Nouvelle campagne de phishing utilisant DBatLoader pour infecter le RAT de Remcos : ce que les analystes doivent savoir

Les analystes d'ANY.RUN ont récemment découvert une campagne de phishing furtive diffusant le cheval de Troie d'accès à distance ( RAT) Remcos via un malware de chargement appelé DBatLoader. Cette chaîne d'attaque s'appuie sur un mélange de scripts obscurcis, de contournement du contrôle de compte utilisateur (UAC) et d'utilisation abusive de LOLBAS (Living-Off-the-Land Binaries and Scripts) pour échapper aux méthodes de détection traditionnelles.

Ce qui rend cette campagne particulièrement dangereuse est son utilisation d’outils Windows intégrés et de processus système fiables pour se fondre dans l’activité normale, ce qui la rend beaucoup plus difficile à détecter par le biais des seules signatures.

Examinons la chaîne d’infection complète et voyons comment vous pouvez détecter ces techniques en toute sécurité en quelques secondes à l’aide des bonnes solutions d’analyse.

Pour comprendre comment cette campagne de phishing fonctionne de bout en bout, examinons comment elle se déroule dans le bac à sable interactif d'ANY.RUN, où chaque étape est visuelle, traçable et enregistrée en temps réel.

Voir la session d'analyse complète

De la livraison initiale au comportement post-exploitation, le sandbox révèle une image complète, offrant aux équipes SOC la visibilité dont elles ont besoin pour réagir plus rapidement et aidant les entreprises à réduire le risque de compromis silencieux à long terme.

Chaîne d'attaque complète de la dernière menace de phishing dans le bac à sable d'ANY.RUN :

Phishing Email → Malicious Archive → DBatLoader Execution → Obfuscated CMD Scripts → Remcos Injected into .exe

À l'intérieur du bac à sable, vous pouvez suivre visuellement chaque étape de l'attaque au fur et à mesure qu'elle se produit, par exemple :

Regardez comment l'archive déclenche DBatLoader et comment les scripts .cmd obscurcis commencent à exécuter des commandes suspectes.

Voyez exactement quand et où Remcos est injecté dans les processus système légitimes, avec des arbres de processus et des indicateurs de mémoire mis à jour en temps réel.

Observez les techniques de persistance en action, telles que la création de tâches planifiées, les modifications du registre et l'utilisation de fichiers .url et .pif, clairement mises en évidence dans le journal d'activité du système.

Pour mieux comprendre les tactiques de cette attaque de phishing, vous pouvez utiliser le mappage MITRE ATT&CK intégré à ANY.RUN. Cliquez simplement sur le bouton « ATT&CK » en haut à droite de l'interface sandbox.

Cette vue met instantanément en évidence les techniques utilisées lors de l'analyse, regroupées par tactiques (exécution, persistance, élévation de privilèges, etc.). C'est un moyen rapide et convivial pour les analystes de relier le comportement aux informations sur les menaces réelles, sans cartographie manuelle.

Que vous effectuiez un triage ou rédigiez des rapports, cette fonctionnalité aide les équipes de sécurité à agir plus rapidement et fournit aux responsables des preuves claires du fonctionnement des menaces et des endroits où les défenses peuvent être contournées.

Voici quelques-unes des tactiques clés observées lors de la session et comment vous pouvez les repérer facilement à l'intérieur du bac à sable :

1. Faktura.exe : le fichier leurre

Les victimes reçoivent un e-mail d'hameçonnage contenant une archive contenant Faktura.exe, se faisant passer pour une facture légitime. Une fois ouvert, l'attaque est déclenchée.

La plupart des outils de sécurité de messagerie ne signalent pas ce fichier s'il est inconnu ou ne correspond pas aux IOC connus. Dans ANY.RUN, vous pouvez immédiatement voir Faktura.exe dans l'arborescence des processus et observer comment il génère des activités malveillantes, offrant ainsi aux analystes une visibilité immédiate dès le premier clic.

