VBA RAT

Un RAT VBA à part entière a été détecté dans le cadre d'une nouvelle opération d'attaque contre des entités russes et pro-russes. Jusqu'à présent, l'acteur de la menace n'a pas été déterminé de manière concluante et certaines preuves indiquent qu'il pourrait s'agir d'un groupe de pirates informatiques nouvellement apparu. La menace du malware est transmise aux machines de la victime via un document leurre contenant un manifeste sur la Crimée, une région très disputée entre la Russie et l'Ukraine.

Un document, deux vecteurs d'attaque

Le document leurre est nommé 'Manifest.docx' (Манифест.docx). Il tente de récupérer et de livrer la charge utile finale - le VBA RAT, via non pas un mais deux vecteurs d'infection distincts. Premièrement, un modèle basé sur des macros pointant vers une URL avec un modèle distant qui transporte la charge utile RAT. Le deuxième vecteur abuse d'un exploit d'Internet Explorer désigné comme CVE-2021-26411. La vulnérabilité permet à l'acteur malveillant d'exécuter un shellcode qui déploie la même menace VBA RAT.

Capacités nocives

Le VBA RAT est doté de toutes les capacités attendues de ce type de malware. Il collecte des données sur la victime et les exfiltre vers l'attaquant. Il peut manipuler les fichiers (supprimer, télécharger ou télécharger) stockés sur les systèmes compromis, lire des disques et d'autres informations système. Le RAT peut également exécuter des commandes arbitraires. Pour éviter une détection facile par les produits anti-malware, la menace évite les appels d'API typiques utilisés pour l'exécution de shellcode. Au lieu de cela, VBA RAT recourt à EnumWindows pour atteindre les mêmes objectifs menaçants.