Nouvelle campagne SVCReady diffusée via Malspam

Les experts en sécurité de la branche de recherche sur les menaces de HP ont publié leurs conclusions sur une nouvelle souche de logiciels malveillants, baptisée SVCReady. Le logiciel malveillant se propage à l'aide de campagnes de spam malveillantes.

La première observation de SVCReady dans la nature a eu lieu fin avril 2022. Le logiciel malveillant s'est propagé via des fichiers de documents MS Word malveillants chargés de macros qui s'exécutent à l'ouverture. Cependant, contrairement à la plupart des logiciels malveillants qui utilisent des macros, SVCReady n'utilise pas les commandes MSHTA ou PowerShell pour récupérer sa charge utile sur Internet. Au lieu de cela, le nouveau logiciel malveillant utilise une autre astuce astucieuse : exécuter le shellcode contenu dans les champs de propriété du fichier.

SVCReady dépose un fichier DLL dans le dossier temporaire. Après cela, le logiciel malveillant copie le fichier rundll32 légitime du système dans le même répertoire et le renomme. Ensuite, la copie renommée de rundll32 est utilisée pour exécuter le fichier DLL malveillant.

Le logiciel malveillant semble être en cours de développement actif, car il a été mis à jour plusieurs fois depuis fin avril et il semble avoir l'étoffe d'un mécanisme de persistance, mais il est défectueux et n'atteint pas réellement la persistance dans l'état actuel.

SVCReady a été utilisé comme charge utile initiale pour fournir des logiciels malveillants supplémentaires sur les systèmes infectés, y compris le logiciel malveillant RedLine infostealer.