Un nouveau malware infecte les PC dès que l'utilisateur place le curseur de la souris
Sur un lien contenu dans un fichier PowerPoint
Le 2017-06-12 13:59:31, par Coriolan, Expert éminent sénior
Généralement, les experts en sécurité préconisent d’éviter à tout prix de cliquer sur des liens externes contenus dans des emails suspicieux, sinon votre machine pourra être infectée. Mais apparemment, même le fait de suivre ce conseil n’est plus suffisant. Des chercheurs en sécurité ont découvert un malware qui installe un trojan de banking sur votre ordinateur même si vous ne cliquez sur aucun lien. En effet, il suffit de placer le pointeur de la souris sur un lien (image ou texte) contenu dans une présentation PowerPoint pour que le malware s’installe. Les emails de spam (qui distribuaient ce fichier) avaient pour objet « Facture » et « Commande# » la plupart des cas.
Le fichier PowerPoint contient un seul lien au centre qui dit « Loading... please wait » et cache un script de PowerShell intégré. Dès que l’utilisateur place le pointeur de la souris sur ce lien, le script s’exécute. Néanmoins, dans les versions plus récentes de Microsoft Office, il faudra toujours confirmer le téléchargement du malware avant qu’il ne s’installe. Mais malheureusement, les anciennes versions de Microsoft Office sont dépourvues de cette couche de sécurité additionnelle.
L’outil qui télécharge le malware a été identifié par les chercheurs de Trend Micro en tant que TROJ_POWHOV.A et P2KM_POWHOV. Son analyse a montré qu’il installe une variante d’OTLARD, un trojan de banking aussi connu sous le nom Gootkit. Il a fait son apparition en 2012 et a vite évolué en un trojan de vol de données avec persistance, un contrôle sans fil, la surveillance du trafic réseau et des capacités de manipulation du navigateur. OTLARD/Gootkit a été d’ailleurs déjà exploité dans une attaque de spam en France en 2015, une campagne qui a distribué de fausses lettres du ministère de la Justice.
OTLARD/Gootkit est connu pour sa capacité à voler des données sensibles et les coordonnées bancaires en Europe. Ses concepteurs qui jusque-là avaient recours à des macros pour distribuer leurs charges ont donc changé de tactiques.
Les cybercriminels derrière ce stratagème ont déjà mené une campagne de spam qui a ciblé des entreprises et des organisations en Europe, au Moyen-Orient et en Afrique. Même si les chiffres de l’attaque ne sont pas impressionnants, les chercheurs mettent en garde contre une éventuelle généralisation future de la nouvelle technique pour propager d’autres malwares comme les ransomwares.
Les chercheurs préconisent d’utiliser la fonction Protected View que Microsoft inclut par défaut dans les dernières versions d’Office. Cette fonctionnalité permet de visualiser le contenu d’un document reçu d’une source inconnue tout en réduisant les chances d’une infection. Pour les administrateurs IT et les professionnels de sécurité informatique, ces menaces peuvent être minimisées en désactivant certaines fonctionnalités sur les machines à travers le registre ou en implémentant des règles de groupe qui empêchent les utilisateurs d’exécuter ces fichiers. Une autre contre-mesure est d’opter pour les meilleures pratiques d’utilisation et de sécurisation des outils et services comme PowerShell que ce malware utilise pour infecter le système.
Source : Trend Micro
Et vous ?
Le fichier PowerPoint contient un seul lien au centre qui dit « Loading... please wait » et cache un script de PowerShell intégré. Dès que l’utilisateur place le pointeur de la souris sur ce lien, le script s’exécute. Néanmoins, dans les versions plus récentes de Microsoft Office, il faudra toujours confirmer le téléchargement du malware avant qu’il ne s’installe. Mais malheureusement, les anciennes versions de Microsoft Office sont dépourvues de cette couche de sécurité additionnelle.
