Un faux téléchargement de Slack offre aux attaquants un accès caché à votre machine
Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un installateur malveillant déguisé en Slack est distribué via des domaines typosquattés pour tromper les utilisateurs non avertis. Une fois exécuté, il installe une application Slack légitime en parallèle d’un chargeur furtif qui se connecte à un serveur de commande et de contrôle, récupère une charge utile HVNC chiffrée et l’injecte dans explorer.exe. Le malware crée ensuite une session de bureau invisible qui permet aux attaquants de naviguer, interagir et effectuer des actions sur la machine compromise sans que la victime ne s’en aperçoive. Cette approche est particulièrement dangereuse dans les environnements où la marque Slack est largement reconnue par les particuliers et les utilisateurs d’entreprise.
Enquête
Les chercheurs ont décortiqué l’installateur et découvert deux fichiers temporaires : slack.tmp, contenant un paquet de mise à jour Squirrel légitime, et svc.tmp, qui servait de chargeur malveillant. L’analyse a montré que le chargeur établissait une persistance via une clé de registre Run, résolvait dynamiquement les API Windows à l’exécution, téléchargeait une DLL chiffrée qu’il sauvegardait comme wmiprvse_*.tmp, et utilisait l’injection basée sur des sections pour la charger dans explorer.exe. Les enquêteurs ont également observé une communication sortante avec un serveur de commande et de contrôle sur le port TCP 8081. Une logique anti-analyse additionnelle était présente, incluant la détection de débogueur et les vérifications de timing pour les environnements de bac à sable.
Atténuation
Les utilisateurs devraient télécharger Slack uniquement depuis le site officiel slack.com ou des liens sauvegardés de confiance et vérifier les signatures numériques avant d’exécuter tout installateur. Les organisations devraient activer une protection en temps réel capable de bloquer les domaines malveillants connus et les exécutables suspects. Les défenseurs devraient également surveiller le trafic sortant inattendu sur le port 8081, les entrées de registre Run inhabituelles, et les processus fils anormaux associés à des applications de confiance. Les détections basées sur le comportement peuvent aider à identifier les sessions de bureau cachées et l’activité liée à HVNC avant que les attaquants ne gagnent un accès interactif complet.
Réponse
Si cette activité est détectée, isolez immédiatement le terminal affecté du réseau, terminez le chargeur malveillant et tous les processus liés à HVNC, et supprimez le mécanisme de persistance de la clé de registre Run. Un scan complet des malwares devrait être effectué, et tous les domaines et adresses IP malveillants associés devraient être bloqués dans tout l’environnement. Les identifiants utilisés sur la machine compromise doivent être réinitialisés depuis un appareil sain, et l’équipe de sécurité doit collecter des artefacts forensiques pour soutenir une enquête et une délimitation plus poussées.
graph TB classDef technique fill:#ffcc99 classDef artifact fill:#c2f0c2 classDef process fill:#f9d5e5 classDef tool fill:#d9d9d9 classDef malware fill:#ffd699 site_typosquat[« <b>Artefact</b> – Site typosquatté<br/>URL: slacks.pro ou debtclean-ua.sbs »] class site_typosquat artifact download_exe[« <b>Artefact</b> – slacku20114u201149u201181.exe<br/>Exécutable malveillant distribué depuis le site usurpé »] class download_exe artifact run_registry[« <b>Artefact</b> – Clé Run du registre<br/>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\com.squirrel.slack.slack »] class run_registry artifact hvnc_dll[« <b>Artefact</b> – DLL HVNC chiffrée dans une section PE personnalisée »] class hvnc_dll artifact c2_server[« <b>Artefact</b> – Serveur de commande et contrôle<br/>Port 8081 via WinHTTP »] class c2_server artifact explorer_proc[« <b>Processus</b> – explorer.exe (shell Windows) »] class explorer_proc process loader[« <b>Malware</b> – Chargeur responsable du déchiffrement, C2 et injection »] class loader malware mavinject[« <b>Outil</b> – Mavinject (exécution proxy de binaires système) »] class mavinject tool initial_access[« <b>Technique</b> – <b>T1204.001 Exécution utilisateur : lien malveillant</b><br/><b>Description</b>: La victime clique sur un lien menant à un site malveillant avec téléchargement automatique »] class initial_access technique execution_file[« <b>Technique</b> – <b>T1204.002 Exécution utilisateur : fichier malveillant</b><br/><b>Description</b>: La victime exécute le fichier téléchargé »] class execution_file technique persistence_active_setup[« <b>Technique</b> – <b>T1547.014 Exécution automatique : Active Setup</b><br/><b>Description</b>: Une entrée Run est créée dans le registre pour la persistance »] class persistence_active_setup technique obfuscation[« <b>Technique</b> – <b>T1027 Fichiers ou informations obfusqués</b><br/><b>Description</b>: Chiffrement du payload, padding et résolution d’API à l’exécution »] class obfuscation technique embedded_payload[« <b>Sous-technique</b> – <b>T1027.009 Payload intégré</b> »] class embedded_payload technique binary_padding[« <b>Sous-technique</b> – <b>T1027.001 Remplissage binaire</b> »] class binary_padding technique compile_after_delivery[« <b>Sous-technique</b> – <b>T1027.004 Compilation