PHANTOMPULSE RAT

Une campagne d'ingénierie sociale sophistiquée a été découverte, exploitant Obsidian comme vecteur d'accès initial pour déployer un cheval de Troie d'accès à distance Windows jusqu'alors inconnu, connu sous le nom de PHANTOMPULSE. Cette campagne cible spécifiquement les personnes opérant dans les secteurs de la finance et des cryptomonnaies, en tirant parti de la confiance qu'elles accordent aux outils légitimes pour contourner les mesures de sécurité classiques.

Opération REF6598 : Tromperie via les réseaux professionnels

Désignée sous le nom de code REF6598 par des chercheurs en cybersécurité, cette campagne utilise des techniques d'ingénierie sociale sophistiquées via LinkedIn et Telegram. Les cibles sont initialement approchées sous prétexte de collaboration avec une société de capital-risque. Les conversations se poursuivent ensuite dans des groupes de discussion Telegram composés de faux « partenaires », créant ainsi une façade de légitimité convaincante.

Au sein de ces groupes, les discussions portent sur les services financiers et les stratégies de liquidité en cryptomonnaies, ce qui renforce leur crédibilité. Les victimes sont finalement invitées à accéder à un tableau de bord partagé via un coffre-fort Obsidian hébergé dans le cloud, en utilisant les identifiants fournis.

Le déclencheur caché : activation malveillante du coffre-fort

La chaîne d'infection s'active lorsque la victime ouvre le coffre-fort partagé dans Obsidian. À ce stade, l'utilisateur est invité à activer la synchronisation des « Plugins communautaires installés », une fonctionnalité désactivée par défaut. Cette action manuelle est cruciale, car elle permet l'exécution de configurations malveillantes intégrées.

Les attaquants exploitent des plugins légitimes, notamment Shell Commands et Hider, pour exécuter du code non autorisé. Shell Commands facilite l'exécution, tandis que Hider masque des éléments d'interface comme la barre d'état et les infobulles, réduisant ainsi les risques de détection. L'attaque repose entièrement sur la persuasion de l'utilisateur d'activer la synchronisation des plugins, contournant de ce fait les protections intégrées.

Évasion par la conception : vivre des fonctionnalités légitimes

Cette campagne se distingue par son détournement stratégique des fonctionnalités d'une application de confiance plutôt que par l'exploitation de failles logicielles. Ses principales caractéristiques sont les suivantes :

• Les charges utiles malveillantes sont intégrées dans des fichiers de configuration JSON, ce qui les rend moins susceptibles d'être détectées par les antivirus traditionnels.
• L'exécution est réalisée via une application signée basée sur Electron, ce qui complique la détection basée sur le processus parent.
• La persistance et l'exécution des commandes reposent entièrement sur des mécanismes de plugins légitimes au sein de l'application.

Chaîne d’infection Windows : du chargeur à la porte dérobée résidente en mémoire

Sur les systèmes Windows, l'attaque initie une chaîne d'exécution basée sur PowerShell qui déploie un chargeur intermédiaire nommé PHANTOMPULL. Ce chargeur déchiffre et lance PHANTOMPULSE directement en mémoire, évitant ainsi toute détection sur disque.

PHANTOMPULSE intègre la résolution des commandes et du contrôle (C2) basée sur la blockchain en interrogeant le réseau Ethereum. Il récupère la dernière transaction liée à une adresse de portefeuille prédéfinie afin de déterminer dynamiquement son serveur C2. La communication s'effectue via WinHTTP, permettant l'exfiltration de données, la récupération des commandes et la génération de rapports d'exécution.

Le logiciel malveillant prend en charge un large éventail de fonctionnalités de contrôle à distance :

• inject : injecte du shellcode, des DLL ou des exécutables dans des processus
• drop : écrit et exécute des fichiers sur le disque
• capture d'écran : capture et télécharge les données de l'écran
• keylog : active ou désactive l’enregistrement des frappes au clavier
• désinstallation : supprime les mécanismes de persistance et nettoie les artefacts
• élévation : élève les privilèges au niveau SYSTEM en utilisant l’élévation COM
• rétrogradation : réduit les privilèges du niveau SYSTÈME au niveau administrateur.

Variante macOS : Obfuscation et infrastructure C2 flexible

Sur macOS, l'attaque exploite un script AppleScript obfusqué, distribué via le même mécanisme de plugin. Ce script parcourt une liste prédéfinie de domaines et utilise Telegram comme serveur de destination pour la détection des serveurs de commande et de contrôle. Cette conception permet une rotation rapide de l'infrastructure, rendant inefficaces les stratégies traditionnelles de blocage de domaines.

La dernière étape consiste à récupérer et à exécuter une charge utile secondaire via osascript. Cependant, en raison de l'inactivité des serveurs C2 au moment de l'analyse, les capacités complètes de cette charge utile restent indéterminées.

Résultat de l’attaque et implications stratégiques

L'intrusion observée a finalement échoué, les mesures de défense ayant détecté et bloqué l'attaque avant qu'elle n'atteigne ses objectifs. Néanmoins, le document REF6598 met en lumière une évolution significative des méthodes employées par les acteurs malveillants.

En exploitant des applications de confiance et en tirant parti des modifications de configuration effectuées par les utilisateurs, les attaquants contournent efficacement les contrôles de sécurité classiques. Cette approche illustre une tendance croissante : la transformation de fonctionnalités logicielles légitimes en canaux d’exécution clandestins, soulignant ainsi la nécessité d’une vigilance accrue des utilisateurs et d’une surveillance comportementale renforcée dans le cadre de la cybersécurité.