Le logiciel NetSupport Manager est utilisé par des pirates

L’outil d’accès à distance (RAT) NetSupport Manager, utilisé pour le dépannage et le support technique, est en train d’être converti en une arme malveillante par des cybercriminels. Des chercheurs de la division Unit 42 de Palo Alto Networks ont repéré une campagne de spam tentant de distribuer un document Microsoft Word malveillant qui se fait passer pour un fichier protégé par NortonLifeLock.

NortonLifeLock est un utilitaire de sécurité pour les pièces jointes. Si le destinataire ouvre le document en utilisant Microsoft Office Outlook, une fenêtre apparaît et demande aux utilisateurs «d’activer le contenu» pour pouvoir ouvrir le document, si vous cliquez sur «oui» les macros s’exécutent.

“Du point de vue de l’utilisateur, le document semble contenir des informations sensibles qui nécessitent un mot de passe pour être visualisées”, ont expliqué les chercheurs dans une analyse récente. “Une fois que le document est ouvert et que l’utilisateur clique sur” Activer le contenu “, la macro est exécutée et l’utilisateur reçoit une boîte de dialogue de mot de passe.”

Les chercheurs ont ajouté que le mot de passe est probablement fourni dans le corps de l’e-mail d’hameçonnage, car il doit être correct; aucune activité malveillante ne se lance tant que la clé correcte n’est pas entrée. Dès que la clé est acceptée, les macros créent et exécutent un fichier batch nommé alpaca.bat.

“La macro cache toutes les chaînes de caractères en utilisant plusieurs étiquettes sur les formulaires Visual Basic pour Applications (VBA), ces derniers contiennent deux caractères qui sont finalement associés afin de construire la commande finale pour télécharger et exécuter le RAT sur le système de la victime”, selon l’Unité 42. ” La chaîne de commande est exécutée via la fonction shell VBA, qui [crée et exécute alpaca.bat]. »

netsupport manager

La campagne utilise une gamme de techniques pour masquer son activité à la fois face à l’analyse dynamique et statique, selon les chercheurs. Par exemple, le script batch utilise msiexec, qui fait partie du service Windows Installer. Il est utilisé pour télécharger et installer un fichier binaire Microsoft Intermediate Language (MSIL) à partir d’un domaine légitime qui a été compromis. Une fois téléchargé, le binaire s’exécutera en utilisant le paramètre /q pour supprimer toutes les boîtes de dialogue Windows de l’utilisateur.

La campagne utilise également le framework PowerShell PowerSploit pour effectuer l’installation du fichier malveillant. Le MSI (Microsoft System Installer) installe un script PowerShell dans le répertoire % temp% de la victime nommé REgistryMPZMZQYVXO.ps1. Il contient un autre script PowerShell qui est responsable de l’installation de l’outil d’accès à distance NetSupport Manager sur la machine de la victime.

«Le script PowerShell semble avoir été généré à l’aide du script open-source Out-EncryptedScript.ps1 du framework PowerSploit», selon l’analyse. “Il contient des données qui sont encodés en base64 et chiffrés avec l’algorithme TripleDES et un mode de chiffrement Cipher Bloc Chain (en bloc).”

Le script PowerShell du programme d’installation de l’outil d’accès à distance interrompt l’installation si Avast ou AVG Antivirus sont en cours d’exécution sur la machine ciblée. Sinon, il installe 12 fichiers qui composent NetSupport Manager dans un répertoire aléatoire et configure la persistance en créant la clé de registre suivante: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

“Une fois que le fichier exécutable principal de NetSupport Manager (presentationhost.exe) est démarré, il balise le domaine geo.netsupportsoftware[.]Com pour récupérer la géolocalisation de l’hôte suivie d’un HTTP POST”, ont expliqué les chercheurs.

netsupport manager

Les chercheurs ont déclaré que la campagne d’infection faisait probablement partie d’une offensive plus vaste qui date du début du mois de novembre, les objets des e-mails réutilisent les thèmes associés aux remboursements, ainsi que des demandes de transaction et de commande. Les documents joints contiennent le nom de la société ciblée.

D’autres chercheurs ont signalé cette utilisation de NetSupport Manager

«L’utilisation malveillante de l’outil d’accès à distance NetSupport Manager a également été signalée par les chercheurs de FireEye et de Zscaler», ont ajouté les chercheurs. “Bien que cette activité semble être à grande échelle, il y a des indices, telles que le nom du document, qui montrent que les pirates ont tenté d’établir une relation plus forte avec la cible dans le but d’augmenter le taux de réussite.”

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de