Ces derniers mois, une chaîne d'infection a vu le jour qui combine l'ingénierie sociale classique avec des techniques de plus en plus raffinées pour passer inaperçues. Les chercheurs BlackPoint Cyber ont documenté une campagne qui utilise une fausse page de vérification de type CAPTCHA pour tromper l'utilisateur et lui faire coller et exécuter une commande de la boîte Exécuter Windows. Ce qui pourrait sembler un simple tour est juste le premier morceau d'une séquence conçue pour utiliser les utilitaires légitimes du système et cacher l'activité malveillante.
Le vecteur de confiance ici est Microsoft Application Virtualization (App-V), une fonctionnalité conçue par les entreprises qui vous permet d'exécuter des applications emballées dans des environnements virtualisés sans les installer de manière traditionnelle. Dans cette campagne, les attaquants abusent d'un script légitime associé à App-V, SyncAppvPublierServer.vbs, et l'exécutent avec wscript.exe - un binaire signé par Microsoft - pour lancer PowerShell. De cette façon, ils transforment un composant officiel en mandataire pour exécuter un code malveillant, une technique connue pour utiliser des binaires système pour échapper aux contrôles de sécurité et que, en termes d'ATT & CK est lié à l'utilisation d'outils système légitimes comme T1218 ( Binaires vivants).
Avant de continuer, l'ordre que la victime doit respecter un certain nombre de conditions : vérifier que l'action a été faite par une personne (et non par un bac à sable automatisé), vérifier l'ordre d'exécution prévu et même vérifier que le presse-papiers n'a pas été modifié. Si vous détectez des signes d'analyse automatique, l'exécution est "gelée" par une attente infinie pour profiter des ressources d'analyse. Seulement lorsque les conditions conçues par les attaquants sont remplies, la chaîne continue de télécharger les paramètres de configuration à partir d'une ressource publique de Google Calendar: les valeurs sont encodées dans base64 dans un événement spécifique.
La sophistication augmente dans les phases suivantes. Les attaquants lancent un processus PowerShell 32 bits caché par l'instrumentation de gestion de Windows (WMI), déchiffrer les charges intégrées et charger les composants directement dans la mémoire. Ils cachent plus tard une charge utile chiffrée dans les images PNG hébergées dans CDN public : ils utilisent la stéganographie bit moins significative pour insérer des données dans des pixels, ils récupèrent ces images en utilisant des appels Wininet résolus dynamiquement, extraient les bits cachés, déchiffrent le résultat et le décompressent (GZip) pour l'exécuter entièrement en mémoire. La victime verra rarement des fichiers sur disque; tout se passe sur RAM.
La dernière étape de la chaîne défigure et exécute le code natif en mémoire qui déplie Amatera, une info-stealer qui, selon BlackPoint, vole les identifiants et les données du navigateur et, par chevauchement de code, dérive du voleur ACR connu. Amatera est commercialisé comme malware-as-a-service (MaaS) et a incorporé des mécanismes d'évitement dans chaque itération; analyse antérieure de Point d'épreuve montrer leur évolution vers des techniques plus sophistiquées.
Une fois actif, le malware contacte un serveur de contrôle dur (code dur) pour obtenir des cartes des paramètres et reste en attente d'instructions supplémentaires ou binaires livrés par POST HTTP. Ce comportement rend la détection réseau encore très utile: les schémas de trafic, les domaines et les écarts entre les en-têtes HTTP ou SNI TLS contre l'adresse IP cible sont des indicateurs qui peuvent révéler une communication malveillante.
Si vous vous demandez pourquoi cette campagne fonctionne malgré les protections existantes, la réponse est dans le mélange de deux facteurs: tromper la personne pour exécuter une commande légitime, puis utiliser des composants Windows signés ou des services publics (Google Calendar, CDNs) pour accueillir et récupérer la configuration et les charges utiles. Cette combinaison réduit les signaux de malware typiques et complique l'identification par des signatures traditionnelles.
Pour réduire les risques, un certain nombre de mesures pratiques doivent être envisagées. Au niveau administratif, limiter l'accès aux politiques Table Run par groupe peut empêcher les utilisateurs de frapper et d'exécuter des commandes arbitraires; si la fonctionnalité App-V n'est pas nécessaire dans un environnement spécifique, son élimination réduit la surface exploitable. Au niveau de la détection, l'activation de l'enregistrement PowerShell avancé (y compris le script Block Logging) augmente la visibilité sur les commandes et les fragments qui sont exécutés en mémoire, et la surveillance des connexions sortantes en cherchant des correspondances entre le nom de l'hôte dans l'en-tête HTTP ou le SNI TLS et l'IP cible aide à identifier les communications suspectes. Microsoft maintient une documentation utile sur l'App-V et les API en cause; pour ceux qui gèrent les environnements Windows, la révision du guide officiel fournit un cadre technique fiable: Documentation App-V, Wininet et Options d'enregistrement PowerShell.
La configuration technique n'est pas tout : l'éducation des utilisateurs reste essentielle. Les pages de défi qui simulent des problèmes de navigateur ou de vérification humaine et qui demandent à faire des actions inhabituelles - comme frapper une commande dans Exécuter - est une défense simple et très efficace. Les organisations devraient combiner la formation, les contrôles des plates-formes et la télémétrie en réseau pour s'attaquer aux chaînes d'attaque qui dépendent à la fois de la manipulation humaine et de l'abus de composants légitimes.
La campagne décrite par BlackPoint rappelle que les adversaires continuent d'adapter leurs méthodes : ils mélangent l'ingénierie sociale avec des artefacts signés et des techniques comme la stéganographie pour réduire leur empreinte. Le maintien de systèmes à jour, la réduction de la présence de composants non essentiels et l'établissement de registres et de contrôles adéquats sont des mesures pratiques qui augmentent considérablement le coût de réussite pour ceux qui conçoivent ces chaînes d'infection. Pour plus de détails techniques et d'atténuations proposés par les chercheurs, consultez l'analyse de BlackPoint sur votre blog et le rapport de Proofpoint sur l'évolution d'Amatera: BlackPoint Cyber et Point d'épreuve.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...