Voilà des années que Microsoft améliore la sécurité de Windows, et des années que les pirates trouvent de nouvelles astuces pour la contourner. Le chercheur ProxyLife rapporte qu’en ce moment des acteurs malveillants déploient une nouvelle technique pour infecter leurs cibles avec des malware, sans déclencher la moindre alarme dans Windows.
Leur secret ? L’application calc.exe de Windows 7. Ce programme a en effet trois particularités très désirables : il s’exécute dans toutes les versions de Windows ultérieures, dont Windows 11, l’application est signée et ne déclenche donc aucune alarme… et l’application exécute une DLL WindowsCodecs.dll. Or dans la version de Windows 7, l’app cherche d’abord la présence de cette DLL dans le dossier courant.
Pourquoi les pirates recommencent à utiliser la technique de la calculatrice Windows ?
Dès lors, il suffit de mettre dans un dossier compressé l’application Calculatrice de Windows 7 avec une DLL vérolée pour infecter des machines sans déclencher d’alarme. Cette faille de sécurité a été colmatée dans les versions ultérieure du programme, mais il semble qu’il soit toujours possible d’utiliser la version Windows 7.
L’attaque décrite par ProxyLife se déroule généralement comme suit. Les pirates envoient à leur victime un message les incitant à télécharger et ouvrir une archive ISO déguisée en un fichier PDF ou autre. Pour mieux faire passer la pilule, les pirates peuvent présenter une page de téléchargement pour le fameux fichier, et ajouter qu’il est protégé par mot de passe.
Le fichier ISO contient après analyse quatre fichiers : un lien .lnk, une copie de calc.exe, et deux fichiers DLL : WindowsCodecs.dll (une variante vérolée de l’archive native), et un payload, nommé 7533.dll. Mais lorsque la victime monte l’image, elle ne voit que le raccourci, qui prend les traits d’un fichier PDF. Le raccourci est configuré pour ouvrir l’application calc.exe en tâche de fond via Cmd.
Si la victime clique, calc.exe tente d’abord de charger WindowsCodecs.dll – qui est en réalité lui-même un moyen de charger l’autre DLL, qui contient le malware QBot. Ce malware existe depuis plus d’une dizaine d’années : il s’agit d’un trojan bancaire qui vole vos identifiants et autres données de connexion. Il est capable d’exécuter du code arbitraire, et d’installer d’autres malware, par exemple un ransomware.
Lire aussi – Phishing – une attaque massive se prépare en France, comment se protéger ?
Bien sûr comme toujours il convient de se méfier des propositions de téléchargement même alléchantes reçues par mal ou par SMS. Pour l’heure l’utilisation de ce procédé peut rendre l’attaque indétectable par un logiciel antivirus. Il convient donc de rester très prudent.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
“Or dans la version de Windows 7, l’app cherche d’abord la présence de cette DLL dans le dossier courant.”
Ca n’est pas spécifique ni à Windows 7 ni à Calc, c’est le comportement normal de chargement d’une DLL par une application (ça a évolué avec les apps UWP et ça peut varier selon certains paramètres système), la recherche de DLL commence par défaut par le répertoire où se lance l’exécutable et Windows va ensuite chercher dans le répertoire System puis Windows puis dans les chemins présents dans les chemins déclarés dans PATH.