après livraison</b> »] class compile_after_delivery technique stripped_payload[« <b>Sous-technique</b> – <b>T1027.008 Payload épuré</b> »] class stripped_payload technique c2_communication[« <b>Technique</b> – <b>T1071.001 Protocoles web (WinHTTP)</b><br/><b>Description</b>: Communication avec le C2 via TCP 8081 »] class c2_communication technique reflective_loading[« <b>Technique</b> – <b>T1620 Chargement réflexif de code</b><br/><b>Description</b>: DLL HVNC chargée et déchiffrée en mémoire »] class reflective_loading technique process_injection[« <b>Technique</b> – <b>T1055.002 Injection PE</b><br/><b>Description</b>: Injection dans explorer.exe »] class process_injection technique system_binary_proxy[« <b>Technique</b> – <b>T1218.013 Exécution proxy de binaires système : Mavinject</b><br/><b>Description</b>: Utilisation de Mavinject pour injecter une DLL »] class system_binary_proxy technique site_typosquat –>|héberge une page malveillante| initial_access initial_access –>|déclenche téléchargement| download_exe download_exe –>|exécuté par la victime| execution_file execution_file –>|persistance via| persistence_active_setup persistence_active_setup –>|crée| run_registry run_registry –>|charge| loader loader –>|applique| obfuscation obfuscation –>|utilise| embedded_payload obfuscation –>|utilise| binary_padding obfuscation –>|utilise| compile_after_delivery obfuscation –>|utilise| stripped_payload loader –>|contacte| c2_server c2_server –>|active| c2_communication loader –>|déchiffre et charge| hvnc_dll hvnc_dll –>|chargé via| reflective_loading reflective_loading –>|injecte dans| explorer_proc explorer_proc –>|cible de| process_injection process_injection –>|utilise| mavinject mavinject –>|exécute| system_binary_proxy
Flux du Attaque
Détections
Possibilité qu’un flux de données alternatif (ADS) ait été créé (via file_event)
Voir
Points de persistance possibles [ASEPs – Ruche Software/NTUSER] (via registry_event)
Voir
IOCs (HashSha256) pour détecter : Un faux téléchargement Slack fournit aux attaquants un bureau caché sur votre machine
Voir
IOCs (SourceIP) pour détecter : Un faux téléchargement Slack fournit aux attaquants un bureau caché sur votre machine
Voir
IOCs (DestinationIP) pour détecter : Un faux téléchargement Slack fournit aux attaquants un bureau caché sur votre machine
Voir
Détection de l’injection basée sur des sections dans Explorer.exe [Windows Sysmon]
Voir
Installateur Slack factice créant une session de bureau cachée [Création de processus Windows]
Voir
Exécution de la simulation
Prérequis : La vérification télégraphique et préliminaire doit être réussie.
Rationalisation : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télégraphie précise attendue par la logique de détection.
-
Narrative et commandes de l’attaque :
- Accès initial – L’attaquant délivre un installateur truffé nommé
slack-4-49-81.exevia un courriel d’hameçonnage. - Exécution – La victime exécute le fichier ; il extrait un chargeur caché
svc.tmpto%TEMP%. - Création de bureau caché (T1564.003) –
svc.tmpinvoqueCreateProcessavecSW_HIDE, déclenchant une session de bureau cachée qui héberge un outil d’accès à distance. - Persistance (T1547.013 & T1546.016) – Le chargeur enregistre un serveur COM qui est automatiquement démarré via un raccourci placé dans le dossier de démarrage, garantissant l’exécution au redémarrage.
- Installation potentielle de rootkit (T1014) – Si élevé,
svc.tmpdépose un pilote rootkit dans%SystemRoot%System32driversmaldrv.sys.
- Accès initial – L’attaquant délivre un installateur truffé nommé
-
Script de test de régression : Le script reproduit les étapes 2 à 4 avec des binaires inoffensifs (copies de
notepad.exe) tout en conservant exactement les noms de fichiers que la règle surveille.# ------------------------------------------------- # Test de régression – Simulation d'installateur Slack factice # ------------------------------------------------- # 1. Préparez les binaires fictifs (utilisez un notepad.exe bénin) $temp = $env:TEMP $installer = Join-Path $temp "slack-4-49-81.exe" $loader = Join-Path $temp "svc.tmp" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force # 2. Exécutez l'installateur – ceci déclenchera la règle de détection Write-Host "[*] Lancement de l'installateur factice ..." Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null # 3. Simulez la création de bureau caché (chargeur) Write-Host "[*] Démarrage du chargeur caché ..." Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null # 4. Créez un raccourci dans le dossier de démarrage pour émuler la persistance $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup" $shortcutPath = Join-Path $startup "Slack Hidden.lnk" $shell = New-Object -ComObject WScript.Shell $shortcut = $shell.CreateShortcut($shortcutPath) $shortcut.TargetPath = $loader $shortcut.WindowStyle = 7 # Caché $shortcut.Save() Write-Host "[+] Simulation terminée. Vérifiez le SIEM pour les événements ayant une image se terminant par 'slack-4-49-81.exe' ou 'svc.tmp'." -
Commandes de nettoyage : Supprimez les artefacts de test et tout raccourci créé.
# Script de nettoyage – à exécuter avec le même contexte utilisateur $temp = $env:TEMP Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk" Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue Write-Host "[+] Nettoyage terminé."