Si vous utilisez Outlook, prudence. Une campagne d’espionnage informatique cible en ce moment le service de messagerie de Microsoft avec un malware particulièrement discret.
Baptisé FinalDraft et identifié par les équipes d’Elastic Security Labs, le logiciel malveillant détourne les brouillons de mail pour communiquer avec ses opérateurs. Évidemment, aucun trafic réseau suspect en apparence, aucune alerte sur les flux de données. Et pourtant, derrière cette attaque, une infrastructure qui relie l’Amérique du Sud et l’Asie du Sud-Est, laissant entrevoir une opération de cyberespionnage d’ampleur.
Un mécanisme d'attaque presque indétectable
Elastic Security Labs n’a pas précisé le mode d’infection initial, mais l’implantation de FinalDraft passe par l’exécution d’un loader, PathLoader. Une fois actif, le malware récupère un jeton OAuth à partir d’un token de rafraîchissement stocké dans sa configuration, puis l’enregistre dans la base de registre Windows pour maintenir un accès persistant aux systèmes compromis.
Une fois bien installé, FinalDraft agit selon un mode opératoire très discret. Alors que l’on s’attendrait à ce qu’il communique directement avec un serveur distant, le malware privilégie une technique bien plus difficile à détecter. Les instructions sont insérées dans des brouillons Outlook, supprimés après traitement. Une méthode qui lui permet de masquer efficacement ses échanges et de se fondre dans le trafic légitime de Microsoft 365, ce qui complique sensiblement toute tentative de détection.
Sans surprise, l’objectif principal du malware consiste à voler des données sensibles. Au total, les chercheurs et chercheuses ont ainsi identifié 37 commandes différentes, permettant notamment d’exfiltrer des fichiers, d’injecter du code et de rediriger le trafic réseau. Certains modules additionnels intègrent aussi des capacités très avancées et de mener des attaques de type Pass-the-Hash, qui permettent de siphonner des identifiants sans avoir à les déchiffrer.
Pour passer sous le radar, FinalDraft mise sur des techniques d’obfuscation complexes. Les chaînes de caractères et les appels aux API système sont chiffrés afin d’entraver l’analyse statique, son exécution se fait par le biais de processus Windows courants pour limiter les risques de déclenchement d’alerte antivirus (mspaint.exe et conhost.exe), et sa persistance repose sur une tâche planifiée, destinée à relancer l’infection toutes les minutes.
L’enquête menée par Elastic Security Labs a permis d’identifier les premières cibles comme travaillant au sein d’un ministère en Amérique du Sud. Mais en remontant le fil des infrastructures utilisées, les équipes ont également pu établir des liens avec des serveurs situés en Asie du Sud-Est, découverte qui suggère une campagne de cyberespionnage plus large qu’imaginée. Le rapport stipule par ailleurs que les domaines de contrôle enregistrés imitent des noms d’éditeurs de cybersécurité reconnus, comme CheckPoint et Fortinet (checkponit[.]com, fortineat[.]com), révélant une stratégie de typosquatting destinée à brouiller les pistes et éviter toute attribution immédiate.
Autre détail inquiétant : Elastic Security Labs a confirmé l’existence d’une variante Linux de FinalDraft, qui reprend une partie des fonctionnalités de la version Windows. Son mode opératoire reste similaire, mais elle exploite une gamme plus large de canaux de communication, incluant HTTP et DNS, en plus d’Outlook. Une diversification qui suggère un développement actif, porté par la volonté d’adapter l’attaque à différents environnements et infrastructures.
Des stratégies de défense adaptées à une menace invisible
Les solutions de détection traditionnelles peinent à repérer FinalDraft. On l’a vu, parce qu’il exploite des services légitimes, le malware contourne les signaux d’alerte habituels et se fond dans le trafic normal de Microsoft 365. D’où l’importance de mener des analyses plus fines et des contrôles spécifiques.
Il est donc avant tout nécessaire de surveiller activement ses brouillons Outlook, de manière à repérer des comportements suspects, comme la création et la suppression rapides de messages non envoyés. Il est également impératif d’effectuer un suivi sérieux des accès à l’API Microsoft Graph pour identifier d’éventuels détournements de jetons OAuth.
Enfin, pensez à bien activer vos solutions de détection comportementale (EDR, SIEM) pour repérer les injections de processus et les anomalies dans les tâches planifiées. Et de manière générale, installez un bon antivirus, dont les bases de données virales et de signatures sont actualisées plusieurs fois par jour.
06 février 2025 à 09h45
