Détection de Malware SVCReady : Un Nouveau Chargeur Massivement Distribué par Hameçonnage

[post-views]
juin 09, 2022 · 4 min de lecture
Détection de Malware SVCReady : Un Nouveau Chargeur Massivement Distribué par Hameçonnage

Découvrez SVCReady, un nouveau chargeur malveillant sur la scène ! Cette nouvelle souche est massivement distribuée via des campagnes de phishing depuis avril 2022, exploitant une routine d’infection inhabituelle. Selon les experts, SVCReady s’appuie sur un shellcode caché dans les propriétés du document Microsoft Office, lui permettant d’échapper aux solutions de sécurité. Le malware est actuellement en cours de développement actif, avec des mises à jour fréquentes de ses fonctionnalités observées jusqu’à présent, des astuces et caractéristiques sophistiquées supplémentaires pourraient bientôt être ajoutées pour renforcer ses capacités.

Détecter le malware SVCReady

Repérez l’activité malveillante liée au nouveau chargeur SVCReady avec une règle Sigma dédiée par notre développeur Threat Bounty expérimenté Kaan Yeniyol. Envie de monétiser vos compétences en détection de menaces ? Rejoignez notre Programme Threat Bounty, publiez vos règles Sigma sur la plateforme SOC Prime, et recevez des récompenses récurrentes tout en contribuant à la cyberdéfense collaborative.

La règle ci-dessous détecte la persistance suspecte de SVCReady en identifiant la tâche planifiée associée.

Persistance suspecte de malware SVCReady (juin 2022) par détection de tâche planifiée associée (via sécurité)

La détection est compatible avec 18 formats SIEM, EDR & XDR et alignée avec le cadre MITRE ATT&CK® v.10, traitant de la tactique d’exécution avec tâche/emploi planifié (T1053) comme technique principale.

Pour accéder à l’ensemble de la collection de règles Sigma pour détecter les dernières menaces cybernétiques, cliquez sur le bouton Détecter & Chasser ci-dessous. Pour explorer le contexte de menace supplémentaire, y compris les idées pour la chasse aux menaces, les conseils pour l’ingénierie de la détection, et les liens vers les dernières informations sur les menaces cybernétiques, cliquez sur Bouton Explorer le Contexte de Menace et accédez immédiatement au moteur de recherche de menaces cybernétiques de SOC Prime.

Détecter & Chasser Explorer le Contexte de Menace

Analyse de SVCReady

Selon l’ enquête de l’équipe de recherche sur les menaces de HP, SVCReady est une famille de logiciels malveillants précédemment non documentée qui a émergé en avril 2022. Depuis lors, le nouveau chargeur est massivement distribué via des campagnes de phishing.

La chaîne d’infection commence généralement par un email de phishing contenant des documents Microsoft Word malveillants en pièce jointe. Cependant, au lieu de la pratique traditionnelle d’utiliser PowerShell ou MSHTA via un macro malveillant, les mainteneurs de SVCReady s’appuient sur VBA pour exécuter le shellcode inséré dans les propriétés du fichier .doc. Une fois le shellcode extrait et exécuté avec le macro, il est chargé en mémoire pour utiliser la fonctionnalité API Windows « Virtual Protect » et obtenir les droits d’accès exécutables. À l’étape suivante, l’API SetTimer exécute le shellcode qui se traduit par un malware déposé sur l’instance ciblée.

Une fois infecté, le chargeur SVCReady est capable d’effectuer une longue liste d’actions malveillantes, notamment télécharger des fichiers vers le client compromis, prendre des captures d’écran, exécuter des commandes shell, établir la persistance par le biais d’une tâche planifiée, exécuter des fichiers, et livrer des charges utiles supplémentaires à l’environnement infecté. Les chercheurs de HP ont identifié plusieurs cas de RedLine stealer déposé par SVCReady en avril 2022.

Le collectif TA551 (Shatak) est soupçonné d’opérer les campagnes de SVCReady car les experts de HP observent un chevauchement majeur dans les tactiques. Plus précisément, la recherche indique les leurres d’images, les URLs de ressources, et d’autres détails utilisés par SVCReady et associés à des routines de TA551 observées par le passé. Cependant, l’attribution exacte des campagnes n’est actuellement pas claire.

Exploitez la puissance de la cyberdéfense collaborative et bénéficiez de la plateforme Detection as Code la plus avancée au monde, comprenant l’accès à plus de 190 000 algorithmes de détection soigneusement sélectionnés disponibles pour plus de 25 solutions SIEM, EDR & XDR.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Blog, Plateforme SOC Prime — 3 min de lecture
Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Steven Edwards
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Blog, Dernières Menaces — 5 min de lecture
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Veronika Telychko