VEIL#DROP Malware Chain Uses Blogger Platform to Deliver PureLogs Stealer

1 minute de lecture

Mis à jour :

VEIL#DROP : Une chaîne d’infection furtive utilisant Blogger pour déployer PureLogs

La campagne VEIL#DROP est une chaîne d’attaque multi-étapes sophistiquée conçue pour déployer le voleur d’informations (infostealer) PureLogs. Utilisant l’ingénierie sociale et les infrastructures légitimes de Google, cette menace contourne efficacement les défenses périmétriques.

Points clés :

  • Vecteur initial : Distribution via spear-phishing ou compromission par navigation (drive-by compromise).
  • Déguisement : Le processus commence par un fichier JavaScript malveillant (ex: transcript.pdf.js) mimant un document PDF.
  • Abus d’infrastructure : Utilisation de plateformes comme Blogger (blogspot.com) pour héberger des charges utiles, profitant de la réputation positive des services Google pour éviter le blocage.
  • Furtivité extrême :
    • Mutation dynamique : Le malware modifie ses propres URLs et signatures à l’exécution pour contrer la détection statique.
    • Exécution “fileless” : Le code est chargé directement en mémoire via reflective code loading.
    • Techniques LOLBin : Utilisation de binaires légitimes signés par Microsoft (ex: msbuild.exe, regsvcs.exe) pour exécuter le code malveillant, rendant l’activité difficile à distinguer du trafic système normal.
  • Objectif : Déploiement de PureLogs, un voleur de données .NET capable d’exfiltrer des informations sensibles et de faciliter le mouvement latéral ou l’accès aux infrastructures cloud.

Vulnérabilités :

  • Aucune CVE spécifique n’est exploitée ; l’attaque repose sur l’abus de fonctionnalités système légitimes (Living-off-the-Land) et sur le contournement des politiques d’exécution PowerShell.

Recommandations :

  • Durcissement PowerShell : Restreindre l’exécution de scripts PowerShell et activer une journalisation détaillée (Script Block Logging) pour surveiller les commandes suspectes.
  • Contrôle des applications : Implémenter des politiques de contrôle d’exécution pour limiter l’utilisation abusive de binaires signés (LOLBins) comme msbuild.exe ou installutil.exe par des utilisateurs non privilégiés.
  • Filtrage DNS/URL : Bien que les services Google soient difficiles à bloquer totalement, surveiller les requêtes vers des sous-domaines blogspot.com atypiques ou générés dynamiquement.
  • Sensibilisation : Éduquer les utilisateurs contre le téléchargement de fichiers avec des doubles extensions (ex: .pdf.js).
  • EDR/XDR : Déployer des solutions capables de détecter le chargement de code en mémoire (reflective loading) et les comportements anormaux des processus système.

Source