SOC Prime Bias: Moyen

17 Apr 2026 15:20 UTC

Un faux téléchargement de Slack offre aux attaquants un accès caché à votre machine

Author Photo
SOC Prime Team linkedin icon Suivre
Un faux téléchargement de Slack offre aux attaquants un accès caché à votre machine
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Un installateur malveillant déguisé en Slack est distribué via des domaines typosquattés pour tromper les utilisateurs non avertis. Une fois exécuté, il installe une application Slack légitime en parallèle d’un chargeur furtif qui se connecte à un serveur de commande et de contrôle, récupère une charge utile HVNC chiffrée et l’injecte dans explorer.exe. Le malware crée ensuite une session de bureau invisible qui permet aux attaquants de naviguer, interagir et effectuer des actions sur la machine compromise sans que la victime ne s’en aperçoive. Cette approche est particulièrement dangereuse dans les environnements où la marque Slack est largement reconnue par les particuliers et les utilisateurs d’entreprise.

Enquête

Les chercheurs ont décortiqué l’installateur et découvert deux fichiers temporaires : slack.tmp, contenant un paquet de mise à jour Squirrel légitime, et svc.tmp, qui servait de chargeur malveillant. L’analyse a montré que le chargeur établissait une persistance via une clé de registre Run, résolvait dynamiquement les API Windows à l’exécution, téléchargeait une DLL chiffrée qu’il sauvegardait comme wmiprvse_*.tmp, et utilisait l’injection basée sur des sections pour la charger dans explorer.exe. Les enquêteurs ont également observé une communication sortante avec un serveur de commande et de contrôle sur le port TCP 8081. Une logique anti-analyse additionnelle était présente, incluant la détection de débogueur et les vérifications de timing pour les environnements de bac à sable.

Atténuation

Les utilisateurs devraient télécharger Slack uniquement depuis le site officiel slack.com ou des liens sauvegardés de confiance et vérifier les signatures numériques avant d’exécuter tout installateur. Les organisations devraient activer une protection en temps réel capable de bloquer les domaines malveillants connus et les exécutables suspects. Les défenseurs devraient également surveiller le trafic sortant inattendu sur le port 8081, les entrées de registre Run inhabituelles, et les processus fils anormaux associés à des applications de confiance. Les détections basées sur le comportement peuvent aider à identifier les sessions de bureau cachées et l’activité liée à HVNC avant que les attaquants ne gagnent un accès interactif complet.

Réponse

Si cette activité est détectée, isolez immédiatement le terminal affecté du réseau, terminez le chargeur malveillant et tous les processus liés à HVNC, et supprimez le mécanisme de persistance de la clé de registre Run. Un scan complet des malwares devrait être effectué, et tous les domaines et adresses IP malveillants associés devraient être bloqués dans tout l’environnement. Les identifiants utilisés sur la machine compromise doivent être réinitialisés depuis un appareil sain, et l’équipe de sécurité doit collecter des artefacts forensiques pour soutenir une enquête et une délimitation plus poussées.

Flux du Attaque

Exécution de la simulation

Prérequis : La vérification télégraphique et préliminaire doit être réussie.

Rationalisation : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télégraphie précise attendue par la logique de détection.

  • Narrative et commandes de l’attaque :

    1. Accès initial – L’attaquant délivre un installateur truffé nommé slack-4-49-81.exe via un courriel d’hameçonnage.
    2. Exécution – La victime exécute le fichier ; il extrait un chargeur caché svc.tmp to %TEMP%.
    3. Création de bureau caché (T1564.003)svc.tmp invoque CreateProcess avec SW_HIDE, déclenchant une session de bureau cachée qui héberge un outil d’accès à distance.
    4. Persistance (T1547.013 & T1546.016) – Le chargeur enregistre un serveur COM qui est automatiquement démarré via un raccourci placé dans le dossier de démarrage, garantissant l’exécution au redémarrage.
    5. Installation potentielle de rootkit (T1014) – Si élevé, svc.tmp dépose un pilote rootkit dans %SystemRoot%System32driversmaldrv.sys.
  • Script de test de régression : Le script reproduit les étapes 2 à 4 avec des binaires inoffensifs (copies de notepad.exe) tout en conservant exactement les noms de fichiers que la règle surveille.

    # -------------------------------------------------
    # Test de régression – Simulation d'installateur Slack factice
    # -------------------------------------------------
    # 1. Préparez les binaires fictifs (utilisez un notepad.exe bénin)
    $temp = $env:TEMP
    $installer = Join-Path $temp "slack-4-49-81.exe"
    $loader    = Join-Path $temp "svc.tmp"
    
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force
    
    # 2. Exécutez l'installateur – ceci déclenchera la règle de détection
    Write-Host "[*] Lancement de l'installateur factice ..."
    Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null
    
    # 3. Simulez la création de bureau caché (chargeur)
    Write-Host "[*] Démarrage du chargeur caché ..."
    Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null
    
    # 4. Créez un raccourci dans le dossier de démarrage pour émuler la persistance
    $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup"
    $shortcutPath = Join-Path $startup "Slack Hidden.lnk"
    
    $shell = New-Object -ComObject WScript.Shell
    $shortcut = $shell.CreateShortcut($shortcutPath)
    $shortcut.TargetPath = $loader
    $shortcut.WindowStyle = 7   # Caché
    $shortcut.Save()
    
    Write-Host "[+] Simulation terminée. Vérifiez le SIEM pour les événements ayant une image se terminant par 'slack-4-49-81.exe' ou 'svc.tmp'."
  • Commandes de nettoyage : Supprimez les artefacts de test et tout raccourci créé.

    # Script de nettoyage – à exécuter avec le même contexte utilisateur
    $temp = $env:TEMP
    Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue
    Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue
    
    $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk"
    Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue
    
    Write-Host "[+] Nettoyage terminé."