Selon Seqrite, une campagne de phishing ciblant des utilisateurs en Colombie abuse de faux avis judiciaires en espagnol pour délivrer AsyncRAT via une chaîne d’infection multi‑étapes et des techniques d’évasion avancées.
-
🎣 Vecteur initial: e-mails usurpant le Bureau du Procureur général avec pièce jointe SVG contenant du JavaScript, enrichis de détails géographiques et institutionnels pour crédibiliser l’arnaque.
-
🔗 Chaîne d’infection: le SVG décode et dépose un HTA qui exécute un dropper VBS (actualiza.vbs) lançant un PowerShell (veooZ.ps1). Celui‑ci télécharge des charges encodées depuis des URLs dpaste, décode un loader .NET (classlibrary3.dll), puis récupère un injecteur et la charge AsyncRAT.
-
🧬 Chargement et injection: l’injecteur réalise du process hollowing pour injecter AsyncRAT dans MSBuild.exe.
-
🛡️ Évasion et persistance: anti‑VM, surveillance de processus, neutralisation d’outils de sécurité, et persistance via modification du registre et tâches planifiées.
-
🌐 C2 et exfiltration: connexions TCP encapsulées en TLS, sérialisation MessagePack, et exfiltration d’informations système (HWID, détails OS, présence de webcam).
IoCs observés (extraits du rapport):
- Fichiers/artefacts: actualiza.vbs, veooZ.ps1, classlibrary3.dll, injection dans MSBuild.exe
- Hébergement de charges: dpaste (URLs spécifiques non détaillées)
TTPs (MITRE ATT&CK):
- Initial: Pièce jointe malveillante (SVG avec JavaScript), HTA
- Exécution/Dropper: VBS, PowerShell, loader .NET
- Défense/Evasion: anti‑VM, kill de processus de sécurité, process hollowing, injection dans MSBuild.exe
- Persistance: RunKey/Registre, Tâches planifiées
- C2: TLS sur TCP, MessagePack
- Découverte/Exfiltration: collecte d’HWID, OS, webcam
Type d’article: analyse de menace visant à documenter la chaîne d’infection, les capacités d’évasion et les TTPs de la campagne.
🧠 TTPs et IOCs détectés
TTPs
[‘T1566.001 - Spear Phishing Attachment’, ‘T1203 - Exploitation for Client Execution’, ‘T1059.005 - Visual Basic’, ‘T1059.001 - PowerShell’, ‘T1027 - Obfuscated Files or Information’, ‘T1055.012 - Process Hollowing’, ‘T1218.011 - Trusted Developer Utilities Proxy Execution: MSBuild’, ‘T1497.001 - Virtualization/Sandbox Evasion’, ‘T1562.001 - Disable or Modify Tools’, ‘T1547.001 - Registry Run Keys / Startup Folder’, ‘T1053.005 - Scheduled Task/Job’, ‘T1573.001 - Encrypted Channel: Symmetric Cryptography’, ‘T1022 - Data Encrypted’, ‘T1083 - File and Directory Discovery’, ‘T1125 - Video Capture’]
IOCs
[‘actualiza.vbs’, ‘veooZ.ps1’, ‘classlibrary3.dll’, ‘Injection in MSBuild.exe’, ‘dpaste (URLs spécifiques non détaillées)’]
🔗 Source originale : https://www.seqrite.com/blog/judicial-notification-phish-colombia-svg-asyncrat/