Source: AISI – Osservatorio sulla Cybersecurity (Dipartimento di Management ed Economia). Contexte: rapport du Laboratorio di Analisi Malware dirigé par Luigi Martire, disséquant une chaîne malspam distribuant l’infostealer PureLogs.

Les chercheurs ont identifié une nouvelle chaîne de malspam utilisée pour diffuser l’infostealer PureLogs, un malware spécialisé dans le vol massif de données sensibles. La campagne repose sur des emails de phishing ciblés, se faisant passer pour des communications légitimes d’entreprises de logistique, afin d’inciter les victimes à ouvrir des documents Microsoft Word piégés.

Les fichiers malveillants exploitent une technique d’injection de modèle distant (Template Injection) combinée à l’exploitation de la vulnérabilité CVE-2017-11882, permettant l’exécution de code à distance sans macros. Cette approche réduit les alertes de sécurité et augmente le taux de succès auprès des utilisateurs.

Une fois exécutée, la charge utile télécharge et lance plusieurs composants intermédiaires fortement obfusqués et packés, avant d’installer PureLogs sur le système compromis. Le malware collecte ensuite un large éventail d’informations, notamment des identifiants de navigateurs, des cookies de session, des emails, et d’autres données locales sensibles, avant de les exfiltrer vers une infrastructure de commande et contrôle (C2).

Cette campagne illustre une évolution des techniques de phishing, combinant ingénierie sociale crédible, exploitation de vulnérabilités anciennes mais toujours efficaces, et chaînes d’infection multi-étapes conçues pour échapper à la détection et maximiser la collecte de données.

• Vecteur initial: malspam se faisant passer pour PKS International Cargo S.A. (logistique polonaise) avec un DOCX « scansione0038.docx » (24/66 AV sur VirusTotal). Le document abuse du Template Injection (word/_rels/settings.xml.rels) pour récupérer un RTF distant (go.arcanite.ch) exploitant CVE‑2017‑11882 (Equation Editor) et exécuter du shellcode. Le shellcode télécharge le binaire suivant depuis hxxp://107.173.47.147/236/emcs.exe.

• Chaîne de loaders: le binaire « emcs.exe » est un loader .NET (C#/.NET 4.0) qui charge en mémoire une DLL .NET protégée par SmartAssembly, utilisant ResourceManager, ressources déguisées (bitmaps) et Assembly.Load(byte[]) (exécution en mémoire) pour reconstruire des blocs chiffrés en payload final PureLogs. Toute la chaîne opère en multi‑étapes, avec obfuscation et chargement réflexif afin d’éviter l’écriture disque et les détections.

• Payload final: PureLogs Stealer (hash: 9c164687268cf1235c52a649e4d7ac9497b4925637c7b9abcbb6df1811e09472) met en œuvre anti‑debug (Debugger.IsAttached), charge une configuration encodée (Base64‑like) et utilise une clé 3DES « 0ujrEBf9NNpNkYVDXbVpRmkm+hL3LXsn » pour déchiffrer ses paramètres. Il crée un mutex (prévention de doublons), effectue un healthcheck C2 (infra observée hors‑ligne au moment de l’analyse), puis lance en parallèle (Tasks) la collecte de données (empreinte système, identifiants navigateurs, tokens Discord, cookies, etc.) et exfiltre via Socket.Send.

• Techniques clés: phishing (spearphishing attachment), template injection, exploitation client (CVE‑2017‑11882), obfuscation/packing, chargement en mémoire, évasion sandbox/temps, mutex, découverte système, vol d’identifiants depuis navigateurs et stores, exfiltration sur canal C2.

• IOCs et TTPs ci‑dessous. Le rapport est une analyse technique visant à documenter la chaîne d’infection, les artefacts et les comportements MITRE ATT&CK.

IoCs (Indicators of Compromise) 📍

  • Hashes:
    • 54c67d82164a2326ad7585995c39de920471f33401d272260e21ee4968f59a50
    • 9c164687268cf1235c52a649e4d7ac9497b4925637c7b9abcbb6df1811e09472
    • 9f679fd62939a6a3236fc6a91a93d19071a28750cbcfb464bf37c77183d7ead4
    • 76cae04f9b3c1fe16f10b2740ff23a067258babf7f520c81a6fb16687f425d19
    • 54c67d82164a2326ad7585995c39de920471f33401d272260e21ee4968f59a50
    • 8b7cfe23539027e6b32aa7be3f7be406e10d40a3f73b7a7bf1b5d105214cc123
    • ecb52ac571074c4c501344241912a964ab30356a3883ca2c1db3b3b6914399a6
  • Réseaux:

TTPs (MITRE ATT&CK) 🧰

  • Initial Access: T1566.001 (Phishing: Spearphishing Attachment)
  • Execution: T1204, T1204.002 (Malicious File), T1221 (Template Injection), T1203 (Exploitation for Client Execution), T1106 (Native API)
  • Defense Evasion: T1027, T1027.002 (Software Packing), T1027.006 (Embedded Payloads), T1140 (Deobfuscate/Decode), T1620 (Reflective Code Loading), T1055 (Process Injection), T1497.001/.003 (Virtualization/Time-Based Evasion), T1542.003 (Mutex)
  • Discovery: T1082, T1083
  • Credential Access: T1555, T1555.003, T1539
  • Collection: T1119, T1114, T1056, T1025, T1005
  • Command & Control: T1071.001, T1105, T1008
  • Exfiltration: T1567.002, T1041

🧠 TTPs et IOCs détectés

TTP

[‘T1566.001’, ‘T1204’, ‘T1204.002’, ‘T1221’, ‘T1203’, ‘T1106’, ‘T1027’, ‘T1027.002’, ‘T1027.006’, ‘T1140’, ‘T1620’, ‘T1055’, ‘T1497.001’, ‘T1497.003’, ‘T1542.003’, ‘T1082’, ‘T1083’, ‘T1555’, ‘T1555.003’, ‘T1539’, ‘T1119’, ‘T1114’, ‘T1056’, ‘T1025’, ‘T1005’, ‘T1071.001’, ‘T1105’, ‘T1008’, ‘T1567.002’, ‘T1041’]

IOC

{‘hashes’: [‘54c67d82164a2326ad7585995c39de920471f33401d272260e21ee4968f59a50’, ‘9c164687268cf1235c52a649e4d7ac9497b4925637c7b9abcbb6df1811e09472’, ‘9f679fd62939a6a3236fc6a91a93d19071a28750cbcfb464bf37c77183d7ead4’, ‘76cae04f9b3c1fe16f10b2740ff23a067258babf7f520c81a6fb16687f425d19’, ‘8b7cfe23539027e6b32aa7be3f7be406e10d40a3f73b7a7bf1b5d105214cc123’, ’ecb52ac571074c4c501344241912a964ab30356a3883ca2c1db3b3b6914399a6’], ‘domains’: [‘go.arcanite.ch’], ‘ips’: [‘107.173.47.147’, ‘185.149.24.201’]}

🔗 Source originale : https://dimanec.unipegaso.it/losservatorio-sulla-cybersecurity-del-centro-di-ricerca-aisi-pubblica-il-report-dissecting-a-new-malspam-chain-delivering-purelogs-infostealer-november-25-2025/