Une backdoor indétectable se déguise en mise à jour Windows

L'entreprise de cybersécurité SafeBreach partage la découverte d'une porte dérobée - ou backdoor - PowerShell présentée comme totalement indétectable… qui a donc finalement été détectée. Initialement, les moteurs antivirus n'avaient pas relevé de caractère malveillant associé.

Avec à la manœuvre un acteur apparemment inconnu, l'attaque débute par un document Word portant le nom de Apply Form.docm qui permet de distribuer la backdoor.

D'après les métadonnées du fichier, il s'agirait d'une campagne de phishing ciblée de type spear phishing en lien avec une soi-disant demande d'emploi sur LinkedIn.

Un faux dossier de mise à jour

Le document piégé comprend du code macro via lequel un script updater.vbs crée une tâche planifiée sur l'ordinateur de la victime afin de se faire passer pour une mise à jour Windows. Depuis un faux dossier de mise à jour (%appdata%\local\Microsoft\Windows), le script VBS exécute ensuite deux scripts PowerShell.

Le contenu des scripts PowerShell est stocké dans des champs de texte du document Word et sera enregistré dans le même faux dossier de mise à jour.

Script.ps1 se connecte à un serveur de commande et de contrôle distant de l'attaquant. Un numéro d'identification est attribué à la victime et pour récupérer une commande à exécuter. Temp.ps1 décode la commande dans une réponse.

Une erreur de l'attaquant

C'est grâce à une séquence trop prévisible dans l'attribution des identifiants des victimes que les chercheurs en sécurité de SafeBreach ont pu déterminer qu'environ une centaine d'entités ont été ciblées. Ils ont été en mesure de créer un script capable de déchiffrer les commandes envoyées aux victimes.

Pour deux tiers des commandes, elles ont trait à de l'exfiltration de données. Les autres commandes sont en rapport avec l'énumération d'utilisateurs en local et de fichiers, la suppression de fichiers et notamment dans des dossiers spéciaux de Windows, le recensement de clients RDP (bureau à distance) et d'utilisateurs Active Directory.

" En partageant des informations spécifiques sur notre découverte de cette backdoor PowerShell, notre objectif est de sensibiliser à ce nouveau type de malware non reconnu qui a réussi à contourner tous les scanners des éditeurs de sécurité sur VirusTotal.com ", écrit SafeBreach qui publie des indicateurs de compromission pour la backdoor PowerShell.