news 
cves 
 
 
 
 
#Quand un driver vulnérable permet aux malwares de prendre le contrôle de vos antivirus (BYOVD)
Analyse Mail Phishing
#Phishing en entreprise : une plongée dans la détection et l’analyse d’un mail malveillant
Bandeau Obscura Ransomware
#Obscura en action : découverte et analyse de ce "nouveau" ransomware
Gremlin Stealer
#Gremlin Stealer : Le nouveau voleur d’informations en vogue

Date : 11 novembre 2024

Nouvelle campagne de phishing déployant Remcos RAT avec des techniques d'évasion avancées

Remcos RAT campagne de phishing
Remcos RAT exploité dans une campagne de phishing sophistiquée

Fortinet's FortiGuard Labs a découvert une nouvelle campagne de phishing sophistiquée utilisant une variante avancée de Remcos RAT (Remote Administration Tool). L'attaque commence par un e-mail contenant un fichier Excel malveillant exploitant la vulnérabilité CVE-2017-0199, permettant l'exécution de code à distance sur la machine de la victime. Comme le souligne Fortinet : "Remcos est un RAT commercial... mais des acteurs malveillants l'ont détourné pour collecter des informations sensibles et contrôler les ordinateurs à distance."

Le workflow de l'attaque

Une fois le fichier Excel ouvert, la vulnérabilité CVE-2017-0199 est activée, téléchargeant silencieusement un fichier HTA (HTML Application). Ce fichier est exécuté par mshta.exe, qui télécharge ensuite un fichier supplémentaire : dllhost.exe. Celui-ci déclenche une série de scripts (JavaScript, VBScript, PowerShell) pour dissimuler le code malveillant et éviter la détection.

Email de phishing Remcos RAT
Exemple d'email de phishing exploitant Remcos RAT

Process Hollowing et persistance

Après l'exécution de dllhost.exe, la technique de process hollowing est utilisée pour injecter du code dans un nouveau processus nommé Vaccinerende.exe, rendant le malware invisible aux outils classiques. Pour persister, une entrée auto-run est créée dans le registre Windows, garantissant la survie du RAT après redémarrage.

Contrôle à distance avec Remcos RAT

Une fois installé, Remcos RAT se connecte à un serveur de commande et de contrôle (C2), envoyant des informations sur le système (processeur, mémoire, privilèges). Ce RAT est capable de keylogging, captures d'écran, contrôle des processus et exécution de commandes à distance.

Techniques d'évasion avancées

Cette campagne utilise des méthodes d'évasion sophistiquées : gestion des exceptions, appels d'API dynamiques et techniques anti-debugging. Une technique d'API hooking permet au malware de bloquer les outils d'analyse et rester furtif.

Conclusion

Cette campagne de phishing démontre une sophistication croissante des menaces, combinant infiltration et techniques d'évasion avancées. Comme toujours, vigilance et mises à jour régulières restent la meilleure défense.




#Quand un driver vulnérable permet aux malwares de prendre le contrôle de vos antivirus (BYOVD)

Analyse Mail Phishing
#Phishing en entreprise : une plongée dans la détection et l’analyse d’un mail malveillant

Bandeau Obscura Ransomware
#Obscura en action : découverte et analyse de ce "nouveau" ransomware

Gremlin Stealer
#Gremlin Stealer : Le nouveau voleur d’informations en vogue

Illustration du malware Chaya_003
#Chaya_003 : Un malware qui sème le chaos dans les systèmes OT industriels

projet-de-loi-resilience
#Projet de Loi sur la Résilience des Activités Vitales et Cybersécurité

binalyze-air
#Binalyze AiR - Le Superhéros de la Forensique Numérique

safepay-ransom
#SafePay Ransomware : Une Nouvelle Menace aux Techniques Sophistiquées

microsoft-abused-portal
#Le portail Microsoft 365 Admin utilisé pour envoyer des e-mails de sextorsion : quand la sécurité devient complice involontaire

github-backdooring-00
#Des commits malveillants sur GitHub : Une tentative de portes dérobées dans vos projets open source

glove-stealer
#Glove Stealer : Le nouveau malware qui se moque du chiffrement de cookies Chrome

fortinet-invisible
#FortiJump Higher : Fortinet et ses vulnérabilités « invisibles »

rustyattr-trojan
#RustyAttr Trojan : Le nouveau malware macOS du groupe Lazarus se rit des antivirus

shrinklocker-bitlocker
#Nouveau outil de déchiffrement ShrinkLocker : récupérez votre mot de passe BitLocker

roblox-games
#Roblox : Une Faille de Sécurité Expose 10 386 Comptes - Analyse Critique

Picard devanture
#Nom, prénom, coordonnées… 45.000 clients de Picard touchés par une fuite de données

Fuite massive MOVEit
#Fuite Massive de Données MOVEit : Des Hackers Exposent les Données des Employés d'Amazon, McDonald's et 1000+ Entreprises

Fickle Stealer malware
#Fickle Stealer : Le Malware Basé sur Rust qui Se Déguise en GitHub Desktop

Remcos RAT campagne de phishing
#Nouvelle campagne de phishing déployant Remcos RAT avec des techniques d'évasion avancées

Frag Ransomware attaque Veeam
#Frag Ransomware : une nouvelle menace exploite une vulnérabilité Veeam (CVE-2024-40711)

Clés RSA et AES cassées ?
#Les Clés de Chiffrement RSA et AES Cassées : Panique Inutile ou Procrastination Numérique ?

Phishing et IA générative
#Le Phishing 2.0 : Comment l'IA Générative Rend les Attaques Plus Persuasives et Difficiles à Détecter

infostealer-cest-quoi
#Qu'est-ce qu'un InfoStealer et comment fonctionne-t-il ?

CRONTRAP01
#CRON#TRAP : un nouveau malware infecte Windows en se cachant dans une machine virtuelle Linux pour échapper aux antivirus

android-vulnerability
#Google met en garde contre la vulnérabilité CVE-2024-43093 activement exploitée dans le système Android

@NOP_FIX 2025