Des chercheurs de Proofpoint expliquent avoir détecté un nouveau malware backdoor baptisé Serpent qui s’installe en s’appuyant sur un logiciel open source pour Windows. Le programme en question, Chocolatey, est un gestionnaire de paquets. Très utilisé par les administrateurs système et les programmeurs ce logiciel simplifie l’ajout, la suppression et la mise à jour de programmes (et de leurs dépendances) sur la plateforme. Tout en permettant de réaliser l’intégralité de ces opérations en ligne de commandes.
Or depuis quelques jours une série d’emails envoyés à des entités françaises dans le secteur de la construction, de l’immobilier, ainsi que plusieurs responsables informatiques de ministères français tente d’inoculer le malware Serpent. Selon Proofpoint, ces attaques sont le fait d’acteurs assez avancés – même s’il est pour l’heure difficile d’affirmer qu’on a là l’un des premiers gros exemples d’attaques informatiques liées au soutien de la France aux sanctions contre la Russie suite à l’invasion de l’Ukraine.
Méfiez-vous des emails et de leurs pièces jointes, surtout en ce moment…
Les chercheurs expliquent : “les auteurs de cette menace tentent d’installer une backdoor sur l’appareil de leurs victimes, backdoor qui pourrait activer l’administration à distance, l’envoi de commandes et la prise de contrôle de la machine, servir à des vols de données, voire délivrer d’autres payloads”. L’attaque commence donc par un email qui prend l’apparence d’un dépôt de candidature pour une offre d’emploi, avec un document en pièce jointe. Le fichier en question est un document Word censé donner des informations sur le RGPD… il est truffé de macros vérolées.
Si l’utilisateur laisse s’exécuter les macro, Word va récupérer un fichier image en apparence inoffensif. Le fichier contient en réalité un script PowerShell habilement dissimulé dans l’image par stéganographie. C’est alors que le script installe la version open source de Chocolatey, le fameux gestionnaire de paquets qui lui permet de discrètement lancer l’installation de Python et de PySocks. Une fois cette étape clé réalisée, Word récupère une nouvelle image sur le serveur des pirates.
Lire aussi – Windows 10, 11 – les PC doivent se préparer à un tsunami de malware indétectables
Cette fois, l’image contient le malware Serpent entièrement écrit en Python. Les pirates peuvent à partir de là exécuter directement des commandes sur la machine. Proofpoint explique que le recours à Chocolatey permet au pirates d’échapper à la détection antivirus. Comme toujours et particulièrement dans le contexte actuel de cyberguerre, il convient de redoubler de prudence face aux messages, emails et leur pièces-jointes. D’autant plus que certaines administrations utilisent des documents Word parfaitement inoffensifs reposant sur des macro pour simplifier la saisie – ce qui signifie que les macro sont souvent activées dans ces entités ce qui facilite l’attaque.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Pourquoi toujours préciser open source, les logiciels propriétaires ont largement la palme des trous de sécurités.
Tout à fait d’accord, l’article oublie de préciser que l’attaque s’appuie avant tout sur Microsoft Word et sur les politiques sécurité des macros.