Des chercheurs de HP Wolf Security ont découvert l’existence d’une nouvelle campagne de distribution de malware qui utilise un fichier DOCX malveillant contenu dans un fichier PDF pour infecter ses victimes.
Les attaquants tentent ensuite d’utiliser une vulnérabilité corrigée depuis plus de quatre ans pour déployer Snake Keylogger.
Un fichier malveillant bien caché
Les campagnes de distribution de malwares par email sont monnaie courante. Cependant, celle découverte récemment par les chercheurs de HP Wolf Security possède une petite particularité. Depuis plusieurs années, de nombreuses tentatives d’infection se font en utilisant des fichiers DOCX ou XLS mis en pièce jointe de mail. Une façon de faire tellement courante que, d’après les chercheurs de l’entreprise, 45 % des malwares arrêtés par HP Wolf Security au premier trimestre 2022 utilisaient ces formats de fichiers pour se propager. Mais dans le cas de cette campagne, les attaquants ont tenté une nouvelle méthode : un PDF contenant un fichier DOCX.
Les victimes reçoivent un mail avec, en pièce jointe, un fichier PDF se faisant passer pour une facture pour une remise de fonds. Une fois que ce fichier est ouvert, Adobe demande aux utilisateurs s’ils souhaitent ouvrir le fichier DOCX contenu en son sein. Pour piéger les personnes visées par l’attaque, les attaquants ont appelé ce fichier DOCX « has been verified. However PDF, Jpeg, xlsx, .docx ». De cette manière, le nom du fichier semble faire partie du message de confirmation affiché par Adobe. La première phrase du message devient « This file ‘has been verified » (ce fichier a été vérifié), laissant croire que le logiciel a vérifié la conformité du fichier DOCX et donnant une impression de légitimité.
Une ancienne vulnérabilité exploitée
Si les victimes décident d’ouvrir le fichier DOCX et que les macros sont activées dans leur version de Microsoft Word, un fichier RTF est téléchargé à partir d’une ressource distante. Après reconstruction et analyse de ce fichier, les chercheurs de HP ont déterminé que pour infecter leurs victimes, les hackers tentaient d’exploiter une vieille vulnérabilité d’exécution de code à distance, plus précisément la CVE-2017-11882. Cette faille était présente dans l’éditeur d’équations de Microsoft et a été patchée depuis un certain temps. Cependant, il n’est un secret pour personne que certains systèmes sont peu ou rarement mis à jour, ce qui permet l’exploitation d’anciennes vulnérabilités.
Si l’utilisation de cette faille est possible, le code présent dans le fichier RTF s’occupe de télécharger et d’infecter l’ordinateur de la victime avec le malware Snake Keylogger. Ce dernier a été découvert fin 2020 et s’occupe principalement de voler des informations sensibles sur l’ordinateur infecté : identifiants sauvegardés sur le PC, frappes de clavier, captures d’écran de l’écran de la victime et données dans le presse-papier.
Sources : BleepingComputer, HP
08 novembre 2024 à 11h43
