Porte dérobée DRILLAPP

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT), Portes dérobées

Se traduisent par :

Des analystes en cybersécurité ont identifié une nouvelle campagne de menaces ciblant des organisations ukrainiennes, avec des indices suggérant l'implication d'acteurs liés à la Russie. Cette activité, observée pour la première fois en février 2026, présente des similitudes techniques avec une opération précédente attribuée au groupe Laundry Bear (également connu sous les noms de code UAC-0190 ou Void Blizzard). Cette précédente campagne ciblait les forces de défense ukrainiennes et avait déployé une famille de logiciels malveillants appelée PLUGGYAPE.

La dernière opération introduit une porte dérobée JavaScript exécutée via le navigateur Microsoft Edge. Ce logiciel malveillant, baptisé DRILLAPP par les chercheurs, exploite les fonctionnalités du navigateur pour télécharger et téléverser des fichiers, accéder au microphone et capturer des images de la webcam de la victime.

Les attaquants utilisent des techniques d'ingénierie sociale pour diffuser les composants malveillants. Ils emploient des appâts faisant référence à des affaires juridiques ou à des causes caritatives pour inciter les victimes à ouvrir des fichiers malveillants et déclencher la chaîne d'infection.

Table des matières

Leurres trompeurs et méthode d’infection initiale

La campagne a été observée sous deux formes distinctes. La première, détectée début février 2026, utilise un raccourci Windows (LNK) comme vecteur initial. À son exécution, ce raccourci crée un fichier d'application HTML (HTA) dans le répertoire temporaire du système. Ce fichier HTA récupère ensuite un script distant hébergé sur le service de partage de texte légitime Pastefy.

Pour assurer la persistance de l'infection sur les systèmes compromis, les attaquants copient le fichier LNK malveillant dans le dossier de démarrage de Windows, garantissant ainsi son exécution automatique à chaque redémarrage du système. Une fois la chaîne d'infection amorcée, les victimes sont confrontées à des URL trompeuses, contenant notamment des instructions relatives à l'installation de Starlink ou des références à l'association caritative ukrainienne Come Back Alive Foundation.

Le fichier HTA s'exécute finalement via le navigateur Microsoft Edge fonctionnant en mode sans interface graphique, permettant ainsi au navigateur d'exécuter le script obscurci récupéré depuis Pastefy sans afficher de fenêtre de navigateur standard.

Exploitation des paramètres du navigateur pour un accès furtif

Pour maximiser ses capacités, le processus malveillant lance le navigateur Edge avec de multiples paramètres qui affaiblissent les protections de sécurité intégrées et permettent un accès non autorisé aux ressources système sensibles.

Ces paramètres permettent à l'instance du navigateur de contourner les protections habituelles et d'effectuer des actions normalement interdites par les modèles de sécurité du navigateur. Cette configuration permet ainsi au logiciel malveillant d'accéder aux fichiers locaux, de capturer les flux audio et vidéo et d'enregistrer l'activité de l'écran sans aucune intervention de la victime.

Les principaux paramètres du navigateur utilisés lors de l'attaque sont les suivants :

--pas de bac à sable

--désactiver-la-sécurité-web

--autoriser-l'accès-aux-fichiers-à-partir-des-fichiers

--utiliser-fausse-interface-pour-flux-média

--auto-select-screen-capture-source=true

--désactiver la sécurité des médias utilisateurs

En détournant ces paramètres, le navigateur devient un élément fonctionnel de l'infrastructure du logiciel malveillant plutôt qu'une simple plateforme de diffusion.

Porte dérobée et capacités de surveillance basées sur un navigateur

L'artefact DRILLAPP fonctionne comme une porte dérobée légère mais polyvalente. Une fois activée, elle permet aux attaquants d'interagir avec le système infecté via les fonctionnalités du navigateur, transformant ainsi ce dernier en un outil de surveillance à distance.

Ce logiciel malveillant est capable d'effectuer plusieurs opérations permettant une surveillance étendue et une collecte de données à partir des appareils compromis.

Les principales capacités comprennent :

Téléchargement et chargement de fichiers depuis le système local
Capture audio via le microphone de l'appareil
Enregistrement vidéo via la webcam
Capture d'écran de l'écran système
Générer une empreinte digitale unique d'un appareil à l'aide de techniques d'empreinte digitale Canvas

Lors de sa première exécution, le logiciel malveillant génère une empreinte numérique du périphérique et utilise Pastefy comme « résolveur de boîte noire » pour récupérer une adresse WebSocket servant aux communications de commande et de contrôle. Cette architecture permet aux attaquants de rediriger dynamiquement les systèmes infectés vers leur infrastructure opérationnelle.

