Infos

Macros malveillantes dans des attaques ciblées

Les chercheurs de Palo Alto Networks nous mettent en garde contre des diffusions de spam ciblées qui visent à introduire un malware sans fichier via des documents Word en pièce jointe contenant une macro malveillante. Jusqu’il y a peu, cette pratique était connue uniquement chez les trojans bancaires comme Dridex et Dyre, mais il semblerait que cette méthode ancienne, mais toujours efficace, est utilisée pour d’autres malwares comme le voleur d’informations Grabit, l’espion BlackEnergy, le bot Kasidet et le ransomware Locky.

Dans le cas présent, Palo Alto rapporte que les messages malveillants sont diffusés en petites quantités vers des adresses professionnelles d’employés de sociétés américaines, canadiennes et européennes. Ces messages se présentent sous la forme de messages professionnels, contiennent le nom exact du destinataire ainsi que certaines informations sur la société pour laquelle il travaille. Ces petits détails, visiblement obtenus auprès de sources publiques, suffisent pour convaincre le destinataire d’accepter la demande de consulter le document en pièce jointe.

Si l’utilisteur ouvre le fichier malveillant et qu’il accepte l’activation des macros (les macros ne sont pas activées par défaut), il lance l’exécution du fichier powershell.exe masqué selon des arguments particuliers de la ligne de commande. La commande PowerShell exécutée dans ce cas vise à identifier l’architecture Windows (32 ou 64 bits) et, en fonction du résultat, garantit le téléchargement d’un script PowerShell complémentaire avec code shell.

Cette charge utile permet de réaliser plusieurs vérification sur l’ordinateur infecté, de déterminer à quel point l’environnement d’exécution est hostile (machine virtuelle, bac à sable, débogueur) et de déterminer la valeur de la cible. Sur la base de listes noire et blanche, le malware recherche dans les paramètres réseau de la victime les lignes qui permettent d’identifier le profil de la machine attaquée, ainsi que les noms de quelques sites financiers et les noms Citrix, XenApp, dana-na (dossier partagé avec URL interne créee dans les VPN Juniper) dans les URL mises en cache.

« Il semblerait que ce malware tente dans la mesure du possible d’éviter les ordinateurs des médecins et des réprésentants du monde de l’enseignement. Il se concentre uniquement sur ceux qui réalisent des opérations financières » expliquent les chercheurs. « Au milieu de l’année 2015, des techniques similaires avaient été enregistrées dans la famille de malwares Ursnif. »

Le malware envoie les résultats des vérifications à son centre de commande. Si l’objet attaqué est intéressant pour les individus malintentionnés, le centre de commande envoie un fichier DLL crypté qui est enregistré temporairement sur le disque et qui est utilisé à l’aide de rundll32.exe.

Les chercheurs ont baptisé ce malware PowerSniff. Un des échantillons a même été analysé dans ISC SANS. D’après Palo Alto, l’ampleur de cette campagne malveillante n’est pas encore trop grande : à l’heure actuelle, seuls 1 500 messages de spam environ ont été référencés.

Fonte: Networkworld

Macros malveillantes dans des attaques ciblées

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception