Des hackers utiliseraient la fonction "survol" de PowerPoint pour infecter nos PC

Nathan Le Gohlisse
Spécialiste Hardware
05 octobre 2022 à 14h20
0
PowerPoint © © Nghia Nguyen - Unsplash
© Nghia Nguyen / Unsplash

APT28, un groupe de hackers soutenu par le pouvoir russe, semble avoir exploité une nouvelle méthode d'exécution de code fondée sur la fonctionnalité « survol » de PowerPoint.

Déployer des malwares sur un PC en exploitant une simple fonctionnalité de PowerPoint : c'est ce que des hackers russes ont visiblement réussi à faire grâce aux mouvements de la souris sur le logiciel de Microsoft.

Une technique pernicieuse comme jamais

La technique « est conçue pour être déclenchée lorsque l'utilisateur lance le mode de présentation et déplace la souris », détaille Cluster25, une entreprise spécialisée en sécurité dont les propos nous sont rapportés par TheHackerNews. « L'exécution du code lance un script PowerShell qui télécharge et exécute un dropper depuis OneDrive. »

Comme l'indique le site, le dropper prend en l'occurrence la forme d'un fichier image d'apparence inoffensive. Il sert pourtant de voie d'accès à un payload de suivi. Ce dernier repose sur une variante d'un malware baptisé Graphite qui utilise l'API Microsoft Graph et OneDrive, déjà employé par APT28 (également connu sous le nom de Fancy Bear).

Pour finir, l'attaque est orchestrée à partir d'un faux document qui utilise un template de l'OECD (Organisation for Economic Co-operation and Development) située à Paris, lit-on.

Une attaque utilisée activement

D'après le rapport publié par Cluster25, des attaques exploitant cette technique pourraient être en cours. Les URL utilisées par les dernières attaques ont en effet été identifiées comme étant actives en août et plus récemment en septembre. Les pirates d'APT28 avaient pour leur part jeté les bases de cette méthode d'exécution entre janvier et février, précise TheHackerNews.

Quant à la question des cibles potentielles de cette technique de piratage, Cluster25 estime que les individus qui travaillent dans les secteurs de la défense ou au sein de gouvernements en Europe et en Europe de l'Est semblent visés en premier lieu. Un ciblage qui ne surprendra personne, compte tenu du contexte géopolitique actuel.

Source : TheHackerNews

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Derniers actualités

L'excellent SSD 2,5
Idée cadeau | Papertrophy : des animaux en papier
Idée cadeau | Insta360 X3 : une caméra spectaculaire
Idées cadeaux : 5 accessoires Nintendo Switch pour Noël
Le prix du kit mémoire Kingston FURY Renegade DDR4 2x16 Go s'effondre (-32%)
Après le Black Friday, voici 10 idées cadeaux pour Noël
Vous devriez faire attention à vos données collectées depuis ces caméras et sonnettes connectées
Google One déploie son VPN gratuit sur les Pixel 7 et 7 Pro
Le Bitcoin est à bout de souffle, peut-il encore revenir ? La BCE n'y croit pas
Haut de page