La porte dérobée transmet également l'empreinte numérique de l'appareil ainsi que la géolocalisation présumée de la victime. Cette dernière est déterminée à partir du fuseau horaire du système et comparée à une liste prédéfinie comprenant l'Allemagne, l'Espagne, le Royaume-Uni, la Russie, la France, la Chine, le Japon, les États-Unis, le Brésil, l'Inde, l'Ukraine, le Canada, l'Australie, l'Italie et la Pologne. Si le fuseau horaire ne correspond à aucune de ces régions, le logiciel malveillant identifie par défaut le système comme étant situé aux États-Unis.

Évolution des techniques dans la deuxième variante de campagne

Une seconde version de la campagne a fait son apparition fin février 2026, apportant plusieurs modifications tout en conservant la structure générale de l'attaque. Au lieu d'utiliser des fichiers de raccourci LNK, cette variante mise à jour utilise des modules du Panneau de configuration Windows comme mécanisme de diffusion initial.

Le composant de porte dérobée a lui aussi bénéficié de mises à jour fonctionnelles. Ces améliorations permettent au logiciel malveillant d'effectuer des opérations plus approfondies sur le système de fichiers et d'améliorer sa capacité à exfiltrer des données depuis les environnements infectés.

Parmi les améliorations notables, citons l'énumération récursive des fichiers, le téléchargement par lots de fichiers et la possibilité de télécharger des fichiers arbitraires directement sur le système compromis.

Contourner les restrictions JavaScript avec les outils de débogage Chromium

Les restrictions de sécurité JavaScript standard empêchent généralement le code distant de télécharger directement des fichiers sur le système d'une victime. Pour contourner cette limitation, les attaquants exploitent le protocole Chrome DevTools (CDP), une interface de débogage interne utilisée par les navigateurs basés sur Chromium.

L'accès à CDP est possible uniquement lorsque le navigateur est lancé avec le paramètre `--remote-debugging-port` activé. En activant cette fonctionnalité de débogage, les attaquants peuvent contrôler le comportement du navigateur par programmation et contourner les restrictions côté client habituelles, autorisant ainsi le téléchargement de fichiers distants qui seraient normalement bloqués.

Indicateurs de développement précoce et infrastructure expérimentale

Des éléments laissent penser que le logiciel malveillant est toujours en développement actif. Une variante préliminaire découverte le 28 janvier 2026 communiquait exclusivement avec le domaine « gnome.com » au lieu de récupérer sa charge utile principale depuis Pastefy.

Ce comportement indique que les acteurs malveillants sont peut-être encore en train de perfectionner leur infrastructure et les capacités opérationnelles de la porte dérobée.

L’utilisation abusive du navigateur comme stratégie d’évasion émergente

L'un des aspects les plus significatifs de cette campagne réside dans l'utilisation délibérée d'un navigateur web comme principal environnement d'exécution de la porte dérobée. Cette approche met en lumière une tendance croissante : les attaquants détournent des logiciels légitimes pour échapper à la détection.

Les navigateurs offrent plusieurs avantages aux opérations malveillantes. Largement utilisés et généralement considérés comme des processus inoffensifs, ils réduisent le risque d'éveiller immédiatement les soupçons. De plus, les paramètres de débogage du navigateur peuvent débloquer des fonctionnalités puissantes permettant des actions normalement interdites, telles que le téléchargement de fichiers à distance et un accès étendu au système.

De plus, les navigateurs disposent d'autorisations légitimes pour interagir avec des ressources matérielles sensibles, notamment les microphones, les caméras et les mécanismes de capture d'écran, ce qui permet aux attaquants d'effectuer des activités de surveillance tout en se fondant dans le comportement normal du système.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Porte dérobée DRILLAPP

Leurres trompeurs et méthode d’infection initiale

Exploitation des paramètres du navigateur pour un accès furtif

Porte dérobée et capacités de surveillance basées sur un navigateur

Évolution des techniques dans la deuxième variante de campagne

Contourner les restrictions JavaScript avec les outils de débogage Chromium

Indicateurs de développement précoce et infrastructure expérimentale

L’utilisation abusive du navigateur comme stratégie d’évasion émergente

Soumettre un Commentaire

Tendance

Tarwils.com

Precludestore.com

Beringlousnet.com

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Comment réparer « macOS ne peut pas vérifier que...

Discord affiche un écran noir lors du partage d'écran