🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Attention, ce malware se cache dans un ficher Word vérolé, lui-même caché dans un PDF

24 mai 2022 à 11h15
6
Hack malware © Shutterstock.com

Des chercheurs de HP Wolf Security ont découvert l’existence d’une nouvelle campagne de distribution de malware qui utilise un fichier DOCX malveillant contenu dans un fichier PDF pour infecter ses victimes.

Les attaquants tentent ensuite d’utiliser une vulnérabilité corrigée depuis plus de quatre ans pour déployer Snake Keylogger.

Un fichier malveillant bien caché

Les campagnes de distribution de malwares par email sont monnaie courante. Cependant, celle découverte récemment par les chercheurs de HP Wolf Security possède une petite particularité. Depuis plusieurs années, de nombreuses tentatives d’infection se font en utilisant des fichiers DOCX ou XLS mis en pièce jointe de mail. Une façon de faire tellement courante que, d’après les chercheurs de l’entreprise, 45 % des malwares arrêtés par HP Wolf Security au premier trimestre 2022 utilisaient ces formats de fichiers pour se propager. Mais dans le cas de cette campagne, les attaquants ont tenté une nouvelle méthode : un PDF contenant un fichier DOCX.

Les victimes reçoivent un mail avec, en pièce jointe, un fichier PDF se faisant passer pour une facture pour une remise de fonds. Une fois que ce fichier est ouvert, Adobe demande aux utilisateurs s’ils souhaitent ouvrir le fichier DOCX contenu en son sein. Pour piéger les personnes visées par l’attaque, les attaquants ont appelé ce fichier DOCX « has been verified. However PDF, Jpeg, xlsx, .docx ». De cette manière, le nom du fichier semble faire partie du message de confirmation affiché par Adobe. La première phrase du message devient « This file ‘has been verified » (ce fichier a été vérifié), laissant croire que le logiciel a vérifié la conformité du fichier DOCX et donnant une impression de légitimité.

HP PDF © HP
© HP

Une ancienne vulnérabilité exploitée

Si les victimes décident d’ouvrir le fichier DOCX et que les macros sont activées dans leur version de Microsoft Word, un fichier RTF est téléchargé à partir d’une ressource distante. Après reconstruction et analyse de ce fichier, les chercheurs de HP ont déterminé que pour infecter leurs victimes, les hackers tentaient d’exploiter une vieille vulnérabilité d’exécution de code à distance, plus précisément la CVE-2017-11882. Cette faille était présente dans l’éditeur d’équations de Microsoft et a été patchée depuis un certain temps. Cependant, il n’est un secret pour personne que certains systèmes sont peu ou rarement mis à jour, ce qui permet l’exploitation d’anciennes vulnérabilités.

Si l’utilisation de cette faille est possible, le code présent dans le fichier RTF s’occupe de télécharger et d’infecter l’ordinateur de la victime avec le malware Snake Keylogger. Ce dernier a été découvert fin 2020 et s’occupe principalement de voler des informations sensibles sur l’ordinateur infecté : identifiants sauvegardés sur le PC, frappes de clavier, captures d’écran de l’écran de la victime et données dans le presse-papier.

Sources : BleepingComputer, HP

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
6
7
SPH
Ca m’épatera toujours qu’un fichier malveillant soit caché dans un PDF ou un DOC.<br /> Mais je comprends maintenant que ce sont les macro de Word qui rendent l’infection possible.<br /> Merci pour cet article
Kilg0re
Renomme un DOCX en ZIP et admire
Popoulo
« Cette faille était présente dans l’éditeur d’équations de Microsoft » OFFICE (Cf. MSRC : Microsoft Office Memory Corruption Vulnerability). Pas l’OS !<br /> Faire un article sur une faille concernant MS Office et ne pas le citer une seule fois, c’est balèze
ChezDebarras
c’est proprement ce qu’on appelle un « cheval de troie »
MPM2019
Non plutôt un cheval de 3
lightness
hp wolf security ça reste HP la société qui intègre du code malveillants dès la conception de ses produits. j’espère à ce titre que la société est balèze effectivement pour trouver des malveillants. a quand leur association avec Avast qu’on rigole un peu.
Voir tous les messages sur le forum

Lectures liées

Piratage : finalement le service de gestion de flux Xstream-Codes est déclaré « légal »
CyberGhost : le meilleur VPN du marché fracasse les soldes d'été !
VPN pas cher : CyberGhost, NordVPN et Surfshark sont à prix vraiment MINI !
Google alerte sur un nouveau logiciel espion, votre smartphone est-il infecté ?
Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple
Pendant les soldes, profitez d'un prix fou sur le VPN de CyberGhost
Le chiffrement du Cloud MEGA mis à mal par des chercheurs
Le spyware Pegasus a été utilisé dans au moins 5 pays de l'UE
Pour les soldes d'été, NordVPN baisse le prix de son VPN, mais pas que !
Le malware Android BRATA devient plus puissant : il peut maintenant lire vos SMS !
Haut de page