1. DBatLoader : le chargeur initial

Une fois que la victime ouvre l'archive de phishing, DBatLoader est exécuté. Il est chargé de lancer la chaîne d'infection en lançant des scripts obscurcis.

Dans l'arborescence des processus, DBatLoader apparaît comme un fichier .exe déposé, générant immédiatement cmd.exe. Vous pouvez inspecter les lignes de commande et l'activité du système de fichiers, et voir précisément comment l'exécution du script commence.

1. Exécution obscurcie avec des fichiers CMD enveloppés dans BatCloak

Nous voyons à l'intérieur de cette session d'analyse que des scripts .cmd obscurcis avec BatCloak sont utilisés pour télécharger et exécuter la charge utile malveillante.

L'obfuscation masque l'intention des scanners statiques. Dans des sandbox comme ANY.RUN, vous pouvez ouvrir la vue en ligne de commande et visualiser chaque instruction décodée et chaque modèle suspect au fur et à mesure de son exécution ; aucun décodage manuel n'est nécessaire.

1. Abus de LOLBAS avec Esentutl.exe

L'utilitaire légitime esentutl.exe est utilisé abusivement pour copier cmd.exe dans alpha.pif, un dropper renommé censé paraître inoffensif.

Les opérations de copie de fichiers à l'aide d'esentutl.exe s'affichent dans l'arborescence du processus ANY.RUN et dans l'activité du système de fichiers, y compris les chemins complets et le contexte de la commande.

1. Déclencheur de tâches planifiées .url → .pif Exécution

Une tâche planifiée est créée pour exécuter Cmwdnsyn.url, qui lance le fichier .pif au démarrage ou à intervalles réguliers.

Les tâches planifiées sont un mécanisme de persistance courant, mais dans les environnements complexes, elles passent souvent inaperçues. Avec ANY.RUN, vous pouvez voir instantanément quand et comment la tâche est créée, suivre sa chaîne d'exécution dans l'arborescence des processus et inspecter les modifications des fichiers et du registre associés.

Cela donne aux équipes SOC une vue claire de la manière dont le logiciel malveillant reste actif au fil du temps, ce qui facilite la création de règles de détection, la documentation de la méthode de persistance et la garantie de sa suppression complète.

1. Contournement de l'UAC avec un faux répertoire « C:\Windows »

Un répertoire fictif (C:\Windows avec un espace) est utilisé pour contourner les invites UAC en exploitant les bizarreries de gestion des chemins Windows.

Cette campagne de phishing met en évidence jusqu'où les attaquants vont pour rester cachés, en utilisant des outils Windows intégrés, une persistance élaborée et des astuces subtiles d'escalade de privilèges qui contournent facilement les défenses traditionnelles.

Grâce à l'analyse en sandbox, notamment avec des outils comme ANY.RUN, les équipes de sécurité bénéficient de la clarté et de la rapidité nécessaires pour anticiper ces menaces. Vous pouvez observer chaque étape de l'infection, découvrir des techniques ignorées par les outils statiques et agir en toute confiance.

• Réponse plus rapide aux incidents grâce à une analyse comportementale en temps réel
• Réduction du temps de séjour grâce à l'identification des menaces avant qu'elles ne se propagent
• Des décisions de sécurité mieux informées grâce à une visibilité sur les tactiques des attaquants
• Amélioration de la conformité et de la préparation aux audits grâce à des rapports détaillés et partageables

Pour célébrer son 9e anniversaire, ANY.RUN propose une promotion à durée limitée :

Obtenez des licences Interactive Sandbox bonus ou doublez votre quota TI Lookup, disponibles uniquement jusqu'au 31 mai 2025.

Ne manquez pas votre chance de mettre à niveau votre flux de travail de détection et de réponse aux menaces avec des solutions approuvées par plus de 15 000 organisations dans le monde.