Un malware qui cible Windows associe un outil de contrôle à distance interactif et un module de vol de données très étendu. Pendant que les attaquants échangent avec leurs victimes via une fenêtre de chat en direct, des informations sensibles sont collectées puis exfiltrées, sans laisser de traces visibles sur le système.
Les chercheurs de l’équipe Lat61 Threat Intelligence de Point Wild ont observé des échanges entre attaquants et victimes via une fenêtre de chat en direct pendant le déploiement des charges utiles.
La campagne utilise Pulsar RAT pour le contrôle à distance et Stealerv37 pour le vol de données, tous deux exécutés en mémoire.
Selon le Dr Zulfikar Ramzan, responsable de l’équipe Lat61, l’observation d’échanges en temps réel entre attaquants et victimes est le signe d'une campagne différente, très différente des infections classiques, qui joue la discrétion.
Une présence à l’écran pendant que les données sont siphonnées
Dans les cas observés par Point Wild, un fichier batch est dissimulé dans un répertoire caché propre à chaque utilisateur. Ce composant assure la persistance de l’attaque en s’enregistrant dans la clé de démarrage du registre Windows. À partir de cette base, un script PowerShell extrait une charge utile encodée, exécutée exclusivement en mémoire.
Une fois le contrôle établi, Pulsar RAT permet aux attaquants d’interagir directement avec l’utilisateur. Une fenêtre de chat peut apparaître à l’écran, tandis que l’accès à la webcam et au microphone est possible. Les chercheurs indiquent avoir observé des conversations en direct menées pendant que d’autres charges utiles étaient déployées.
Pendant que la fenêtre de chat est ouverte, Stealerv37 collecte les données stockées sur le système. Les mots de passe et cookies des navigateurs, les identifiants de comptes de jeux, les informations issues d’outils VPN ou de logiciels professionnels sont récupérés sans signal perceptible pour l’utilisateur.
Le rapport indique également la capacité du malware à surveiller le presse-papiers afin d’identifier des adresses de portefeuilles de cryptomonnaies. Dans ce cas, les données copiées peuvent être remplacées avant toute transaction. L’ensemble de ces opérations se déroule alors même que l’utilisateur reste focalisé sur l’échange en cours, sans percevoir le détournement progressif de ses informations.
Une infrastructure technique lourde et durable derrière une façade triviale
Derrière cette interaction apparente se déploie une chaîne d’infection particulièrement élaborée. Les chercheurs décrivent une exécution entièrement en mémoire, utilisant le chargeur Donut pour injecter du code dans des processus Windows légitimes tels qu’explorer.exe ou svchost.exe. Ce choix réduit les indices exploitables lors d’une analyse forensique.
Le dispositif intègre plusieurs mécanismes de persistance. En cas d’interruption, un système de surveillance relance automatiquement l’injection du code malveillant. Des tâches planifiées et des clés de registre assurent également une réactivation au redémarrage de la session utilisateur, sans nécessiter de privilèges élevés.
L’analyse indique des capacités avancées de protection contre l’analyse. Des routines de détection de machines virtuelles, de débogueurs et d’environnements de test sont exécutées en continu. En présence d’outils d’analyse, le processus peut s’interrompre sans laisser d’erreur visible.
Les données collectées sont agrégées en mémoire, compressées sous forme d’archives ZIP, puis transmises aux attaquants via des webhooks Discord ou des bots Telegram. Ces plateformes, largement utilisées à des fins légitimes, servent ici de canaux d’exfiltration. Les métadonnées associées aux fichiers permettent aux opérateurs d’identifier rapidement chaque machine compromise et d’évaluer la valeur des informations dérobées.
Pour se protéger, il ne suffit pas d’installer un antivirus, même si ça n'est jamais une mauvaise idée. Mettez en plus régulièrement vos systèmes à jour, limitez les droits d’installation et méfiez‑vous des fichiers ou liens suspects. Surveillez toute activité inhabituelle : au plus tôt vous détectez un comportement étrange au plus tard vous retardez les intrusions.
Source : HackRead, Point Wild
