Une nouvelle opération de malware a de nouveau montré comment les attaquants combinent ingéniosité technique avec l'abus de fonctions du système légitime pour passer inaperçu. Les chercheurs de Securonix ont décrit une campagne sophistiquée, baptisée MORT # VAX, qui utilise des images de disque virtuel (VHD) hébergées dans le réseau décentralisé IPFS et une chaîne de fonctionnement progressive pour déployer l'accès à distance Trojan connu comme Asyncrate. Pour lire le rapport technique original, vous pouvez voir la note de Securonix Voilà..
L'infection fait partie d'un message d'hameçonnage avec un fichier qui semble être un bon de commande au format PDF, mais est en fait un VHD hébergé dans IPFS. Lorsque la victime double-clic, le fichier est monté comme un lecteur, présentant dans un fichier de script Windows Script (WSF). Cette utilisation de VHD comme conteneur est remarquable parce qu'il profite d'un mécanisme légitime Windows pour contourner les contrôles qui analysent les fichiers conventionnels; l'ordinateur IPFS distribué facilite la distribution de charges par des acteurs malveillants sans passer par des serveurs traditionnels qui pourraient être bloqués ou suivis. Si vous voulez comprendre comment IPFS fonctionne et pourquoi il est utilisé dans ces contextes, la documentation officielle est un bon point de départ: ipfs.io.
Dans l'unité montée il y a un WSF qui, lorsqu'il est exécuté par l'erreur de l'utilisateur, lance une série de composants opus: des scripts par lots extrêmement masqués, un chargeur PowerShell auto-analyse et, enfin, un code shell chiffré x64. L'important ici est que la charge utile n'est pas enregistrée sous la forme d'un disque exécutable ; au lieu de cela, le code est découplé en mémoire et injecté dans des processus légitimes de Windows, tels que RuntimeBroker.exe, OneDrive.exe, taskhostw.exe ou sihost.ex. Cette technique d'exécution de mémoire réduit considérablement les preuves médico-légales et complique la détection par des solutions traditionnelles basées sur des signatures de fichiers statiques.
Le mécanisme de persistance cherche également le mymétisme avec le système : les attaquants utilisent des tâches programmées pour réaliser des redémarrages persistants et un module PowerShell agit comme un moteur d'exécution en mémoire, validant l'environnement, déchiffrant les fragments embarqués et orchestrant l'injection dans les processus signés par Microsoft. En outre, les logiciels malveillants régulent son propre comportement temporaire en utilisant les pauses et le throttling pour réduire l'utilisation du processeur et éviter les modèles d'API qui font feu alertes. Ce mélange de commandes d'exécution et de living-off-the-land rend chaque pièce, isolée, semble inoffensif, mais ensemble forme un solide et difficile à suivre le flux d'attaque.
AsyncrAT, la charge utile finale utilisée par les attaquants, est un projet de code accessible au public qui fournit des fonctions de contrôle à distance sur un ordinateur engagé: capture de clavier et d'écran, accès à la caméra, surveillance du presse-papiers, gestion du système de fichiers et exécution de commande à distance, entre autres capacités. L'existence de versions ouvertes facilite sa réutilisation par des acteurs ayant des motivations différentes; la page du projet est disponible sur GitHub pour ceux qui veulent la revoir: Asyncrate à GitHub.
Pour les défenseurs et les administrateurs, le changement de paradigme est évident : il ne suffit plus de contrôler l'arrivée des exécutables. La visibilité du comportement de la mémoire devrait être renforcée, les injections et les chaînes de processus devraient être surveillées, les tâches programmées devraient être vérifiées et les connexions inhabituelles destinées à des infrastructures décentralisées ou des passerelles publiques IPFS devraient être surveillées. Microsoft documents commandes et procédures liées à la gestion du disque virtuel sur Windows, qui peuvent vous aider à comprendre pourquoi VHD sont montés et comment vérifier leur utilisation: Joindre-VHD (Microsoft Docs). Il est également recommandé d'examiner les lignes directrices et les meilleures pratiques sur les menaces à la mémoire et les techniques sans fil publiées par les fournisseurs de sécurité et les organismes officiels pour adapter les défenses.
L'observation de Securonix met en évidence une tendance déjà connue dans l'industrie de la cybersécurité : la préférence des attaquants pour les pipelines à plusieurs étages qui enchaînent des composants apparemment légitimes et pour l'exécution sans laisser d'artefacts sur disque. Cette approche fait obstacle à la détection et à l'analyse médico-légales et force les équipes d'intervention à moderniser non seulement avec des signatures plus intelligentes, mais aussi avec la télémétrie comportementale, l'isolement des processus et le contrôle de l'utilisation des scripts et des outils administratifs. Les entreprises restent utiles, mais la visibilité dans le temps d'exécution et la corrélation contextuelle sont de plus en plus critiques.
En bref, DEAD # VAX rappelle que les adversaires continuent de rechercher et d'exploiter des points aveugles dans des environnements d'entreprise : ils combinent des conteneurs légitimes tels que VHD, des réseaux distribués tels que IPFS, des techniques d'utilisation et l'exécution de mémoire pour livrer une charge qui peut fonctionner longtemps sans être détectée. La réponse ne passe pas par une seule mesure, mais par une stratégie de défense approfondie qui comprend le contrôle des scripts, les politiques de mise en œuvre, le suivi des processus, l'analyse du comportement et une bonne hygiène opérationnelle. Outre le rapport de Securonix, il convient d'examiner les ressources consacrées à l'analyse des menaces et à l'intervention en cas d'incident dans les médias spécialisés et les dépôts officiels de sécurité afin de suivre les enquêtes.
Si vous gérez la sécurité des terminaux ou de l'infrastructure, cela soulève des contrôles qui limitent l'exécution de scripts non signés, enregistrent et alertent sur les montages d'images de disque inattendus et permettent de bloquer ou d'étudier les communications vers des nœuds et passerelles non approuvés. La note Securonix fournit des détails techniques utiles et constitue un bon point de départ pour adapter les détections: rapport complet. Et pour mieux comprendre le phénomène plus large des menaces qui opèrent principalement en mémoire, les analyses de sécurité de grands fournisseurs tels que Microsoft fournissent le contexte et des recommandations pratiques sur la défense contre les techniques sans fioritures: Microsoft Security Blog.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...