Les attaques informatiques se multiplient en 2022, si bien qu’il est avisé d’installer un bon antivirus sur votre machine. Des chercheurs de SafeBreach annoncent la découverte d’une nouvelle campagne de malware impliquant un fichier Word et une étonnante technique de dissimulation.
Après enquête il semble que l’attaque soit partie d’une tentative de phishing LinkedIn. Les victimes étaient susceptibles de télécharger un fichier Word vérolé avec une macro à un moment de l’arnaque. Le fichier, mis en ligne en Jordanie le 25 août 2022 selon les métadonnées, lance ensuite une série d’actions.
Un discret malware se propage via des macros Office avant de se cacher dans Windows Update
Le malware copie notamment un fichier updater.vbs sur la machine avant de créer une tâche programmée qui tente de se faire passer comme une partie de Windows Update, le composant de mise à jour de Windows. Updater.vbs est placé par la macro dans %appdata%\local\Microsoft\Windows, pour mieux se fondre dans les fichiers système.
Le malware télécharge ensuite un script PowerShell, conçu pour faire la liaison avec le centre de commande et de contrôle des pirates. C’est ce script qui récupère les commandes à lancer sur la machine des victimes sous la forme d’un second script PowerShell.
Heureusement, le ou les pirates derrière le malware n’ont visiblement pas su effacer totalement leurs traces. Ce qui a permis aux chercheurs de déterminer les fonctionnalités précises du malware. En effet, chaque victime était identifié par un identifiant qui augmente en séquence (0, 1, 2, 3 etc…) et les chercheurs ont donc pu plus facilement comprendre quelles commandes étaient envoyées à quelle victime.
Et surtout reconstruire les commandes des pirates au malware. On sait ainsi que le programme peut exfiltrer la liste des processus en cours d’exécution, envoyer une liste de fichiers dans des dossiers spécifiques, exécuter whoami, et supprimer des fichiers dans le dossier public de l’utilisateur. Tout indique que le malware a été conçu à des fins de renseignement.
Une grande partie des antivirus disponibles en 2022 est capable de détecter et de supprimer le malware. The Hacker News parle de 32 éditeurs antivirus et 18 agents anti-malware mis à jour pour détecter cette nouvelle menace. De son côté, Microsoft est depuis longtemps au courant des risques posés par les Macro des documents Office.
La firme a ainsi choisi de bloquer les macros Excel 4.0 (XLM ou XL4) et les macros écrites en VBA par défaut poussant les pirates à trouver de nouveaux moyens d’infecter leur cible. Reste que de nombreux utilisateurs, principalement en entreprise, continuent d’utiliser des documents Office susceptible de contenir des macros. Ce qui permet à des acteurs de mieux cibler sans doute leur victime.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
