GHOSTFORM RAT
GHOSTFORM est un cheval de Troie d'accès à distance (RAT) basé sur .NET, conçu pour combiner plusieurs fonctionnalités malveillantes au sein d'un seul fichier binaire exécutable. Ce logiciel malveillant exécute des scripts PowerShell directement en mémoire, réduisant ainsi les risques de détection par les outils de sécurité traditionnels. Pour contourner davantage les mécanismes de sécurité, il utilise des techniques telles que les formulaires Windows invisibles et les minuteurs d'exécution différée. Compte tenu de son comportement furtif et de ses nombreuses fonctionnalités, toute détection de GHOSTFORM doit entraîner une suppression immédiate et la mise en œuvre de procédures de réponse aux incidents.
Table des matières
Première chaîne d’attaque : Déploiement de logiciels malveillants en plusieurs étapes
La première chaîne d'attaque débute par la distribution d'une archive RAR protégée par mot de passe contenant une fausse application imitant WinRAR. À l'ouverture de l'archive par la victime, un programme d'installation nommé SPLITDROP est exécuté. Ce programme installe deux composants malveillants supplémentaires : TWINTASK et TWINTALK.
SPLITDROP demande initialement un mot de passe à la victime afin d'extraire une archive cachée. Si l'archive est déjà présente sur le système, l'exécution s'interrompt. Sinon, le programme déchiffre une charge utile intégrée en arrière-plan tout en affichant un message d'erreur trompeur. Le contenu déchiffré est stocké dans le répertoire « C:\ProgramData\PolGuid », après quoi un exécutable légitime nommé VLC.exe est lancé pour poursuivre l'attaque.
Une fois lancé, VLC.exe charge une bibliothèque de liens dynamiques malveillante nommée TWINTASK via un chargement latéral de DLL. Ce composant attend les instructions de l'attaquant et les exécute à l'aide de PowerShell. Plusieurs commandes sont spécifiquement utilisées pour s'implanter durablement dans le système et initier la phase suivante de la compromission. Dans le cadre de ce processus, un script lance WingetUI.exe et crée des entrées de registre afin que VLC.exe et WingetUI.exe s'exécutent automatiquement à chaque redémarrage du système.
TWINTALK et TWINTASK : Exécution coordonnée des commandes
Lors de son exécution, WingetUI.exe charge un autre module malveillant nommé TWINTALK. Ce composant se connecte au serveur de commande et de contrôle de l'attaquant et récupère des instructions. TWINTALK agit de concert avec TWINTASK pour exécuter des commandes sur la machine compromise.
TWINTALK prend en charge trois catégories de commandes principales :
- Exécution de commandes sur l'appareil infecté
- Téléchargement de fichiers depuis l'infrastructure de l'attaquant
- Téléchargement de fichiers depuis le système compromis vers l'attaquant
Grâce à ces capacités, les attaquants acquièrent un contrôle étendu sur l'environnement infecté.
Chaîne d’attaque deux : Exécution directe de GHOSTFORM
La seconde chaîne d'attaque utilise GHOSTFORM pour exécuter toutes les fonctions gérées par plusieurs composants dans la première chaîne. Au lieu de déployer plusieurs fichiers ou de recourir au chargement latéral de DLL, cette variante exécute directement des commandes PowerShell en mémoire.
Pour rester indétectable, le logiciel malveillant crée un formulaire Windows invisible qui retarde son exécution avant le déploiement de sa charge utile. De plus, la campagne utilise Google Forms comme appât d'ingénierie sociale afin d'inciter les victimes à déclencher l'activité malveillante.
Techniques d’évasion et de persistance
GHOSTFORM intègre plusieurs mécanismes conçus pour réduire sa détection et maintenir un accès prolongé aux systèmes compromis. Ce logiciel malveillant retarde délibérément son activité en générant un formulaire Windows quasi invisible qui exécute un minuteur dont le délai est déterminé aléatoirement avant de poursuivre son exécution.
Il crée également un mutex pour garantir qu'une seule instance du logiciel malveillant s'exécute sur le système et génère un identifiant unique pour le suivi des machines infectées. Les chevaux de Troie d'accès à distance de ce type sont couramment utilisés pour déployer des charges utiles supplémentaires, voler des données et des fichiers sensibles ou effectuer d'autres opérations malveillantes au sein de l'environnement de la victime.
Les principales capacités généralement associées à cette campagne comprennent :
- Déploiement de charges utiles de logiciels malveillants supplémentaires
- Vol d'informations et de fichiers à partir d'appareils infectés
- Exécution de commandes à distance via PowerShell
- Persistance à long terme au sein de systèmes compromis
Ingénierie sociale ClickFix : vecteur d’infection ciblant l’humain
La campagne ne repose pas uniquement sur la diffusion de logiciels malveillants. Elle utilise également une technique d'ingénierie sociale appelée ClickFix pour compromettre les systèmes. Les attaquants créent de fausses pages web convaincantes conçues pour inciter les utilisateurs à exécuter des commandes malveillantes.
Par exemple, des invitations à des réunions Cisco Webex falsifiées ou des formulaires web frauduleux d'apparence légitime. Les victimes sont incitées à exécuter des commandes qui téléchargent et exécutent automatiquement un logiciel malveillant, ce qui compromet leur système à leur insu.
Mélange de logiciels malveillants et de tromperie
Cette campagne illustre une approche coordonnée qui associe le déploiement de logiciels malveillants à la manipulation psychologique. Les attaquants diffusent des fichiers malveillants dissimulés sous forme de programmes inoffensifs ressemblant à des utilitaires WinRAR. À l'ouverture, ces fichiers injectent des composants malveillants cachés dans le système d'exploitation.
Une fois installé, l'un des composants s'exécute discrètement en arrière-plan, vérifiant périodiquement le serveur de l'attaquant à la recherche d'instructions chiffrées et les exécutant via PowerShell. Parallèlement, les attaques de type ClickFix utilisent de faux sondages, des invitations à des réunions trompeuses ou des formulaires en ligne frauduleux pour inciter les utilisateurs à exécuter des commandes qui déclenchent le téléchargement de logiciels malveillants.
En combinant des outils de logiciels malveillants avancés tels que TWINTASK, TWINTALK et GHOSTFORM avec des techniques d'ingénierie sociale soigneusement élaborées, les acteurs malveillants augmentent considérablement le taux de réussite de la compromission des systèmes et maintiennent un contrôle à distance persistant sur les appareils infectés.
