Une campagne en cours abuse de la plate-forme Microsoft Build Engine (MSBuild) pour la livraison sans fichier de logiciels malveillants, révèlent des chercheurs en sécurité de la société de renseignement sur les menaces Anomali.

Décrit comme la plate-forme de construction pour Microsoft et Visual Studio, MSBuild possède une fonctionnalité qui permet aux développeurs de spécifier le code à exécuter en mémoire, et les adversaires en ont abusé dans une nouvelle campagne pour la livraison sans fichier de leurs charges utiles malveillantes.

Les attaques, qui se poursuivaient la semaine dernière, ont probablement commencé en avril. Dans le cadre de la campagne, les acteurs de la menace ont encodé des exécutables et du shellcode dans des fichiers MSBuild malveillants et les ont hébergés sur un site Web d’hébergement d’images russe, joxi[.]rapporter.

Les chercheurs d’Anomali, qui révèlent que la plupart des fichiers de projet MSBuild analysés (.proj) utilisés dans ces attaques étaient destinés à fournir le Remcos RAT comme charge utile finale, n’ont pas pu identifier la manière dont ces fichiers étaient distribués.

Pour assurer la persistance, l’utilitaire légitime Mshta est utilisé pour exécuter un VBscript pour exécuter le fichier .proj, et un fichier de raccourci (.lnk) est ajouté au dossier de démarrage.

Le Remcos RAT fourni dans le cadre de ces attaques peut être exploité pour prendre le contrôle total des ordinateurs infectés, à distance. Écrit en C ++, la menace contient des capacités anti-AV, peut récolter des informations d’identification et des informations système, enregistre les frappes au clavier, capture l’écran et peut également exécuter des scripts.

RedLine Stealer, qui est écrit en .NET, a été conçu avec des capacités étendues de vol de données, des cookies de ciblage, des informations d’identification pour diverses applications et services, des crypto-portefeuilles, des informations stockées dans des navigateurs Web et des données système.

Anomali a déclaré qu’il était incapable de déterminer qui était derrière les attaques en raison du fait que RemcosRAT et RedLine Stealer sont des logiciels malveillants de base.

«Les acteurs de la menace derrière cette campagne ont utilisé la livraison sans fichier comme un moyen de contourner les mesures de sécurité, et cette technique est …