Une nouvelle attaque utilise des fichiers de raccourci Windows pour installer la porte dérobée REMCOS

Une nouvelle campagne de malware trompeuse en plusieurs étapes a été identifiée par l'équipe de renseignement sur les menaces Lat61 de la société de sécurité Point Wild. L'attaque utilise une technique astucieuse impliquant des fichiers Windows Shortcut (LNK) malveillants, un simple pointeur vers un programme ou un fichier, pour diffuser un dangereux cheval de Troie d'accès à distance (RAT) appelé REMCOS .

L' étude , menée par le Dr Zulfikar Ramzan, directeur technique de Point Wild, et partagée avec Hackread.com, révèle que la campagne commence par un fichier de raccourci apparemment inoffensif, éventuellement joint à un e-mail, avec un nom de fichier comme « ORDINE-DI-ACQUIST-7263535 ».

Lorsqu'un utilisateur clique dessus, le fichier LNK exécute discrètement une commande PowerShell en arrière-plan. Pour information, PowerShell est un puissant outil en ligne de commande utilisé par Windows pour automatiser les tâches ; cependant, dans cette attaque, il est utilisé pour télécharger/décoder une charge utile cachée.

Cette commande est conçue pour télécharger et décoder une charge utile cachée sans déclencher d'alertes de sécurité, enregistrer de fichiers ni utiliser de macros. La recherche fournit des hachages spécifiques pour ce fichier LNK, notamment MD5: ae8066bd5a66ce22f6a91bd935d4eee6 , afin de faciliter la détection.

Cette campagne est conçue pour être furtive grâce à plusieurs couches de camouflage. Après l'exécution de la commande PowerShell initiale, elle récupère une charge utile codée en Base64 depuis un serveur distant. Il s'agit d'une méthode courante pour dissimuler du code malveillant à la vue de tous, le Base64 étant une méthode standard de codage de données binaires en texte.

Une fois la charge utile téléchargée et décodée, elle est lancée sous la forme d'un fichier d'informations de programme ( .PIF ), un type d'exécutable souvent utilisé pour les programmes plus anciens. Les attaquants ont déguisé ce fichier en CHROME.PIF , imitant ainsi un programme légitime.

Cette dernière étape installe la porte dérobée REMCOS, donnant aux attaquants le contrôle total du système compromis. Le malware assure également sa persistance sur le système en créant un fichier journal pour l'enregistrement des frappes clavier dans un nouveau dossier Remcos sous le répertoire %ProgramData% .

Une fois installée, la porte dérobée REMCOS confère aux attaquants un contrôle étendu sur l'ordinateur de la victime. Le rapport de veille sur les menaces indique qu'elle peut effectuer un large éventail d'activités malveillantes, notamment l'enregistrement de frappes pour voler des mots de passe, la création d'un shell distant pour un accès direct et l'accès à des fichiers.

De plus, la porte dérobée REMCOS permet aux attaquants de contrôler la webcam et le microphone de l'ordinateur, leur permettant ainsi d'espionner l'utilisateur. L'étude a également révélé que l'infrastructure de commandement et de contrôle (C2) de cette campagne spécifique est hébergée en Roumanie et aux États-Unis.

Cette découverte souligne la nécessité de la prudence, car ces attaques peuvent provenir de n'importe où dans le monde. Les chercheurs recommandent aux utilisateurs de se méfier des fichiers de raccourci provenant de sources non fiables, de vérifier les pièces jointes avant de les ouvrir et d'utiliser un logiciel antivirus à jour avec protection en temps réel.