Un nouveau malware attaque Windows et macOS

Des chercheurs de chez Fortinet ont découvert un document Word contenant un code VBA malveillant capable de télécharger un malware ciblé sur Mac OS X et sur Windows.

A l’instar de nombreux autres pièges similaires, l’utilisateur est invité à activer les macros lorsqu’il ouvre le fichier. Si l’utilisateur accepte l’invitation, le code VBA s’exécute et entraîne une requête automatique AutoOpen(). Cette fonction calcule la valeur chiffrée en base 64 de la propriété Comments du document. Il s’agit d’un script Python dont le fonctionnement diffère sous Windows et sous Mac OS X.

Dans la mesure où Python est préinstallé sur Mac OS X, ces scripts sont exécutés par défaut sur ces systèmes d’exploitation. Par conséquent, le mode d’infection est direct : le script intégré télécharge un fichier depuis une autre adresse (un autre script Python) qui s’exécute et qui tente de contacter le serveur des attaquants. D’après les chercheurs, le script téléchargé est une modification de la charge Meterpreter, ajoutée au framework Metasploit en novembre 2015.

Meterpreter est un composant étendu qui utilise la technique de l’injection dll progressive depuis la mémoire. Cet outil est utilisé normalement dans les tests de pénétration, mais il a également été adopté par plusieurs groupes criminels, notamment GCMAN et un groupe détecté récemment par Kaspersky Lab et qui a également adopté un malware « sans fichiers ».

Sous Windows, le scénario qui conduit à l’exécution du code d’exploitation est plus complexe. Un script Powershell est extrait des données chiffrées en base64. Ce script décompacte une autre partie du code qui donne un autre script Powershell. L’exécution de ce dernier débouche sur le téléchargement depuis Internet d’un fichier, une dll de 64 bits capable de communiquer avec son serveur. L’analyse a démontré que ce mode vise uniquement les versions 64 bits de Windows.

Il n’est guère difficile de deviner les modes de propagation de ce malware. Par contre, les intentions des opérateurs sont moins évidentes. Dans des commentaires transmis à Threatpost, Pey Sue Li, directeur de la sous-division FortiGuard de développement de services et d’études sur la sécurité de l’information, a indiqué que les tests réalisés sur un échantillon avaient permis d’observer des tentatives d’ouverture d’une session TCP sur Windows, et sur Mac OS X, mais que le serveur des individus malintentionnés n’avait jamais répondu. Wireshark avait enregistré à chaque fois une erreur de connexion TCP.

Les malwares avec macro pour macOS ne sont pas une nouveauté, mais leur apparition est récente. En février, des chercheurs de chez Synack ont publié une découverte similaire, mais là, la macro malveillante était exécutée uniquement sous Mac OS. Une fois activée, elle déchiffrait des données et les exécutait à l’aide d’un script Python emprunté à un autre projet baptisé EmPyre. Dans ses échanges avec les journalistes de Threatpost, Li n’a pas manqué de souligner cette différence : « Le malware que nous avons analysé attaque aussi bien les systèmes Mac OS que les systèmes Windows. L’agent Python utilisé par le malware après le code d’exploitation est différent. D’un côté, il y a EmPyre, et de l’autre, Meterpreter. Il est possible que les malwares multiplateforme qui reposent sur un code de macro deviennent une tendance. »

 Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *