Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Fake Microsoft Alerts Used to Deploy North Korean NarwhalRAT Malware

2 minute de lecture

Mis à jour :

Menace persistante : Le malware NarwhalRAT distribué via de fausses alertes Microsoft

Le groupe de hackers nord-coréen ScarCruft (APT37) mène actuellement une campagne de spear-phishing utilisant de fausses alertes de sécurité Microsoft pour infecter des systèmes avec NarwhalRAT. Cette opération marque une évolution dans l’arsenal du groupe, délaissant son outil habituel, RokRAT, au profit de ce nouveau cheval de Troie d’accès à distance.

Points clés :

  • Vecteur d’attaque : Emails frauduleux alertant les utilisateurs d’une activité anormale sur leur compte Microsoft (usurpation d’identité).
  • Chaîne d’infection : L’email contient une archive ZIP avec un fichier .LNK malveillant. Celui-ci exécute un script batch téléchargeant un interpréteur Python, une bibliothèque Windows (CAT) et le payload final.
  • Persistance : Utilisation de tâches planifiées (ex: MicrosoftUserInterfacePicturesUpdateTackMachine) pour une exécution en mémoire, évitant ainsi de laisser des traces sur le disque.
  • Fonctionnalités du malware : Enregistrement de frappes (keylogging), captures d’écran haute résolution, enregistrement audio ambiant, exécution de commandes à distance et exfiltration de données USB.
  • Infrastructure C2 : Utilisation de sites web coréens détournés comme relais et de l’API de stockage cloud pCloud pour masquer les communications de commande et contrôle (dead drop resolver).
  • Dissimulation : Le malware utilise le dossier %APPDATA% averwhale pour camoufler ses données volées, se faisant passer pour le navigateur légitime “Naver Whale”.

Vulnérabilités exploitées : Il n’y a pas de CVE spécifique mentionnée, car l’attaque repose sur l’ingénierie sociale et l’exécution de fichiers légitimes (fichiers LNK, Python, services cloud) détournés de leur usage pour construire une chaîne d’infection personnalisée.

Recommandations :

  • Vigilance accrue : Sensibiliser les utilisateurs à la méfiance envers les emails d’alerte de sécurité non sollicités, particulièrement ceux incitant à ouvrir des pièces jointes de type archive (ZIP, RAR, etc.).
  • Contrôle des fichiers LNK : Bloquer ou restreindre l’exécution de fichiers .LNK provenant de sources externes ou de messageries.
  • Monitoring des tâches planifiées : Surveiller la création de tâches planifiées suspectes utilisant des noms imitant des composants légitimes de Microsoft.
  • Filtrage réseau : Surveiller les flux sortants vers des services de stockage cloud inhabituels ou des sites web non professionnels, surtout s’ils présentent des comportements de communication récurrents (beaconing).
  • Protection des endpoints : Utiliser des solutions EDR capables de détecter l’exécution de scripts en mémoire et le comportement anormal d’applications légitimes (comme l’interpréteur Python invoqué par des processus suspects).

Source

Vous pourriez aimer