système à masquer les preuves d'activités malveillantes et transfère le flux de contrôle aux étapes ultérieures.
“Le script supprime d'abord l'exécution visible en masquant par programme la fenêtre de la console PowerShell”, a déclaré Fortinet. “Cela supprime tout indicateur visuel immédiat de l'exécution d'un script. Il génère ensuite un document texte leurre dans le répertoire de données d'application local de l'utilisateur. Une fois écrit sur le disque, le document leurre s'ouvre automatiquement.”
Une fois le document montré à la victime pour poursuivre la ruse, le script envoie un message à l'attaquant à l'aide de l'API Telegram Bot, informant l'opérateur que la première étape a été exécutée avec succès. Après un délai délibérément introduit de 444 secondes, le script PowerShell exécute un script Visual Basic (« SCRRC4ryuk.vbe ») hébergé dans le même emplacement de référentiel.
Cela offre deux avantages cruciaux : la charge utile reste légère et permet aux acteurs malveillants de mettre à jour ou de remplacer les fonctionnalités de la charge utile à la volée sans avoir à introduire de modifications dans la chaîne d'attaque.
Le script Visual Basic est fortement obscurci et agit comme un gestionnaire qui assemble la charge utile de l'étape suivante directement en mémoire, évitant ainsi de laisser des artefacts sur le disque. Le script de la dernière étape vérifie s'il s'exécute avec des privilèges élevés et, dans le cas contraire, affiche à plusieurs reprises un message de contrôle de compte d'utilisateur (UAC) pour forcer la victime à lui accorder les autorisations nécessaires. Le script fait une pause de 3 000 millisecondes entre les tentatives.
Dans la phase suivante, le logiciel malveillant lance une série d'actions pour supprimer la visibilité, neutraliser les mécanismes de protection des points finaux, effectuer une reconnaissance, inhiber la récupération et finalement déployer des charges utiles principales.
- Configurez les exclusions de Microsoft Defender pour empêcher le programme d'analyser les données du programme, les fichiers du programme, le bureau, les téléchargements et le répertoire temporaire du système.
- Utilisez PowerShell pour désactiver des composants de protection Defender supplémentaires
- Déployez defensenot pour enregistrer un faux produit antivirus auprès de l'interface du Centre de sécurité Windows et désactivez Microsoft Defender pour éviter les conflits potentiels.
- Effectuez une reconnaissance et une surveillance de l'environnement via une capture d'écran à l'aide d'un module .NET dédié téléchargé à partir du référentiel GitHub qui prend une capture d'écran toutes les 30 secondes, l'enregistre sous forme d'image PNG et extrait les données à l'aide d'un robot Telegram.
- Désactivez les outils d'administration et de diagnostic Windows en modifiant les contrôles de stratégie basés sur le registre.
- Implémentez un mécanisme de piratage d'association de fichiers afin que l'ouverture de fichiers avec certaines extensions prédéfinies affiche un message à la victime, lui demandant de contacter l'acteur malveillant via Telegram.
L'une des dernières charges utiles déployées après le démontage réussi des contrôles de sécurité et des mécanismes de récupération est Amnesia RAT (« svchost.scr »), qui est récupéré à partir de Dropbox et est capable de voler de nombreuses données et de contrôler à distance. Il est conçu pour voler des informations stockées dans les navigateurs Web, les portefeuilles de crypto-monnaie, Discord, Steam et Telegram, ainsi que les métadonnées du système, les captures d'écran, les images de webcam, l'audio du microphone, les presse-papiers et les titres de fenêtres actives.
“Le RAT permet une interaction complète à distance, y compris l'énumération et la terminaison des processus, l'exécution de commandes shell, le déploiement de charges utiles arbitraires et l'exécution de logiciels malveillants supplémentaires”, a déclaré Fortinet. “L'exfiltration est principalement effectuée via HTTPS à l'aide des API Telegram Bot. Des ensembles de données plus volumineux peuvent être téléchargés vers des services d'hébergement de fichiers tiers, tels que GoFile, avec des liens de téléchargement transmis à l'attaquant via Telegram.”
En fin de compte, Amnesia RAT facilite le vol d'identifiants, le détournement de session, la fraude financière et la collecte de données en temps réel, ce qui en fait un outil complet pour le piratage de compte et la surveillance des attaques.
La deuxième charge utile fournie par le script est un ransomware dérivé de la famille de ransomwares Hakuna Matata et est configuré pour crypter des documents, des fichiers, des images, des médias, du code source et des actifs d'application sur le point final infecté, mais pas avant de mettre fin à tout processus susceptible d'interférer avec son fonctionnement.
De plus, le ransomware surveille le contenu du presse-papiers et modifie silencieusement les adresses des portefeuilles de crypto-monnaie avec des portefeuilles contrôlés par l'attaquant pour rediriger les transactions. La séquence d'infection se termine lorsque le script implémente WinLocker pour restreindre l'interaction de l'utilisateur.
“Cette chaîne d'attaque démontre comment les campagnes de malware modernes peuvent compromettre l'ensemble du système sans exploiter les vulnérabilités logicielles”, a conclu Lin. “En abusant systématiquement des fonctionnalités natives de Windows, des outils d'administration et des mécanismes d'application des politiques, l'attaquant désactive les défenses des points finaux avant de déployer des outils de surveillance persistants et des charges utiles destructrices.”
Pour contrer l'abus par Defensenot de l'API du Centre de sécurité Windows, Microsoft recommande aux utilisateurs d'activer la protection contre la falsification pour empêcher les modifications non autorisées des paramètres de Defender et de surveiller les appels d'API suspects ou les modifications apportées au service Defender.
Ce développement intervient alors que les services des ressources humaines, de la paie et de l'administration interne appartenant à des sociétés russes ont été attaqués par un acteur malveillant UNG0902 pour fournir un implant inconnu baptisé DUPERUNNER, responsable du chargement d'AdaptixC2, un cadre de commande et de contrôle (C2). La campagne de phishing, baptisée Operation DupeHike, est en cours depuis novembre 2025.
Seqrite Labs a déclaré que les attaques impliquent l'utilisation de documents leurres axés sur des sujets liés aux primes des employés et aux politiques financières internes pour convaincre les destinataires d'ouvrir un fichier LNK malveillant dans les archives ZIP qui conduit à l'exécution de DUPERUNNER.
L'implant communique avec un serveur externe pour rechercher et afficher un document PDF leurre, tandis que le profilage du système et le téléchargement de la balise AdaptixC2 s'effectuent en arrière-plan.
Ces derniers mois, les organisations russes ont probablement également été ciblées par un autre acteur malveillant identifié sous le nom de Paper Werewolf (également connu sous le nom de GOFFEE), qui a utilisé des pots de miel générés par l'intelligence artificielle (IA) et des fichiers DLL compilés sous forme de compléments Excel XLL pour fournir une porte dérobée appelée EchoGather.
“Une fois lancée, la porte dérobée collecte des informations système, communique avec un serveur de commande et de contrôle (C2) crypté et prend en charge les opérations d'exécution de commandes et de transfert de fichiers”, a déclaré Nicole Fishbein, chercheuse en sécurité chez Intezer. “Il communique avec C2 via HTTP(S) à l'aide de l'API WinHTTP.”
