Si le VBScript malveillant est depuis longtemps utilisé dans les campagnes de spam et de phishing, jusqu’à peu, ses capacités se limitaient à télécharger un malware depuis un serveur contrôlé par le pirate, puis à l’exécuter sur un ordinateur compromis.

Récemment, les spécialistes de Flashpoint ont pourtant découvert et analysé une évolution du phénomène avec ARS VBS Loader, une variante d’un outil de téléchargement courant appelé SafeLoader VBS, initialement vendu, puis diffusé gratuitement en 2015 sur des forums criminels russes.

Non seulement ARS VBS Loader télécharge et exécute du code malveillant, mais il inclut également une application de prise de contrôle écrite en PHP qui permet à un botmaster d’adresser des commandes à la machine de la victime. Ce comportement rapproche ARS VBS Loader d’un cheval de Troie d’accès distant (Remote Access Trojan, RAT), car il lui confère un comportement et des capacités rarement vus chez les « chargeurs », les familles de programmes malveillants porteurs de l’infection initiale utilisées pour installer des charges utiles par la suite.

Le nouveau chargeur a été diffusé dans des pièces jointes d’e-mail servant d’appât, avec des lignes d’objet liées aux services de banque en ligne, à des expéditions de colis ou encore à des notifications d’autoroute à péage. D’après les analystes, si une victime interagit avec la pièce jointe et l’ouvre, plusieurs types de commodity malware peuvent être installés, notamment AZORult, qui dérobe des informations. AZORult a été utilisé dans des campagnes visant plus de 1 000 panneaux d’administration Magento. Dans le cadre de ces attaques, le malware a permis de récupérer des coordonnées de carte bancaire sur les sites utilisant cette plate-forme de commerce électronique gratuite, open source et très répandue.

ARS VBS Loader ne cible que les machines Windows et prend en charge Windows 10, d’après des publications sur un forum russophone remontant à décembre dernier. Auparavant, un autre chargeur nommé FUD ASPC Loader, révélé en mai 2017, offrait des fonctionnalités similaires, mais pas la prise en charge de Windows 10.

D’après les analystes de Flashpoint, le chargeur est également susceptible d’esquiver les antivirus utilisant des signatures et les systèmes de détection des intrusions, en raison de la relative facilité avec laquelle les pirates peuvent maquiller VBScript. Si un malware est maquillé à l’aide d’un cryptage ou d’une compilation, il devient de plus en plus difficile pour l’antivirus de détecter le code malveillant, par exemple.

Une fois ARS VBS Loader exécuté sur l’ordinateur de la victime, il crée immédiatement plusieurs entrées dans près d’une dizaine d’emplacements à exécution automatique, notamment le registre, les tâches planifiées et le dossier Démarrage, afin de garantir sa résistance aux redémarrages. ARS VBS Loader se connecte au serveur du pirate pour lui envoyer des informations comme la version du système d’exploitation, le nom d’utilisateur de l’ordinateur, des détails sur la RAM, le processeur et la carte graphique, un identifiant généré aléatoirement pour le suivi de l’infection et des informations sur l’architecture de la machine.

Dans l’intervalle, le botmaster peut administrer à distance des commandes destinées aux bots via l’application de prise de contrôle écrite en PHP. La communication avec le serveur de prise de contrôle s’effectue en texte simple sur HTTP, ce qui facilite sa détection, selon les analystes de Flashpoint.

Le code malveillant qui s’exécute sur la machine de la victime est entièrement rédigé en VBScript et inclut des fonctionnalités lui permettant de s’actualiser et de se supprimer, ainsi que de déployer des modules externes comme un outil de vol d’informations d’identification, ou encore de lancer des attaques par déni de service (DoS) contre la couche applicative de sites Web, et de charger des malwares supplémentaires depuis des sites externes.

La commande la plus courante identifiée par les analystes est download, qui ordonne aux bots de télécharger et d’exécuter des malwares depuis l’URL spécifiée. Avec la commande plugin, des modules externes qui dérobent des mots de passe ou réalisent des captures d’écran du bureau peuvent être déployés sur les ordinateurs compromis.

La commande DDoS mérite également d’être signalée en raison de son caractère unique : les analystes déclarent ne l’avoir jamais vue être utilisée dans la nature. Celle-ci ordonne aux bots d’envoyer une quantité prédéfinie de requêtes HTTP POST à une URL donnée. Étant donné qu’il s’agit d’une simple attaque de flooding de la couche applicative, on ne connaît pas pour le moment sa probabilité de réussite à l’encontre de cibles dans la nature, expliquent les analystes, ajoutant qu’il serait facile de détecter le trafic de ce type, les mêmes valeurs POST codées de manière irréversible étant envoyées dans le flood HTTP.

Selon les analystes, les utilisateurs doivent faire attention à ne pas ouvrir les pièces jointes d’e-mail provenant de sources inconnues, car il y a de bonnes chances qu’ARS VBS Loader continue d’être utilisé comme un vecteur d’infection initiale efficace pour les campagnes de spam.