Les chercheurs en cybersécurité ont révélé les détails d’une nouvelle campagne qui exploite ConnectWise ScreenConnect, un logiciel légitime de surveillance et de gestion à distance (RMM), pour fournir un chargeur sans chair qui dépose un cheval de Troie d’accès à distance (RAT) appelé AsyncRAT pour voler des données sensibles à des hôtes compromis.

« L’attaquant a utilisé ScreenConnect pour obtenir un accès à distance, puis a exécuté un chargeur VBScript et PowerShell en couches qui récupérait et exécutait des composants obscurcis à partir d’URL externes », a déclaré LevelBlue dans un rapport partagé avec The Hacker News. « Ces composants comprenaient des assemblys .NET codés, finalement décompressés dans AsyncRAT, tout en maintenant la persistance via une fausse tâche planifiée de type « Skype Updater ». »

Dans la chaîne d’infection documentée par la société de cybersécurité, il a été découvert que les acteurs de la menace exploitaient un déploiement ScreenConnect pour lancer une session à distance et lancer une charge utile Visual Basic Script via une activité pratique sur le clavier.

« Nous avons vu des installateurs ScreenConnect trojanisés se faisant passer pour des documents financiers et autres documents commerciaux envoyés via des e-mails de phishing », a déclaré Sean Shirley, analyste SOC de LevelBlue MDR, à The Hacker News.

Le script, quant à lui, est conçu pour récupérer deux charges utiles externes (« logs.ldk » et « logs.ldr ») sur un serveur contrôlé par un attaquant, via un script PowerShell. Le premier des deux fichiers, « logs.ldk », est une DLL chargée d’écrire un script Visual Basic secondaire sur le disque, l’utilisant pour établir la persistance via une tâche planifiée, en le faisant passer pour « Skype Updater » afin d’échapper à la détection.

Ce script Visual Basic reprend la logique PowerShell observée au début de l’attaque. La tâche planifiée garantit l’exécution automatique de la charge utile après chaque connexion.

Le script PowerShell, en plus de charger « logs.ldk » en tant qu’assembly .NET, transmet « logs.ldr » en entrée à l’assembly chargé, ce qui conduit à l’exécution d’un binaire (« AsyncClient.exe »), qui est la charge utile AsyncRAT avec des capacités pour enregistrer les frappes au clavier, voler les informations d’identification du navigateur, prendre les empreintes digitales du système et rechercher les applications de bureau de portefeuille de crypto-monnaie installées et les extensions de navigateur dans Google Chrome, Brave, Microsoft Edge, Opera et Mozilla Firefox.

Toutes ces informations collectées sont finalement exfiltrées vers un serveur de commande et de contrôle (C2) (« 3osch20.duckdns[.]org ») via un socket TCP, auquel le logiciel malveillant se connecte pour exécuter des charges utiles et recevoir des commandes post-exploitation. Les paramètres de connexion C2 sont soit codés en dur, soit extraits d’une URL Pastebin distante.

« Les logiciels malveillants sans fichier continuent de représenter un défi majeur pour les défenses de cybersécurité modernes en raison de leur nature furtive et de leur dépendance à des outils système légitimes pour leur exécution », a déclaré LevelBlue. « Contrairement aux logiciels malveillants traditionnels qui écrivent des charges utiles sur le disque, les menaces sans fichier opèrent en mémoire, ce qui les rend plus difficiles à détecter, à analyser et à éradiquer. »