https://cyberveille.ch/tags/vbs-dropper/ Recent content in VBS Dropper on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sat, 13 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-13-analyse-technique-du-framework-c2-havoc-techniques-d-evasion-et-cycle-d-infection/ Sat, 13 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-13-analyse-technique-du-framework-c2-havoc-techniques-d-evasion-et-cycle-d-infection/ <p>🔍 <strong>Contexte</strong> : Le 10 juin 2026, l&rsquo;équipe SonicWall Capture Labs Threat Research a publié une analyse technique d&rsquo;un échantillon du framework C2 <strong>Havoc</strong>, connu pour ses capacités de furtivité avancées et utilisé dans diverses campagnes malveillantes.</p> <p>⚙️ <strong>Cycle d&rsquo;infection</strong> : L&rsquo;infection se déroule en deux étapes :</p> <ul> <li>Un <strong>script VBS</strong> légèrement obfusqué télécharge et exécute un binaire malveillant sous forme de <strong>bundle MSI</strong> (<code>update.msi</code>)</li> <li>Le MSI dépose deux fichiers imitant des composants Microsoft légitimes : <strong><code>EndpointDLP.dll</code></strong> et <strong><code>MpExtMs.exe</code></strong>, dans le répertoire <code>C:\Users\user\AppData\Local\PlatformServices\</code></li> <li><code>EndpointDLP.dll</code> présente un horodatage falsifié à <strong>2070</strong> (timestomping)</li> </ul> <p>🛡️ <strong>Techniques d&rsquo;évasion</strong> :</p>