VEIL#DROP Malware Chain Uses Blogger Platform to Deliver PureLogs Stealer
Mis à jour :
VEIL#DROP : Une chaîne d’infection furtive utilisant Blogger pour déployer PureLogs
La campagne VEIL#DROP est une chaîne d’attaque multi-étapes sophistiquée conçue pour déployer le voleur d’informations (infostealer) PureLogs. Utilisant l’ingénierie sociale et les infrastructures légitimes de Google, cette menace contourne efficacement les défenses périmétriques.
Points clés :
- Vecteur initial : Distribution via spear-phishing ou compromission par navigation (drive-by compromise).
- Déguisement : Le processus commence par un fichier JavaScript malveillant (ex:
transcript.pdf.js) mimant un document PDF. - Abus d’infrastructure : Utilisation de plateformes comme Blogger (
blogspot.com) pour héberger des charges utiles, profitant de la réputation positive des services Google pour éviter le blocage. - Furtivité extrême :
- Mutation dynamique : Le malware modifie ses propres URLs et signatures à l’exécution pour contrer la détection statique.
- Exécution “fileless” : Le code est chargé directement en mémoire via reflective code loading.
- Techniques LOLBin : Utilisation de binaires légitimes signés par Microsoft (ex:
msbuild.exe,regsvcs.exe) pour exécuter le code malveillant, rendant l’activité difficile à distinguer du trafic système normal.
- Objectif : Déploiement de PureLogs, un voleur de données .NET capable d’exfiltrer des informations sensibles et de faciliter le mouvement latéral ou l’accès aux infrastructures cloud.
Vulnérabilités :
- Aucune CVE spécifique n’est exploitée ; l’attaque repose sur l’abus de fonctionnalités système légitimes (Living-off-the-Land) et sur le contournement des politiques d’exécution PowerShell.
Recommandations :
- Durcissement PowerShell : Restreindre l’exécution de scripts PowerShell et activer une journalisation détaillée (Script Block Logging) pour surveiller les commandes suspectes.
- Contrôle des applications : Implémenter des politiques de contrôle d’exécution pour limiter l’utilisation abusive de binaires signés (LOLBins) comme
msbuild.exeouinstallutil.exepar des utilisateurs non privilégiés. - Filtrage DNS/URL : Bien que les services Google soient difficiles à bloquer totalement, surveiller les requêtes vers des sous-domaines
blogspot.comatypiques ou générés dynamiquement. - Sensibilisation : Éduquer les utilisateurs contre le téléchargement de fichiers avec des doubles extensions (ex:
.pdf.js). - EDR/XDR : Déployer des solutions capables de détecter le chargement de code en mémoire (reflective loading) et les comportements anormaux des processus système.
