SOC Prime Bias: Moyen

29 May 2026 07:02 UTC

Faux « Courrier Sécurisé » Livre des Fichiers Malveillants Déguisés en Avis de Société de Carte de Crédit

Author Photo
SOC Prime Team linkedin icon Suivre
Faux « Courrier Sécurisé » Livre des Fichiers Malveillants Déguisés en Avis de Société de Carte de Crédit
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

AhnLab a découvert une campagne de phishing qui distribue des fichiers LNK malveillants déguisés en notifications de courrier sécurisé d’un important fournisseur de cartes de crédit coréen. Lorsqu’il est ouvert, le raccourci lance un HTA à travers mshta.exe et PowerShell, puis télécharge les charges utiles suivantes qui changent selon que Windows Defender est activé ou non. Si Defender est actif, les attaquants utilisent curl pour récupérer des fichiers chiffrés qui sont ensuite décompressés et exécutés. Si Defender est désactivé, la chaîne passe au chargement direct des DLL et à une activité de téléchargement supplémentaire. Le logiciel malveillant résultant prend en charge le vol d’informations, la surveillance des frappes clavier, la collecte du presse-papiers et des capacités de porte dérobée.

Enquête

L’enquête a montré que le fichier LNK initial lance mshta.exe, qui exécute un HTA contenant un script VB masqué. Ce HTA télécharge pipe.zip, qui comprend des scripts encodés en Base64 nommés 1.log, 1.ps1, et 2.log, qui sont tous décodés et exécutés en mémoire. Lorsque Defender est inactif, le logiciel malveillant télécharge plutôt user.txt and sys.log, déchiffre sys.log en sys.dll, et l’exécute via rundll32. L’analyse du user.txt décrypté a révélé trois URL Google Drive utilisées pour récupérer des fichiers malveillants supplémentaires, y compris notepad.log, net, et app, qui sont stockés sous %LOCALAPPDATA%.

Atténuation

Les défenses recommandées comprennent la vérification de la légitimité des pièces jointes aux courriels, la prévention de l’exécution automatique des fichiers LNK et la surveillance de l’utilisation suspecte de mshta.exe and curl. Les équipes de sécurité devraient également rechercher et supprimer des fichiers tels que 1.log, 1.ps1, 2.log, notepad.log, net, et app de %TEMP% and %LOCALAPPDATA%. De plus, les défenseurs devraient inspecter le système pour des changements inattendus dans le registre et s’assurer que Windows Defender ou une autre plateforme de protection d’endpoint reste activée et correctement configurée.

Réponse

Si cette activité est détectée, isolez immédiatement le système affecté, terminez tout mshta.exe, curl, ou rundll32 processus exécutant des fichiers inconnus, et préservez les artefacts malveillants pour une analyse judiciaire. Effectuez un scan complet du système, réinitialisez tout identifiant potentiellement exposé, et surveillez l’activité de backdoor suivant liée à notepad.log. Le contenu de la détection devrait également être mis à jour avec les indicateurs de compromission observés, et les contrôles de sécurité des e-mails devraient être renforcés pour bloquer des appâts de phishing similaires à l’avenir.

Flux d’attaque

Exécution de simulation

Condition préalable : Le contrôle de pré-vol de télémétrie et de référence doit avoir été passé.

  • Narratif et commandes de l’attaque :
    Un adversaire a obtenu un point d’appui sur le point de terminaison et souhaite exécuter du code arbitraire tout en évitant le contrôle traditionnel des applications. Ils créent un fichier HTA malveillant contenant un script VB masqué qui, une fois rendu, écrit une porte dérobée PowerShell sur le disque. Pour lancer le HTA, ils utilisent un raccourci Windows (.lnk) qui appelle powershell.exe avec une commande qui invoque mshta.exe. L’exécution du raccourci déclenche la chaîne PowerShell → mshta , produisant exactement la télémétrie que la règle surveille.

  • Script de test de régression :

    # -------------------------------------------------
    # 1. Créer un HTA malveillant avec un script VB masqué
    # -------------------------------------------------
    $htaPath = "$env:TEVIL.hta"
    $vbscript = @"
    <script language='VBScript'>
    ' Charge utile de script VB masqué (exemple : écrire un fichier)
    Dim fso, f
    Set fso = CreateObject("Scripting.FileSystemObject")
    Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True)
    f.WriteLine "Compromis par ATT&CK"
    f.Close
    </script>
    "@
    Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII
    
    # -------------------------------------------------
    # 2. Créer un raccourci (.lnk) qui exécute PowerShell → mshta
    # -------------------------------------------------
    $lnkPath = "$env:TEMPLancer_malveillant.lnk"
    $ws = New-Object -ComObject WScript.Shell
    $shortcut = $ws.CreateShortcut($lnkPath)
    
    # Commande PowerShell qui lance mshta avec le fichier HTA
    $psCommand = "mshta.exe `"$htaPath`""
    $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe"
    $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`""
    $shortcut.Save()
    
    # -------------------------------------------------
    # 3. Exécuter le raccourci pour déclencher la détection
    # -------------------------------------------------
    Write-Host "Exécution du raccourci malveillant..."
    & $lnkPath
    
    # -------------------------------------------------
    # 4. Pause pour permettre la collecte des journaux
    # -------------------------------------------------
    Start-Sleep -Seconds 10
  • Commandes de nettoyage :

    # Supprimer les artefacts créés
    Remove-Item -Path "$env:TEMPevel.hta" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPLancer_malveillant.lnk" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue
    Write-Host "Nettoyage terminé."