Hackers Exploit c-ares DLL Side-Loading to Bypass Security and Deploy Malware

Exploitation de bibliothèques légitimes pour la distribution de malwares

Une campagne de malwares utilise la technique de “DLL side-loading” pour contourner les défenses de sécurité et distribuer divers logiciels malveillants. Les attaquants exploitent une vulnérabilité dans la bibliothèque open-source c-ares, en combinant une DLL malveillante (libcares-2.dll) avec un exécutable légitime signé (ahost.exe, souvent renommé). Cette méthode permet au code malveillant d’être exécuté à l’insu des systèmes de sécurité basés sur les signatures.

La campagne distribue un large éventail de malwares, incluant Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat et XWorm. Les cibles principales sont les employés des secteurs de la finance, des achats, de la chaîne d’approvisionnement et de l’administration, avec des leurres rédigés dans plusieurs langues, suggérant une portée régionale ciblée. L’exécutable ahost.exe provient de l’application GitKraken Desktop.

Le processus d’attaque implique le placement d’une version malveillante de la DLL dans le même répertoire que le binaire vulnérable. Cela permet d’exploiter le processus de chargement des DLL pour exécuter le code malveillant au lieu de la version légitime. Les fichiers malveillants sont souvent déguisés en factures, demandes de devis ou contrats, et sont nommés de manière à tromper les utilisateurs.

Parallèlement, des rapports font état de campagnes de phishing ciblant Facebook, utilisant la technique “Browser-in-the-Browser” (BitB) pour créer de fausses fenêtres de connexion dans le navigateur légitime de la victime. Ces attaques, parfois déguisées en notifications juridiques, visent à voler les identifiants des utilisateurs. Elles exploitent des services d’hébergement légitimes comme Netlify et Vercel.

Une autre campagne de phishing, documentée début 2025, utilise des charges utiles Python et des tunnels Cloudflare pour distribuer AsyncRAT via des liens Dropbox. L’infection se déroule en plusieurs étapes, utilisant des scripts WSH, PowerShell et des utilitaires natifs, avec une fausse page PDF affichée pour détourner l’attention.

Points Clés :

• DLL Side-Loading : Exploitation d’une librairie légitime (c-ares) pour exécuter du code malveillant.
• Bypass de sécurité : Méthode permettant de contourner les défenses basées sur les signatures.
• Large distribution de malwares : Divers types de trojans et voleurs d’informations sont diffusés.
• Phishing sophistiqué : Utilisation de fausses fenêtres de connexion (BitB) et de services d’hébergement légitimes.
• Techniques “Living-off-the-Land” (LotL) : Exploitation d’outils et de scripts système natifs.

Vulnérabilités :

• DLL Side-Loading dans c-ares : Permet aux attaquants de charger une DLL malveillante à la place d’une légitime si elles se trouvent dans le même répertoire et portent le même nom (ou un nom que le système recherche en premier). Aucune CVE spécifique n’est mentionnée pour cette vulnérabilité dans l’article.

Recommandations :

• Surveillance accrue : Les équipes de sécurité doivent surveiller l’activité anormale liée au chargement de DLL.
• Gestion des accès et privilèges : Mettre en œuvre des contrôles d’accès stricts pour limiter la possibilité d’exécuter des codes non autorisés.
• Patch Management : Maintenir à jour les logiciels et les bibliothèques pour corriger les vulnérabilités connues.
• Formation à la sécurité : Sensibiliser les utilisateurs aux techniques de phishing et à l’importance de vérifier l’authenticité des demandes d’informations.
• Solutions de sécurité avancées : Utiliser des solutions capables de détecter les comportements suspects et le détournement de processus légitimes.
• Vérification des sources : Être vigilant quant aux fichiers exécutables et aux documents reçus, même s’ils proviennent de sources apparemment fiables.

Source