Un nouveau malware infecte les PC dès que l'utilisateur place le curseur de la souris
Sur un lien contenu dans un fichier PowerPoint

Le , par Coriolan, Chroniqueur Actualités
Généralement, les experts en sécurité préconisent d’éviter à tout prix de cliquer sur des liens externes contenus dans des emails suspicieux, sinon votre machine pourra être infectée. Mais apparemment, même le fait de suivre ce conseil n’est plus suffisant. Des chercheurs en sécurité ont découvert un malware qui installe un trojan de banking sur votre ordinateur même si vous ne cliquez sur aucun lien. En effet, il suffit de placer le pointeur de la souris sur un lien (image ou texte) contenu dans une présentation PowerPoint pour que le malware s’installe. Les emails de spam (qui distribuaient ce fichier) avaient pour objet « Facture » et « Commande# » la plupart des cas.


Le fichier PowerPoint contient un seul lien au centre qui dit « Loading... please wait » et cache un script de PowerShell intégré. Dès que l’utilisateur place le pointeur de la souris sur ce lien, le script s’exécute. Néanmoins, dans les versions plus récentes de Microsoft Office, il faudra toujours confirmer le téléchargement du malware avant qu’il ne s’installe. Mais malheureusement, les anciennes versions de Microsoft Office sont dépourvues de cette couche de sécurité additionnelle.

L’outil qui télécharge le malware a été identifié par les chercheurs de Trend Micro en tant que TROJ_POWHOV.A et P2KM_POWHOV. Son analyse a montré qu’il installe une variante d’OTLARD, un trojan de banking aussi connu sous le nom Gootkit. Il a fait son apparition en 2012 et a vite évolué en un trojan de vol de données avec persistance, un contrôle sans fil, la surveillance du trafic réseau et des capacités de manipulation du navigateur. OTLARD/Gootkit a été d’ailleurs déjà exploité dans une attaque de spam en France en 2015, une campagne qui a distribué de fausses lettres du ministère de la Justice.

OTLARD/Gootkit est connu pour sa capacité à voler des données sensibles et les coordonnées bancaires en Europe. Ses concepteurs qui jusque-là avaient recours à des macros pour distribuer leurs charges ont donc changé de tactiques.

Les cybercriminels derrière ce stratagème ont déjà mené une campagne de spam qui a ciblé des entreprises et des organisations en Europe, au Moyen-Orient et en Afrique. Même si les chiffres de l’attaque ne sont pas impressionnants, les chercheurs mettent en garde contre une éventuelle généralisation future de la nouvelle technique pour propager d’autres malwares comme les ransomwares.

Les chercheurs préconisent d’utiliser la fonction Protected View que Microsoft inclut par défaut dans les dernières versions d’Office. Cette fonctionnalité permet de visualiser le contenu d’un document reçu d’une source inconnue tout en réduisant les chances d’une infection. Pour les administrateurs IT et les professionnels de sécurité informatique, ces menaces peuvent être minimisées en désactivant certaines fonctionnalités sur les machines à travers le registre ou en implémentant des règles de groupe qui empêchent les utilisateurs d’exécuter ces fichiers. Une autre contre-mesure est d’opter pour les meilleures pratiques d’utilisation et de sécurisation des outils et services comme PowerShell que ce malware utilise pour infecter le système.

Source : Trend Micro

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Guy_M Guy_M - Membre du Club https://www.developpez.com
le 12/06/2017 à 14:50
Bonjour,

Votre premier paragraphe est contradictoire, vous dites ne pas cliquer sur un lien d'un email pour ensuite écrire que le lien malicieux était dans un fichier.

Vous écrivez "Généralement, les experts en sécurité préconisent d’éviter à tout prix de cliquer sur des liens externes contenus dans des emails suspicieux,[...]" puis plus loin "Les emails de spam (qui distribuaient ce fichier) avaient pour objet “Facture” et “Commande#” la plupart des cas."

Donc pour accéder au lien, il fut ouvrir une pièce jointe qui contient le script. Ça fait une étape supplémentaire. On n'en ai pas encore à un survol de lien dans un mail qui déclencherait un script.

Le malheureux est qu'il existe encore des personnes pour ouvrir les pièce jointes contenues des mails douteux.

A bientôt
GM
Avatar de blbird blbird - Membre éclairé https://www.developpez.com
le 12/06/2017 à 18:53
Pourtant il me semble bien qu'ils expliquent que sous les anciennes versions de powerpoint, le script s'exécute tout seul au survol de la souris, sans aucune popup de warning.
Avatar de kopbuc kopbuc - Membre à l'essai https://www.developpez.com
le 12/06/2017 à 19:19
Citation Envoyé par blbird Voir le message
Pourtant il me semble bien qu'ils expliquent que sous les anciennes versions de powerpoint, le script s'exécute tout seul au survol de la souris, sans aucune popup de warning.
Après l'ouverture du document
Avatar de Pierre GIRARD Pierre GIRARD - Expert confirmé https://www.developpez.com
le 15/06/2017 à 14:47
C'est quoi "PowerPoint" ? et ça sert à quoi finalement ?
Avatar de kopbuc kopbuc - Membre à l'essai https://www.developpez.com
le 17/06/2017 à 13:39
Citation Envoyé par Pierre GIRARD Voir le message
C'est quoi "PowerPoint" ? et ça sert à quoi finalement ?
C'est pour créer des diaporamas.
Avatar de Pierre GIRARD Pierre GIRARD - Expert confirmé https://www.developpez.com
le 17/06/2017 à 14:42
Citation Envoyé par kopbuc Voir le message
C'est pour créer des diaporamas.
Moi, j'utilise un appareil photo pour faire des diaporamas. L'avantage, c'est que les "malware" n'infectent pas les PC.
Offres d'emploi IT
Architecte systèmes externes TP400 H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Ingénieur produit (Landing gear) H/F
Safran - Ile de France - MASSY Hussenot
Chef de projet technique H/F
Safran - Ile de France - Melun (77000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil