La méthode de propagation actuelle est un lien, envoyé par courriel, pointant sur une archive au format ZIP. Cette archive contient un document Office qui, via l’activation des macros, entraine l’exécution d’un script VBS dont l’objectif est le téléchargement puis l’exécution d’une bibliothèque dynamique (DLL).

Par la suite, il est probable que d’autres charges soient descendues sur le poste, mais ce code malveillant étant très récent il est encore difficile d’avoir du recul même si en source ouverte certaines personnes évoquent des charges basées sur du Cobalt Strike.

Jeudi dernier, HarfangLab EDR a détecté ce malware chez un de ses clients.

L’attaque potentielle a vite été écartée pour notre équipe CTI avec les actions suivantes :
– Isolement des deux postes touchés ;
– Blocage des adresses IP liées au serveur ‘command & control’ via l’édition de règles de Threat Intel ;
– Mise en blocage de certaines règles de détection.

Sans pour autant présumer de sa propagation, il est clair que cette nouvelle menace est très dangereuse, car elle appartient à la catégorie des chevaux de Troie.