Généralement, les experts en sécurité préconisent d’éviter à tout prix de cliquer sur des liens externes contenus dans des emails suspicieux, sinon votre machine pourra être infectée. Mais apparemment, même le fait de suivre ce conseil n’est plus suffisant. Des chercheurs en sécurité ont découvert un malware qui installe un trojan de banking sur votre ordinateur même si vous ne cliquez sur aucun lien. En effet, il suffit de placer le pointeur de la souris sur un lien (image ou texte) contenu dans une présentation PowerPoint pour que le malware s’installe. Les emails de spam (qui distribuaient ce fichier) avaient pour objet « Facture » et « Commande# » la plupart des cas.
Le fichier PowerPoint contient un seul lien au centre qui dit « Loading... please wait » et cache un script de PowerShell intégré. Dès que l’utilisateur place le pointeur de la souris sur ce lien, le script s’exécute. Néanmoins, dans les versions plus récentes de Microsoft Office, il faudra toujours confirmer le téléchargement du malware avant qu’il ne s’installe. Mais malheureusement, les anciennes versions de Microsoft Office sont dépourvues de cette couche de sécurité additionnelle.
L’outil qui télécharge le malware a été identifié par les chercheurs de Trend Micro en tant que TROJ_POWHOV.A et P2KM_POWHOV. Son analyse a montré qu’il installe une variante d’OTLARD, un trojan de banking aussi connu sous le nom Gootkit. Il a fait son apparition en 2012 et a vite évolué en un trojan de vol de données avec persistance, un contrôle sans fil, la surveillance du trafic réseau et des capacités de manipulation du navigateur. OTLARD/Gootkit a été d’ailleurs déjà exploité dans une attaque de spam en France en 2015, une campagne qui a distribué de fausses lettres du ministère de la Justice.
OTLARD/Gootkit est connu pour sa capacité à voler des données sensibles et les coordonnées bancaires en Europe. Ses concepteurs qui jusque-là avaient recours à des macros pour distribuer leurs charges ont donc changé de tactiques.
Les cybercriminels derrière ce stratagème ont déjà mené une campagne de spam qui a ciblé des entreprises et des organisations en Europe, au Moyen-Orient et en Afrique. Même si les chiffres de l’attaque ne sont pas impressionnants, les chercheurs mettent en garde contre une éventuelle généralisation future de la nouvelle technique pour propager d’autres malwares comme les ransomwares.
Les chercheurs préconisent d’utiliser la fonction Protected View que Microsoft inclut par défaut dans les dernières versions d’Office. Cette fonctionnalité permet de visualiser le contenu d’un document reçu d’une source inconnue tout en réduisant les chances d’une infection. Pour les administrateurs IT et les professionnels de sécurité informatique, ces menaces peuvent être minimisées en désactivant certaines fonctionnalités sur les machines à travers le registre ou en implémentant des règles de groupe qui empêchent les utilisateurs d’exécuter ces fichiers. Une autre contre-mesure est d’opter pour les meilleures pratiques d’utilisation et de sécurisation des outils et services comme PowerShell que ce malware utilise pour infecter le système.
Source : Trend Micro
Et vous ?
Qu'en pensez-vous ?
Un nouveau malware infecte les PC dès que l'utilisateur place le curseur de la souris
Sur un lien contenu dans un fichier PowerPoint
Un nouveau malware infecte les PC dès que l'utilisateur place le curseur de la souris
Sur un lien contenu dans un fichier PowerPoint
Le , par Coriolan
Une erreur dans cette actualité ? Signalez-nous-la !