Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les acteurs de la menace utilisent des créateurs de sites web alimentés par l’IA pour créer des pages de phishing convaincantes qui imitent les marques bancaires brésiliennes. Ces pages reposent sur la technique ClickFix, utilisant de faux contrôles CAPTCHA et des messages de récupération du système pour convaincre les victimes d’exécuter des commandes PowerShell malveillantes. Le résultat est la livraison de SmartRAT, un cheval de Troie bancaire basé sur PowerShell conçu pour un accès à distance et le vol d’informations financières.
Enquête
Zscaler ThreatLabz a identifié plusieurs domaines de typosquattage et analysé la chaîne complète d’infection, observant des commentaires de code générés par l’IA et des scripts conçus pour résister à l’inspection. L’enquête a également révélé une faiblesse dans le panneau de commande et de contrôle construit par l’IA, permettant de contourner l’authentification grâce à localStorage manipulation. Les chercheurs ont par ailleurs décodé le protocole de communication de SmartRAT et documenté son utilisation du chiffrement AES-CBC.
Atténuation
Les organisations devraient déployer un filtrage web pour bloquer les domaines de typosquattage et malveillants connus. Les défenses des endpoints devraient être configurées pour détecter et restreindre l’activité PowerShell suspecte et la création de tâches planifiées non autorisées. Les efforts de sensibilisation des utilisateurs devraient également enseigner aux employés à reconnaître les techniques de social engineering de style ClickFix, y compris les fausses invites d’écran bleu, de récupération ou de CAPTCHA.
Réponse
Si une activité de SmartRAT est détectée, isoler immédiatement les endpoints affectés pour arrêter le trafic de commande et contrôle et limiter les mouvements ultérieurs. Effectuer une analyse médico-légale pour déterminer la méthode de persistance, qu’elle soit basée sur le service ou sur les tâches planifiées, et chercher des artefacts connexes tels que msedgeupdate.txt. Réviser les journaux du proxy web pour le trafic vers l’infrastructure identifiée et initier une réinitialisation des informations d’identification pour les utilisateurs affectés.
"graph TB %% Section des Définition des Classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef technique fill:#ccffcc %% Phase d’Accès Initial et d’Exécution action_phishing["<b>Action</b> – <b>T1566 Phishing</b><br/>Les acteurs de la menace utilisent des domaines de typosquattage<br/>et des sites Web générés par l’IA pour attirer les victimes."] class action_phishing action action_clickfix["<b>Action</b> – <b>T1204.004 Exécution Utilisateur: Copier-Coller Malveillant</b><br/>Trompe les utilisateurs pour coller une<br/>commande PowerShell malveillante dans la boîte de dialogue Exécuter de Windows."] class action_clickfix action action_ingress["<b>Action</b> – <b>T1105 Transfert d’Outil d’Entrée</b><br/>Télécharge un chargeur furtif nommé st.txt<br/>depuis l’IP distante 64.95.13.238."] class action_ingress action tool_dropper["<b>Outil</b> – <b>Nom</b>: st.txt<br/><b>Description</b>: Chargeur furtif utilisé pour<br/>faciliter la livraison du malware principal."] class tool_dropper tool %% Phase d’Exécution du Malware et de Persistance malware_smartrat["<b>Malware</b> – <b>Nom</b>: SmartRAT<br/><b>Description</b>: RAT principal utilisé pour<br/>la surveillance et le vol de données financières."] class malware_smartrat malware action_user_exec_file["<b>Action</b> – <b>T1204.002 Exécution Utilisateur: Fichier Malveillant</b><br/>Exécute le malware principal SmartRAT."] class action_user_exec_file action action_gather_info["<b>Action</b> – <b>T1592.001/002 Collecte d’Informations sur l’Hôte de la Victime</b><br/>Collecte des détails matériels, logiciels et OS<br/>pou générer un jeton d’identité unique."] class action_gather_info action action_persistence_service["<b>Action</b> – <b>T1543.003 Créer ou Modifier le Processus Système: Service Windows</b><br/>Crée un service Windows nommé<br/>MicrosoftEdgeUpdateCore pour la persistance."] class action_persistence_service action action_persistence_registry["<b>Action</b> – <b>Persistance via les Clés de Registre Run</b><br/>Utilise des clés de registre run pour maintenir l’accès."] class action_persistence_registry action action_priv_esc["<b>Action</b> – <b>T1548 Escalade de Privilège</b><br/>Demande une élévation UAC pour exécuter le<br/>service avec des privilèges SYSTEM."] class action_priv_esc action %% Phase de Command and Control et d’Exfiltration action_c2["<b>Action</b> – <b>T1071 Command and