Silver Fox Uses Fake Microsoft Teams Installer to Spread ValleyRAT Malware in China
Mis à jour :
Tactique du Renard Argenté : Le Cheval de Troie Microsoft Teams sème ValleyRAT
Une campagne de cybercriminalité, attribuée au groupe d’acteurs de menace “Silver Fox”, utilise une opération de fausse bannière pour masquer ses véritables intentions. Ciblant des organisations en Chine, y compris celles de pays occidentaux opérant dans la région, cette campagne déploie le logiciel malveillant ValleyRAT. Les attaquants exploitent l’optimisation pour les moteurs de recherche (SEO) afin de tromper les utilisateurs en les incitant à télécharger un faux programme d’installation de Microsoft Teams.
Ce faux installateur, dissimulé dans une archive compressée portant des éléments linguistiques russes dans le but de détourner l’attention quant à son origine, installe un cheval de Troie baptisé “Setup.exe”. Celui-ci est conçu pour désactiver les protections de sécurité, notamment celles de 360 Total Security et de Microsoft Defender, avant de déployer et d’exécuter d’autres composants malveillants.
ValleyRAT, une variante du Gh0st RAT, permet aux attaquants de prendre le contrôle à distance des systèmes infectés, d’exfiltrer des données sensibles, d’exécuter des commandes arbitraires et de maintenir une présence persistante sur les réseaux ciblés. L’analyse révèle que des techniques avancées comme le détournement de processus légitimes (“rundll32.exe”) et l’utilisation de pilotes vulnérables (Bring Your Own Vulnerable Driver - BYOVD) sont employées pour opérer furtivement et contourner les défenses. L’escalade des privilèges est également facilitée par un contournement du Contrôle de compte d’utilisateur (UAC).
Les objectifs de Silver Fox sont doubles : le gain financier par le vol et la fraude, ainsi que la collecte d’informations stratégiques pour des avantages géopolitiques. Les victimes sont exposées à des risques immédiats de violations de données, de pertes financières et de compromission de leurs systèmes.
Points clés :
- Acteur de menace : Silver Fox.
- Cible géographique : Organisations en Chine, y compris les entités occidentales y opérant.
- Méthode d’infection initiale : Campagne d’empoisonnement SEO utilisant de faux installateurs Microsoft Teams.
- Logiciel malveillant principal : ValleyRAT (variante de Gh0st RAT).
- Objectifs : Gain financier, espionnage.
- Techniques avancées : Désactivation des antivirus, exécution furtive dans la mémoire, utilisation de pilotes vulnérables (BYOVD), contournement de l’UAC.
- Tactiques de dissimulation : Utilisation d’éléments linguistiques russes pour masquer l’origine.
Vulnérabilités (CVE non spécifiées dans l’article) :
L’article ne mentionne pas de CVE spécifiques. Les vulnérabilités exploitées sont principalement liées aux techniques d’ingénierie sociale (hameçonnage via SEO) et à la capacité du malware à contourner les mécanismes de sécurité du système d’exploitation et les solutions antivirus. L’utilisation de pilotes vulnérables (BYOVD) est une technique connue qui permet de charger des pilotes malveillants, ce qui peut être considéré comme une exploitation de failles dans la gestion des pilotes par le système.
Recommandations :
- Vigilance accrue : Être extrêmement prudent lors du téléchargement de logiciels, même à partir de sources apparemment légitimes, et vérifier l’authenticité des sites web.
- Authentification des sources : Télécharger les logiciels uniquement à partir des sites officiels des éditeurs ou de sources de confiance reconnues.
- Mises à jour : Maintenir les systèmes d’exploitation et les logiciels de sécurité à jour pour bénéficier des derniers correctifs de sécurité.
- Solutions de sécurité : Utiliser et maintenir à jour des solutions antivirus et anti-malware robustes.
- Sensibilisation : Former régulièrement les utilisateurs aux risques de cybersécurité et aux techniques d’ingénierie sociale.