Les chercheurs signalent qu’une nouvelle version du cheval de Troie d’accès à distance JSSLoader est distribuée des compléments Microsoft Excel malveillants.
Le RAT (cheval de Troie d’accès à distance) particulier circule dans la nature depuis décembre 2020, lié au groupe de piratage russe à motivation financière FIN7, également connu sous le nom de « Carbanak ».
JSSLoader est un petit RAT léger qui peut effectuer une exfiltration de données, établir la persistance, récupérer et charger des charges utiles supplémentaires, se mettre à jour automatiquement, etc.
Compléments Excel
La dernière campagne impliquant une nouvelle version plus furtive de JSSLoader a été observée par les analystes des menaces de Laboratoires Morphisecqui affirment que le mécanisme de distribution consiste actuellement à hameçonner des e-mails avec des pièces jointes XLL ou XLM.
L’abus des compléments Excel XLL n’est pas nouveau, car ils sont couramment utilisés à des fins légitimes, telles que l’importation de données dans une feuille de calcul ou l’extension des fonctionnalités d’Excel.
Dans la campagne en cours, cependant, les acteurs de la menace utilisent un fichier non signé, donc Excel montrera à la victime un avertissement clair sur les risques de l’exécuter.
(Morphisec)
Lorsqu’ils sont activés, les fichiers XLL utilisent un code malveillant dans une fonction xlAutoOpen pour se charger en mémoire, puis télécharger la charge utile à partir d’un serveur distant et l’exécuter en tant que nouveau processus via un appel API.
Obfuscation plus sophistiquée
L’auteur de la menace actualise régulièrement l’agent utilisateur sur les fichiers XLL pour échapper aux EDR qui consolident les informations de détection de l’ensemble du réseau.
Par rapport à Versions plus anciennesle nouveau JSSLoader a le même flux d’exécution, mais il est désormais livré avec une nouvelle couche d’obscurcissement des chaînes qui inclut le renommage de toutes les fonctions et variables.
Pour échapper à la détection des règles YARA basées sur des chaînes utilisées par les défenseurs, le nouveau RAT a divisé les chaînes en sous-chaînes et les concatène au moment de l’exécution.
Enfin, le mécanisme de décodage de chaîne est simple afin de laisser une empreinte minimale et de réduire les chances d’être détecté par des scanners de menaces statiques.
Morphisec rapporte que ces nouveaux ajouts combinés à la livraison de fichiers XLL sont suffisants pour empêcher la détection des solutions antivirus de nouvelle génération (NGAV) et de détection et de réponse des terminaux (EDR) difficiles, voire invraisemblables.
Cela permet à FIN7 de se déplacer sans se laisser décourager dans le réseau compromis pendant plusieurs jours ou semaines avant que les défenseurs ne chargent des signatures correspondantes sur des outils qui complètent les solutions de détection basées sur l’IA.
FIN7 est un groupe de menaces ingénieux qui a déjà livré des clés USB contenant des logiciels malveillants ainsi que des cadeaux d’ours en peluche, a tenté d’embaucher des experts en pénétration de réseau en se faisant passer pour une entreprise de sécurité légitime et a envoyé des clés USB contenant des ransomwares par courrier postal.
La nouvelle version plus furtive de JSSLoader n’est qu’une partie de leur arsenal, les aidant à se cacher plus longtemps dans les réseaux sans être détectés et arrêtés.