Détection de Malware sans Fichier : Attaques AveMariaRAT / BitRAT / PandoraHVNC

Les cybercriminels ciblent les utilisateurs de Microsoft Windows avec trois souches de malware sans fichier utilisées simultanément dans une nouvelle campagne de phishing. Le courrier de phishing imite un rapport de paiement provenant d’une source fiable, avec une brève demande de consultation d’un document Microsoft Excel joint. Le fichier contient des macros armées et, une fois lancé, déploie le malware visant à voler les données sensibles de la victime. Les adversaires distribuent les formes de malware suivantes : BitRAT, PandoraHVNC, et AveMariaRAT.

Détecter les malwares sans fichier

Notre développeur renommé de Threat Bounty Emir Erdogan a publié une règle Sigma pour vous aider à identifier si vous avez été touché par l’un des trois échantillons de malware sans fichier déployés par un email de phishing via process_creation :

Détection de AveMariaRAT / BitRAT et PandoraHVNC via process_creation

La détection est disponible pour les 23 plateformes SIEM, EDR et XDR, alignée avec le cadre MITRE ATT&CK® v.10, en abordant la tactique d’Execution avec Command and Scripting Interpreter (T1059) et Scheduled Task/Job (T1053) comme techniques principales.

Rejoignez le programme Threat Bounty pour obtenir un accès complet au seul Marché de Détection des Menaces où les chercheurs monétisent leur contenu. Améliorez votre arsenal de sécurité avec des éléments de contenu de détection inter-fournisseurs et inter-outils adaptés à plus de 25 technologies SIEM, EDR et XDR leaders du marché : appuyez sur le Voir les détections bouton pour obtenir un accès instantané à la riche bibliothèque d’algorithmes de détection de SOC Prime.

Voir les détections Rejoindre Threat Bounty

Description des malwares sans fichier

Des chercheurs de Fortinet ont partagé les résultats de leur enquête sur une série d’attaques de phishing affectant les utilisateurs de Microsoft Windows. Dans cette campagne de phishing, les acteurs de la menace ont envoyé un faux rapport de paiement, se faisant passer pour une source fiable, en phishing avec un document Microsoft Excel malveillant. L’objectif est d’attirer les destinataires de l’email à télécharger le fichier chargé de macros. Une fois que la victime potentielle l’ouvre, Office affiche un avertissement de sécurité, recommandant de désactiver les macros. Si l’utilisateur ignore la recommandation et active les macros, cela ouvre la voie à la pénétration des malwares.

Le malware est récupéré et installé sur le PC de la victime à l’aide de scripts VBA et PowerShell. Ce code comporte trois segments de code – les trois types de malware. Les cibles qui tombent dans le piège d’une attaque reçoivent trois souches de malware sans fichier, qui sont AveMariaRAT, BitRAT et PandoraHVNC. Le malware est utilisé pour voler des informations confidentielles et effectuer d’autres tâches malveillantes.

Actuellement, l’utilisation de macros malveillantes est en augmentation. Avec les solutions de défense cyber proactive fournies par SOC Prime, les équipes de sécurité augmentent les chances de détection efficace et de mitigation en temps opportun des violations. Combattez les cybermenaces qui échappent à vos solutions de sécurité avec 185 000+ règles de détection, analyseurs, requêtes de recherche, et autres éléments de contenu enrichis avec des références CTI, MITRE ATT&CK, descriptions CVE, et plus d’informations contextuelles pertinentes, tous disponibles dans le Marché de Détection des Menaces répertoire de la plateforme de SOC Prime.

Les spécialistes SOC aspirants et professionnels sont également invités à accéder à Cyber Library pour maîtriser leurs compétences avancées en SIEM, regarder des vidéos éducatives approfondies, et se tenir au courant des guides pratiques sur la chasse aux menaces.