Des experts en sécurité ont révélé les détails d'une campagne de malware active qui exploite une vulnérabilité de chargement latéral de DLL dans un binaire légitime associé à la bibliothèque open source c-ares pour contourner les contrôles de sécurité et fournir une large gamme de chevaux de Troie et de voleurs de base.
“Les attaquants parviennent à échapper à l'attaque en associant un libcares-2.dll malveillant à n'importe quelle version signée du légitime ahost.exe (souvent renommé) pour exécuter leur code”, a déclaré Trellix dans un rapport partagé avec The Hacker News. “Cette technique de chargement latéral de DLL permet aux logiciels malveillants de contourner les défenses de sécurité traditionnelles basées sur les signatures.”
Il a été observé que la campagne distribuait une grande variété de logiciels malveillants, tels que Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat et XWorm.
Les cibles de l'activité malveillante comprennent les employés des fonctions de finance, d'approvisionnement, de chaîne d'approvisionnement et de gestion dans des secteurs commerciaux et industriels tels que le pétrole et le gaz, ainsi que l'importation et l'exportation, avec des leurres rédigés en arabe, espagnol, portugais, farsi et anglais, suggérant que les attaques sont limitées à une région spécifique.
L'attaque consiste à placer une version malveillante de la DLL dans le même répertoire que le binaire vulnérable, en profitant du fait qu'elle est susceptible d'être détournée par des commandes de recherche pour exécuter le contenu de la DLL malveillante au lieu de son homologue légitime, offrant ainsi à l'acteur menaçant des capacités d'exécution de code. L'exécutable « ahost.exe » utilisé dans la campagne est signé par GitKraken et est généralement distribué dans le cadre de l'application de bureau GitKraken.
Une analyse de l'artefact sur VirusTotal révèle qu'il est distribué sous des dizaines de noms, y compris, sans s'y limiter, “RFQ_NO_04958_LG2049 pdf.exe”, “PO-069709-MQ02959-Order-S103509.exe”, “23RDJANUARY OVERDUE.INV.PDF.exe”, “sales contract”. po-00423-025_pdf.exe” et “Fatura da DHL.exe”, indiquent l'utilisation de sujets de facture et de demande de devis (RFQ) pour inciter les utilisateurs à les ouvrir.
“Cette campagne de malware met en évidence la menace croissante des attaques de téléchargement de DLL qui exploitent des utilitaires signés et fiables comme ahost.exe de GitKraken pour contourner les défenses de sécurité”, a déclaré Trellix. « En exploitant des logiciels légitimes et en abusant de leur processus de chargement de DLL, les acteurs malveillants peuvent déployer furtivement de puissants logiciels malveillants tels que XWorm et DCRat, permettant ainsi un accès à distance persistant et le vol de données. »
Cette divulgation intervient alors que Trellix a également signalé une augmentation des escroqueries par phishing sur Facebook qui utilisent la technique Browser-in-the-Browser (BitB) pour simuler un écran d'authentification Facebook et inciter les utilisateurs sans méfiance à saisir leurs informations d'identification. Cela fonctionne en créant une fausse fenêtre contextuelle dans la fenêtre légitime du navigateur de la victime à l'aide d'un élément iframe, ce qui rend pratiquement impossible la différence entre une véritable page de connexion et une fausse.
“L'attaque commence souvent par un e-mail de phishing, qui peut être déguisé en communication émanant d'un cabinet d'avocats”, a déclaré le chercheur Mark Joseph Marti. “Cet e-mail contient généralement de fausses mentions légales concernant une vidéo contrefaite et inclut un lien hypertexte déguisé en lien de connexion Facebook.”
Dès que la victime clique sur l'URL raccourcie, elle est redirigée vers un faux message Meta CAPTCHA qui demande aux victimes de se connecter à leur compte Facebook. Ceci, à son tour, déclenche une fenêtre contextuelle qui utilise la méthode BitB pour afficher un faux écran de connexion conçu pour collecter vos informations d'identification.
D'autres variantes de la campagne d'ingénierie sociale exploitent des e-mails de phishing faisant état de violations de droits d'auteur, d'alertes de connexion inhabituelles, de fermetures de comptes imminentes en raison d'activités suspectes ou de failles de sécurité potentielles. Ces messages sont conçus pour induire un faux sentiment d'urgence et diriger les victimes vers des pages hébergées sur Netlify ou Vercel pour capturer leurs informations d'identification. Il existe des preuves suggérant que les attaques de phishing pourraient être en cours depuis juillet 2025.
“En créant une fausse fenêtre contextuelle de connexion personnalisée dans le navigateur de la victime, cette méthode tire parti de la familiarité de l'utilisateur avec les flux d'authentification, rendant le vol d'informations d'identification presque impossible à détecter visuellement”, a déclaré Trellix. “Le changement clé réside dans l'abus d'infrastructures fiables, en utilisant des services d'hébergement cloud légitimes comme Netlify et Vercel, et des raccourcisseurs d'URL pour contourner les filtres de sécurité traditionnels et donner un faux sentiment de sécurité aux pages de phishing.”
Les résultats coïncident avec la découverte d'une campagne de phishing en plusieurs étapes qui exploite les charges utiles Python et les tunnels TryCloudflare pour distribuer AsyncRAT via des liens Dropbox pointant vers des fichiers ZIP contenant un fichier de raccourci Internet (URL). Les détails de la campagne ont été documentés pour la première fois par Forcepoint X-Labs en février 2025.
“La charge utile initiale, un fichier Windows Script Host (WSH), a été conçue pour télécharger et exécuter des scripts malveillants supplémentaires hébergés sur un serveur WebDAV”, a déclaré Trend Micro. “Ces scripts ont facilité le téléchargement de fichiers batch et d'autres charges utiles, garantissant ainsi une routine d'infection persistante et fluide.”
Un aspect notable de l'attaque est l'abus des techniques Life Off Earth (LotL) qui utilisent Windows Script Host, PowerShell et des utilitaires natifs, ainsi que de l'infrastructure gratuite de Cloudflare pour héberger le serveur WebDAV et échapper à la détection.
Les scripts organisés dans les domaines TryCloudflare sont conçus pour installer un environnement Python, établir la persistance via les scripts du dossier de démarrage Windows et injecter le shellcode AsyncRAT dans un processus « explorer.exe ». Dans le même temps, un leurre PDF est présenté à la victime comme un mécanisme de distraction et la fait croire en erreur qu'un document légitime a été consulté.
« La campagne AsyncRAT analysée dans ce rapport démontre la sophistication croissante des acteurs malveillants dans l'abus de services légitimes et d'outils open source pour échapper à la détection et établir un accès à distance persistant », a déclaré Trend Micro. “En utilisant des scripts basés sur Python et en abusant de l'infrastructure gratuite de Cloudflare pour héberger des charges utiles malveillantes, les attaquants ont réussi à masquer leurs activités sous des domaines de confiance, contournant les contrôles de sécurité traditionnels.”
