AMSI Bypass

🔍 Contexte Publié le 14 mai 2026 par l’équipe LAT61 Threat Intelligence de Point Wild (Kedar Shashikant Pandit, Prathamesh Shingare, Amol Swami), cet article présente une analyse technique approfondie d’un échantillon Python packagé via PyInstaller, identifié comme un loader multi-étapes déployant le RAT XWorm V7.4. 🧩 Chaîne d’infection L’exécutable initial est détecté comme PyInstaller [modified], suggérant une altération délibérée pour entraver l’analyse statique. Après extraction, le fichier .pyc malveillant principal est identifié : BA4Q6ACPMNrd980FwZn9iEbEqkjvRmw7FhW.pyc. ...

🔍 Contexte Publié le 19 avril 2026 par Ctrl-Alt-Intel (https://ctrlaltintel.com), cet article constitue une analyse technique approfondie de la plateforme FudCrypt (fudcrypt.net), un service de cryptage de malwares (Cryptor-as-a-Service) accessible par abonnement mensuel entre 800 et 2 000 USD. 🏗️ Architecture et modèle commercial FudCrypt propose trois niveaux d’abonnement : Starter (800$/mois) : 1 build/jour, carriers ProtonVPN/Zoom/SharePoint/CCleaner, persistance basique Pro (1 500$/mois) : 5 builds/jour, carriers supplémentaires, anti-VM Enterprise (2 000$/mois) : builds illimités, bypass UAC, désactivation Defender, anti-debug, anti-VM La base de données récupérée révèle 200 utilisateurs enregistrés, 334 builds, 46 enregistrements de paiement en cryptomonnaies (BTC, USDT, ETH, LTC, XMR) dont 4 confirmés pour un total de 4 820 USD. ...

🔍 Contexte Rapid7 a publié le 16 avril 2026 une analyse technique d’une campagne de phishing de type ClickFix détectée le 9 avril 2026 auprès de clients situés dans l’Union Européenne et aux États-Unis. La campagne présentait peu de visibilité sur VirusTotal au moment de sa découverte. 🎯 Vecteur d’attaque La campagne se distingue par l’usurpation de l’identité de Claude, l’assistant IA d’Anthropic. Un faux installateur MSIX (claude.msixbundle) était servi depuis le domaine download-version[.]1-5-8[.]com. L’exécution initiale passait par mshta lancé via l’utilitaire Windows Run, enregistré dans la clé de registre RunMRU. ...

🔍 Contexte Publié sur GitHub (Whitecat18/Rust-for-Malware-Development), cet article présente un proof-of-concept (PoC) en Rust implémentant un contournement de l’Antimalware Scan Interface (AMSI) de Microsoft sans modifier un seul octet de amsi.dll. ⚙️ Mécanisme technique La technique repose sur l’exploitation des exceptions de page mémoire gardée (Page Guard) : La page mémoire contenant AmsiScanBuffer est transformée en « trap » via VirtualProtect avec le flag PAGE_GUARD. Tout appel à AmsiScanBuffer déclenche une violation de page gardée (exception 0x80000001) avant l’exécution de la première instruction. Un Vectored Exception Handler (VEH) intercepte cette exception et : Écrit AMSI_RESULT_CLEAN dans la variable résultat du caller (via déréférencement du pointeur en [Rsp+0x30]). Simule un ret pour retourner au caller. Réarme le piège via une exception de single-step (0x80000004) pour le prochain appel. 🧩 Point critique d’implémentation L’article souligne un gotcha critique : l’argument 6 sur la pile ([Rsp+0x30]) est un pointeur vers AMSI_RESULT, pas la valeur directe. Il faut charger le pointeur puis le déréférencer — écrire directement dans le slot de pile corrompt la pile sans affecter la variable résultat du caller. ...

Selon Unit 42 (Palo Alto Networks), cette recherche détaille un nouvel acteur étatique chinois, « Phantom Taurus », menant des opérations d’espionnage sur le long terme contre des organisations gouvernementales et des télécoms en Afrique, au Moyen-Orient et en Asie. L’enquête (sur plus de deux ans et demi) décrit l’évolution du groupe : passage d’un vol de données centré sur l’email à un ciblage direct des bases de données. Les objectifs observés s’alignent avec des intérêts stratégiques de la RPC, notamment les communications diplomatiques, le renseignement de défense et des opérations gouvernementales critiques, avec une activité corrélée à d’importants événements géopolitiques. ...

Selon Seqrite Labs, une nouvelle menace baptisée « Noisy Bear » mène des attaques ciblées contre des employés de KazMunaiGas au Kazakhstan, en s’appuyant sur des leurres RH (planning de salaires) pour livrer une chaîne d’infection multi‑étapes et obtenir un accès persistant. • Nature de l’attaque: spear‑phishing avec faux emails RH contenant des archives ZIP et des fichiers LNK agissant comme téléchargeurs. • Charge utile et persistance: déploiement d’un implant DLL 64‑bit assurant un accès persistant et une cohabitation singleton (sémaphores), avec injections de code dans des processus système. • Impact visé: prise de contrôle à distance via reverse shell, maintien furtif et persistance sur les postes ciblés du secteur de l’énergie. • Infrastructures et attribution: utilisation d’une infrastructure hébergée chez Aeza Group LLC (hébergeur sanctionné) et d’outils open source de red team, éléments suggérant une possible attribution russe. ...