Proofpoint a détecté une augmentation de l’utilisation d’une nouvelle tactique d’ingénierie sociale : cette technique persuade les utilisateurs de copier et coller des scripts malveillants dans PowerShell, ce qui entraîne l’infection de leurs appareils par des logiciels malveillants. Les attaquants, dont le groupe TA571 et le collectif CrearFake, utilisent cette méthode pour propager divers types de logiciels malveillants tels que DarkGate, Matanbuchus, NetSupport et différents voleurs d’informations.
La stratégie utilisée est assez cohérente quelle que soit la manière dont la campagne est lancée. Les utilisateurs se voient présenter une fenêtre contextuelle indiquant une erreur lors de la tentative d’ouverture d’un document ou d’une page Web, fournissant des instructions pour copier et coller un script malveillant dans PowerShell ou dans la boîte de dialogue Exécuter de Windows, puis l’exécuter.
Il est clair que cette méthode d’attaque nécessite une interaction de l’utilisateur pour réussir. Le fait que ces cybercriminels utilisent des messages d’erreur et de fausses notifications dans leurs stratégies d’ingénierie sociale est très intelligent, car ils présentent à la fois un problème et sa solution afin que la victime puisse agir immédiatement sans s’arrêter pour réfléchir aux risques possibles.», expliquent-ils de l’équipe de recherche Proofpoint.
PowerShell en alerte
Le script malveillant est copié dans le presse-papiers à l’aide de JavaScript, une technique couramment utilisée sur les sites Web légitimes. Le code malveillant est intégré dans le HTML du site Web, codé de diverses manières telles que Base64, Base64 inversée, ou même en texte brut dans divers éléments et fonctions.
Les cybercriminels utilisent une nouvelle technique d’ingénierie sociale pour diffuser des logiciels malveillants via PowerShell
L’utilisation de ces différentes méthodes légitimes pour stocker du code malveillant, ainsi que l’exécution manuelle par la victime sans lien direct avec un fichier, complique la détection de ces menaces. Les systèmes antivirus et EDR rencontrent des difficultés pour analyser le contenu du presse-papiers. Il est donc crucial d’intercepter et de bloquer le code HTML ou le site Web malveillant avant qu’il n’atteigne la victime.
Lorsque l’on compare l’exécution de code malveillant via PowerShell à la boîte de dialogue Exécuter de Windows, il existe des différences importantes. L’utilisation de PowerShell nécessite plus d’étapes pour s’ouvrir, mais une fois sur place, l’utilisateur n’a qu’à cliquer avec le bouton droit pour coller et exécuter automatiquement le code, sans possibilité de révision préalable.
En revanche, avec la boîte de dialogue Exécuter, le processus peut être complété rapidement à l’aide de combinaisons de touches : Ctrl+R pour ouvrir la boîte de dialogue, Ctrl+V pour coller le code et Entrée pour l’exécuter. Cependant, cette méthode pourrait susciter des doutes chez la victime, qui, après avoir vu le code, pourrait décider d’annuler l’exécution.