L’outil qui télécharge le malware a été identifié par les chercheurs de Trend Micro en tant que TROJ_POWHOV.A et P2KM_POWHOV. Son analyse a montré qu’il installe une variante d’OTLARD, un trojan de banking aussi connu sous le nom Gootkit. Il a fait son apparition en 2012 et a vite évolué en un trojan de vol de données avec persistance, un contrôle sans fil, la surveillance du trafic réseau et des capacités de manipulation du navigateur. OTLARD/Gootkit a été d’ailleurs déjà exploité dans une attaque de spam en France en 2015, une campagne qui a distribué de fausses lettres du ministère de la Justice.
OTLARD/Gootkit est connu pour sa capacité à voler des données sensibles et les coordonnées bancaires en Europe. Ses concepteurs qui jusque-là avaient recours à des macros pour distribuer leurs charges ont donc changé de tactiques.
Les cybercriminels derrière ce stratagème ont déjà mené une campagne de spam qui a ciblé des entreprises et des organisations en Europe, au Moyen-Orient et en Afrique. Même si les chiffres de l’attaque ne sont pas impressionnants, les chercheurs mettent en garde contre une éventuelle généralisation future de la nouvelle technique pour propager d’autres malwares comme les ransomwares.
Les chercheurs préconisent d’utiliser la fonction Protected View que Microsoft inclut par défaut dans les dernières versions d’Office. Cette fonctionnalité permet de visualiser le contenu d’un document reçu d’une source inconnue tout en réduisant les chances d’une infection. Pour les administrateurs IT et les professionnels de sécurité informatique, ces menaces peuvent être minimisées en désactivant certaines fonctionnalités sur les machines à travers le registre ou en implémentant des règles de groupe qui empêchent les utilisateurs d’exécuter ces fichiers. Une autre contre-mesure est d’opter pour les meilleures pratiques d’utilisation et de sécurisation des outils et services comme PowerShell que ce malware utilise pour infecter le système.
Source : Trend Micro
Et vous ?
-
Guy_MMembre régulierBonjour,
Votre premier paragraphe est contradictoire, vous dites ne pas cliquer sur un lien d'un email pour ensuite écrire que le lien malicieux était dans un fichier.
Vous écrivez "Généralement, les experts en sécurité préconisent d’éviter à tout prix de cliquer sur des liens externes contenus dans des emails suspicieux,[...]" puis plus loin "Les emails de spam (qui distribuaient ce fichier) avaient pour objet “Facture” et “Commande#” la plupart des cas."
Donc pour accéder au lien, il fut ouvrir une pièce jointe qui contient le script. Ça fait une étape supplémentaire. On n'en ai pas encore à un survol de lien dans un mail qui déclencherait un script.
Le malheureux est qu'il existe encore des personnes pour ouvrir les pièce jointes contenues des mails douteux.
A bientôt
GMle 12/06/2017 à 14:50 -
kopbucMembre régulierle 12/06/2017 à 19:19
-
Pierre GIRARDExpert éminentC'est quoi "PowerPoint" ? et ça sert à quoi finalement ?le 15/06/2017 à 14:47
-
Pierre GIRARDExpert éminentMoi, j'utilise un appareil photo pour faire des diaporamas. L'avantage, c'est que les "malware" n'infectent pas les PC.le 17/06/2017 à 14:42
-
impopiaMembre régulierC'est encore "bien". Je ne connais pas trop les "macros" et toutes ces éléments "actifs" dans les documents Office, mais du point de vue conceptuel, si qqch peut s'exécuter quand on survole un lien avec le curseur, peut-être qu'on pourrait faire exécuter qqch lors de l'ouverture du fichier même, et détourner l'attention de l'utilisateur cible par qqch de moins terne qu'un lien au milieu de la page... Ou carrément envoyer un exécutable dans la pièce jointe, c'est plus direct et ça pourrait même marcher plus vite.
Dès qu'on franchit le pas d'ouvrir la pièce jointe (et ça avec le logiciel dédié), des miliers de possibilités s'ouvrent.le 06/07/2017 à 9:35 -
blbirdMembre chevronnéPourtant il me semble bien qu'ils expliquent que sous les anciennes versions de powerpoint, le script s'exécute tout seul au survol de la souris, sans aucune popup de warning.le 12/06/2017 à 18:53
-
kopbucMembre régulierle 17/06/2017 à 13:39