https://cyberveille.ch/tags/setup.msi/ Recent content in Setup.msi on CyberVeille Hugo -- 0.146.0 fr-fr Tue, 07 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-07-campagne-malveillante-via-whatsapp-scripts-vbs-et-backdoors-msi-en-plusieurs-etapes/ Tue, 07 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-07-campagne-malveillante-via-whatsapp-scripts-vbs-et-backdoors-msi-en-plusieurs-etapes/ <h2 id="-contexte">🔍 Contexte</h2> <p>Cette analyse technique a été publiée le 31 mars 2026 par la <strong>Microsoft Defender Security Research Team</strong>. Elle documente une campagne active observée depuis fin février 2026, exploitant <strong>WhatsApp</strong> comme vecteur de distribution de fichiers <strong>VBScript (VBS)</strong> malveillants.</p> <h2 id="-chaîne-dinfection">🎯 Chaîne d&rsquo;infection</h2> <p>La campagne se déroule en quatre étapes distinctes :</p> <ul> <li><strong>Étape 1 – Accès initial</strong> : Des fichiers VBS sont envoyés via WhatsApp. Une fois exécutés, ils créent des dossiers cachés dans <code>C:\ProgramData</code> et y déposent des utilitaires Windows légitimes renommés (<code>curl.exe</code> → <code>netapi.dll</code>, <code>bitsadmin.exe</code> → <code>sc.exe</code>) pour se fondre dans l&rsquo;environnement système.</li> <li><strong>Étape 2 – Récupération de payloads</strong> : Les binaires renommés téléchargent des droppers secondaires (<code>auxs.vbs</code>, <code>WinUpdate_KB5034231.vbs</code>, <code>2009.vbs</code>) depuis des services cloud légitimes (<strong>AWS S3</strong>, <strong>Tencent Cloud</strong>, <strong>Backblaze B2</strong>), dans un dossier caché <code>C:\ProgramData\EDS8738</code>.</li> <li><strong>Étape 3 – Élévation de privilèges et persistance</strong> : Le malware tente de contourner l&rsquo;<strong>UAC</strong> en lançant <code>cmd.exe</code> avec des privilèges élevés, modifie la valeur de registre <code>ConsentPromptBehaviorAdmin</code> sous <code>HKLM\Software\Microsoft\Win</code>, et installe des mécanismes de persistance survivant aux redémarrages.</li> <li><strong>Étape 4 – Payload final</strong> : Des installeurs <strong>MSI non signés</strong> sont déployés (<code>Setup.msi</code>, <code>WinRAR.msi</code>, <code>LinkPoint.msi</code>, <code>AnyDesk.msi</code>), permettant un accès distant persistant aux systèmes compromis.</li> </ul> <h2 id="-techniques-notables">🛠️ Techniques notables</h2> <ul> <li><strong>Living-off-the-land (LOLBAS)</strong> : utilisation de <code>curl.exe</code> et <code>bitsadmin.exe</code> renommés</li> <li><strong>Hébergement cloud</strong> : payloads hébergés sur AWS S3, Tencent Cloud, Backblaze B2</li> <li><strong>Bypass UAC</strong> via modification du registre</li> <li><strong>Discordance PE metadata</strong> : les binaires renommés conservent leur champ <code>OriginalFileName</code> d&rsquo;origine, exploitable comme signal de détection</li> </ul> <h2 id="-infrastructure-c2">📡 Infrastructure C2</h2> <p>Deux domaines de commande et contrôle ont été identifiés : <code>neescil.top</code> et <code>velthora.top</code>.</p>