Nslookup devient le conducteur de la chaîne malveillante

Ces dernières semaines, la communauté de la sécurité a de nouveau mis en garde contre une tactique d'ingénierie sociale qui exploite la confiance des utilisateurs dans leur propre code de conduite nuisible sur leur équipement. Microsoft était l'un de ceux qui ont donné la voix d'alarme en documentant une variation ClickFix qui profite des requêtes DNS pour "pointer" la prochaine phase de l'attaque, une technique élégante car il utilise un outil Windows natif comme véhicule de livraison: nslookup devient le conducteur de la chaîne malveillante. L'explication technique de Microsoft est disponible dans sa communication publique sur la recherche: MsftSecIntel en X, et pour toute personne qui veut comprendre comment nslookup fonctionne il y a la documentation officielle dans Microsoft Docs et des guides pratiques tels que Linode.

L'histoire, comptée d'une manière simple, est la suivante: la victime navigue vers une page compromise ou malveillante qui montre un message convaincant - par exemple, une fausse CAPTCHA ou des instructions "solution" - et lui demande d'exécuter une commande de la boîte Exécuter Windows. Dans la nouvelle variante, cette commande invoque cmd.exe et utilise nslookup pour un serveur DNS contrôlé par l'attaquant plutôt que d'utiliser le résolveur système. Le résultat de cette consultation contient, entre autres, un champ Nom: et les filtres d'explosion que la ligne de traiter comme l'ordre qui exécutera la prochaine étape. C'est une forme de "signalisation lumineuse" à travers DNS: les attaquants peuvent ainsi valider que la cible est prête et faire que le comportement malveillant ressemble à un trafic DNS légitime, qui passe souvent inaperçu.

Cette approche présente deux avantages pour l'agresseur. D'une part, il réduit la dépendance aux requêtes HTTP classiques, qui sont plus faciles à inspecter et à bloquer; d'autre part, il profite de la nature du trafic DNS pour entrer dans le réseau. Microsoft souligne que cette tactique permet également d'ajouter une vérification préalable avant de livrer la charge utile finale, une couche de contrôle supplémentaire qui complique la détection. Le lecteur technique peut approfondir l'idée d'utiliser le DNS comme canal dans l'analyse de Microsoft et les discussions communautaires.

Que se passe-t-il après cette consultation initiale du DNS? Dans la campagne observée, la chaîne d'attaque dépose un fichier compressé d'un serveur externe (identifié "azwsappdev [.] com" dans l'analyse), extrait un script Python qui effectue la reconnaissance du système et l'information, plante un VBScript qui lance à son tour un RAT appelé ModeloRAT et laisse un accès persistant créant un accès direct (fichier LNK) dans le dossier Windows Start. C'est-à-dire que ce qui commence par un ordre que l'utilisateur introduit manuellement peut se terminer par la télécommande sur la machine et la persistance après le redémarrage.

Parallèlement à ce type d'abus, les sociétés de cybersécurité ont détecté un rebond dans l'activité des voleurs d'information (voleurs) et des conducteurs qui servent de pont pour eux. Bitdefender, par exemple, a documenté une renaissance Lumma Stealer qui se propage par de fausses campagnes CAPTCHA en utilisant une chargeuse connue sous le nom de CastleLoader. Ce chargeur, aujourd'hui dans les versions AutoIt, comprend des contrôles qui tentent de détecter des machines virtuelles ou certains produits de sécurité avant de déchiffrer et d'exécuter le voleur en mémoire, ce qui rend difficile l'analyse et la réponse (rapport Bitdefender: bitdefender.com).

L'industrie a vu plusieurs variantes: CastleLoader est distribué par des installateurs de programmes supposés hackés ou des fichiers qui ressemblent à des vidéos MP4, mais qui sont exécutables malveillants; d'autres campagnes ont utilisé de faux installateurs NSIS qui exécutent des scripts VBA ostracisés avant de lancer le chargeur AutoIt; et il ya encore des familles de chargeurs alternatifs tels que RenEngine, qui selon Kaspersky a servi à répandre Lumma et autres voleurs avec des techniques de charge double (renEngine → Hijack Loader → voleur). Le bilan géographique de ces infections montre qu'aucune région n'est complètement sûre: des rapports citent des pays comme l'Inde, la France, les États-Unis. L'Allemagne, les États-Unis, l'Espagne, le Brésil et le Mexique figurent parmi les plus touchés ( Kaspersky Securelist).

Pas seulement Windows est à la recherche. Dans macOS, des campagnes sophistiquées ont été observées qui cherchent spécifiquement de l'argent dans la crypto-monnaie et les références. Un exemple est Odyssey Stealer, décrit par Censys qui non seulement vole les données des extensions et des applications de portefeuille, mais installe également un service persistant qui consulte le serveur de commande et de contrôle à chaque minute et peut ouvrir les tunnels SOCKS5 pour le trafic de routage. Les attaquants savent que les utilisateurs de Mac gèrent des actifs dans cryptomonedas et pointent à cette concentration de valeur.

Il existe également des tactiques créatives et inquiétantes d'ingénierie sociale qui utilisent l'intelligence artificielle et les services publicitaires. Des recherches ont montré comment les acteurs malveillants utilisent les résultats sponsorisés et les pages publiques sur les plates-formes de modèles génériques (par exemple, des liens vers des instructions hébergées dans des services comme Claude) pour placer des instructions légitimes qui induisent l'exécution de commandes sur macOS ou Windows; AdGuard a documenté des cas où une annonce mène à un domaine légitime connu, mais la chaîne finit par distribuer des logiciels malveillants par des instructions apparemment techniques et de confiance ( Conseil). En outre, des analystes comme Moonlock Lab ont souligné que les attaquants revalorisent les domaines anciens avec l'histoire pour éviter les filtres et donner un sentiment de légitimité, un truc qui complique les blocages simples ( Laboratoire Moonlock).

Compte tenu de ce scénario, la prévention est moins par des patchs magiques et plus par des habitudes et des contrôles: ne pas exécuter les commandes que vous recevez par un web ou par mail sans les vérifier, méfiez-vous des supposés CAPTCHA qui demandent des actions atypiques, évitez de télécharger des "cracks" ou des logiciels piratés et de maintenir des outils de sécurité à jour. Pour les environnements d'entreprise, il est essentiel d'avoir la détection qui comprend les comportements spécifiques de macOS et Windows - par exemple, la création de LaunchDaemons, l'accès à Keychain, l'utilisation inhabituelle de Terminal ou l'exécution de binaires signés par Apple avec des actions inattendues -, quelque chose que les analystes comme Flare recommandent dans leur examen de la vague de voleurs pour macOS ( Feu).

Bref, les attaquants ne dépendent plus seulement des vulnérabilités techniques : ils exploitent la confiance et la coutume. Quand une page vous demande d'ouvrir Exécuter ou Terminal pour "fixer" quelque chose, c'est un drapeau rouge. La cybersécurité exige aujourd'hui une combinaison d'éducation des utilisateurs, de contrôles techniques ajustés et de surveillance capables de détecter des canaux facultatifs tels que les abus DNS ou les chargeurs à chaîne. Pour les gestionnaires de systèmes, la leçon est claire : beaucoup d'oeil avec des raccourcis qui semblent rapides et confortables, parce que parfois ils sont précisément le mécanisme qui permet à l'attaquant d'entrer par la porte principale.