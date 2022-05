Un keylogger serpent se glisse sur les PC avec des documents Word malveillants dans le cadre d'une campagne malveillante sinistre.



Il semble que chaque jour, une nouvelle menace de logiciel malveillant fasse son apparition. Mais de temps en temps, la nouvelle menace est une version d'une ancienne menace. Par exemple, les PDF comme méthode de diffusion de logiciels malveillants.







C'est ce que des chercheurs de HP Wolf Security ont récemment découvert. Une méthode moins courante, mais apparemment efficace, d'infection par des logiciels malveillants tire parti d'un certain nombre d'astuces et d'outils pour contourner la détection à la fois par les logiciels de détection et par l'interaction humaine.



Selon le rapport, la victime reçoit un e-mail dont l'objet est "Remittance Invoice", qui ressemble vraisemblablement à une facture. Le format PDF est souvent utilisé pour les factures, les devis et d'autres interactions et fichiers commerciaux en raison de la sécurité accrue qu'il offre. Malheureusement, dans ce cas, le fichier est moins que sûr.







Ce fichier est moins sûr car il abrite un document Microsoft Office caché, généralement un fichier Word DOCX. Le fichier incorporé porte le nom "a été vérifié". Lorsque l'utilisateur voit l'invite d'Adobe PDF qui tente d'ouvrir le fichier, la première phrase de l'invite est "Le fichier 'a été vérifié'", ce que l'attaquant espère que la victime permettra au système de contourner. Malheureusement, il s'agit d'une simple ruse qui ne fonctionne que trop bien pour de nombreux utilisateurs.



Une fois le document Word ouvert, et si les macros sont activées, le document Word va alors télécharger et ouvrir un fichier RTF (rich text format) depuis un emplacement distant et l'ouvrir. Le document, nommé "f_document_shp.doc", lorsqu'il est ouvert, tente d'exploiter une ancienne vulnérabilité OLE portant l'identifiant CVE-2017-11882 qui a en fait été corrigée depuis longtemps par Microsoft. Cette vulnérabilité permettait l'exécution de code arbitraire, permettant effectivement à quiconque l'utilisait d'exécuter le code qu'il voulait sur les systèmes infectés. Dans ce cas, le snake keylogger est généralement installé, ce qui permet à l'attaquant d'enregistrer les frappes au clavier afin de stocker des données.







Comme pour toute menace de malware, être infecté peut être assez grave. Toutefois, cette menace particulière présente des risques d'infection assez faibles dans l'ensemble. En février, Microsoft a commencé à déployer des mises à jour pour les versions les plus récentes d'Office qui empêchent le chargement automatique des macros sans demande. La faille de sécurité que ce résultat final exploite est déjà corrigée. Pour être réellement infecté, l'utilisateur doit donc se trouver sur un système non patché, qu'il le veuille ou non, ouvrir le PDF, permettre son exécution et contourner la prévention des macros. Cela fait beaucoup de variables, mais ce malware a été détecté par HP Wolf cette année, ce qui ne veut pas dire que cela ne peut pas arriver.



Les meilleures pratiques pour se protéger dans ce cas sont assez simples. Méfiez-vous des pièces jointes, assurez-vous que vos systèmes sont à jour, que vos logiciels sont à jour et que votre logiciel anti-malware ou anti-virus est à jour. C'est assez simple, vraiment.



HOTHARDWARE