Control</b><br/>Utilise des sockets TCP bruts sur un port non standard<br/>port 51888 pour la communication."] class action_c2 action action_exfiltrate["<b>Action</b> – <b>T1041 Exfiltration via C2 Channel</b><br/>Vole des données financières via la<br/>connexion C2 établie."] class action_exfiltrate action %% Phase de Post-Exploitation et d’Evasion action_video_capture["<b>Action</b> – <b>T1125 Capture Vidéo</b><br/>Fait du streaming d’écran pour la surveillance."] class action_video_capture action action_input_tracking["<b>Action</b> – <b>T1056 Suivi des Entrées</b><br/>Utilise un keylogging pour surveiller les entrées utilisateur."] class action_input_tracking action action_mfa_interception["<b>Action</b> – <b>T1111 Interception Multi-Factor Authentication</b><br/>Utilise des superpositions fausses pour voler des jetons MFA."] class action_mfa_interception action action_masquerading["<b>Action</b> – <b>T1036 Mascarade</b><br/>Utilise des noms de fichiers leurres comme msedge.txt pour échapper à la détection."] class action_masquerading action action_file_deletion["<b>Action</b> – <b>T1070.004 Suppression d’Indicateur: Suppression de Fichier</b><br/>Utilise une commande de désinstallation pour réduire l’empreinte médico-légale."] class action_file_deletion action %% Flux de Connexion action_phishing –>|résulte_en| action_clickfix action_clickfix –>|résulte_en| action_ingress action_ingress –>|télécharge| tool_dropper tool_dropper –>|exécute| action_user_exec_file action_user_exec_file –>|lance| malware_smartrat malware_smartrat –>|effectue| action_gather_info malware_smartrat –>|établit| action_persistence_service malware_smartrat –>|établit| action_persistence_registry malware_smartrat –>|tente| action_priv_esc action_priv_esc –>|autorise| action_c2 action_c2 –>|utilisé_pour| action_exfiltrate action_c2 –>|utilisé_pour| action_video_capture action_c2 –>|utilisé_pour| action_input_tracking action_c2 –>|utilisé_pour| action_mfa_interception malware_smartrat –>|utilise| action_masquerading malware_smartrat –>|effectue| action_file_deletion "
Flux d’Attaque
Détections
Points de Persistance Possible [ASEPs – Software/NTUSER Hive] (via registry_event)
Voir
Télécharger ou Charger via Powershell (via cmdline)
Voir
Appel de Méthodes .NET Suspectes depuis Powershell (via powershell)
Voir
Appel de Fonctions API Windows Suspectes depuis Powershell (via powershell)
Voir
Fichiers Suspects dans le Profil Utilisateur Public (via file_event)
Voir
Détecter l’Exécution de SmartRAT PowerShell via PowerShell ScriptBlockText [Windows Sysmon]
Voir
Persistance SmartRAT via Tâche Planifiée et Modification du Registre [Création de Processus Windows]
Voir
Détecter les Commandes PowerShell et Techniques utilisées par SmartRAT [Windows Powershell]
Voir
## Exécution de Simulation
Pré-requis : Le contrôle préalable du Télémetry & Baseline doit passer avec succès.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non reliés mèneront à un diagnostic erroné.
-
Narratif d’Attaque & Commandes : L’adversaire a réussi à obtenir un accès initial via une campagne de phishing (T1566) et tente maintenant d’établir une persistance. Pour se fondre dans l’activité légitime du système, l’attaquant utilise une approche « Living-off-the-Land », exécutant une commande malveillante déguisée en processus de mise à jour de Microsoft Edge (T1036). L’attaquant exécute une instruction en ligne de commande contenant la chaîne
msedgeupdate.txtpour déclencher un mécanisme de persistance simulé, qui dans un scénario réel impliquerait la création d’une tâche planifiée ou d’un service. -
Script de Test de Régression :
# Script de Simulation de Persistance SmartRAT # Ce script génère la télémétrie de ligne de commande spécifique requise pour déclencher la règle de détection. $TargetString = "msedgeupdate.txt" $FakePath = "C:UsersPublicDocuments$TargetString" # Créer un fichier factice pour rendre la ligne de commande quelque peu réaliste New-Item -Path $FakePath -ItemType File -Force | Out-Null Write-Host "[+] Simulation de persistance SmartRAT via ligne de commande: $TargetString" -ForegroundColor Cyan # Exécuter la commande qui déclenche la logique de détection Start-Process cmd.exe -ArgumentList "/c echo 'Simulation d'activité SmartRAT avec $TargetString' > $FakePath" -WindowStyle Hidden Write-Host "[+] Commande de simulation exécutée." -ForegroundColor Green -
Commandes de Nettoyage :
# Nettoyer le fichier factice créé lors de la simulation Remove-Item -Path "C:UsersPublicDocumentsmsedgeupdate.txt" -Force -ErrorAction SilentlyContinue Write-Host "[+] Nettoyage complet." -ForegroundColor Yellow