Analyse technique : chaîne d'infection malspam vers loader .NET fileless en 5 étapes
🔍 Contexte Publié le 3 juin 2026 par Huntress (mis à jour le 5 juin 2026), cet article est une analyse technique détaillée d’une infection observée en mai 2026 par le SOC Huntress. L’attribution initiale à DesckVB RAT a été corrigée : le malware est désormais identifié comme un loader .NET non identifié. 📧 Vecteur initial : malspam via DoubleClick L’accès initial s’effectue via un email malveillant contenant une pièce jointe HTML (Bestellung_2026.html, « bon de commande » en allemand). Cette pièce jointe effectue une redirection meta-refresh immédiate vers une URL de tracking Google DoubleClick (ad.doubleclick.net/ddm/trackclk/...), exploitant la haute réputation de ce domaine pour contourner les passerelles email. ...