Les chercheurs ont identifié une nouvelle campagne de distribution de logiciels malveillants qui utilise des macros malveillantes dissimulées dans les pièces jointes Microsoft PowerPoint.
Selon la société de sécurité Trustwave, les fichiers PowerPoint truqués sont distribués en masse par courrier électronique et, une fois téléchargés, déclenchent une chaîne d’événements qui conduisent finalement à une infection par le logiciel malveillant LokiBot.
Ce mécanisme en soi n’est pas inhabituel, mais la manière dont cette arnaque particulière échappe à la détection a attiré l’attention de l’entreprise. À savoir, la façon dont les URL sont manipulées pour masquer la charge utile finale.
Sommaire
Campagne contre les malwares PowerPoint
Selon Trustwave, la série de domaines utilisés dans cette campagne pour infecter l’utilisateur cible étaient déjà connus pour héberger du contenu malveillant.
Cependant, les pirates ont exploité des techniques de manipulation d’URL pour dissimuler les domaines dangereux, trompant à la fois la victime et les filtres de sécurité qui pourraient être en place.
Plus précisément, la campagne abuse de la syntaxe standard des identificateurs de ressources uniformes (URI) pour créer des services antivirus codés pour se protéger uniquement des URL qui suivent un format particulier.
L’ouverture et la fermeture du fichier PowerPoint infecté active la macro malveillante, en lançant une URL via le binaire Windows «mshta.exe»., Qui lui-même redirige vers un VBScript hébergé sur Pastebin, un service en ligne pour stocker du texte brut.
Ce script contient une deuxième URL, qui écrit un téléchargeur PowerShell dans le registre, déclenchant le téléchargement et l’exécution de deux URL supplémentaires – également à partir de Pastebin.
On charge un injecteur DLL, qui est ensuite utilisé pour infecter la machine avec un échantillon de malware LokiBot caché dans l’URL finale.
Ce processus peut sembler excessivement compliqué, mais les couches de dissimulation et de mauvaise direction – associées à un tour de passe-passe lié à l’URL – sont ce qui permet à l’attaque de se dérouler sans contrôle.
Pour atténuer ce type de menace, Trustwave a conseillé aux utilisateurs de mettre en place une solution anti-malware sophistiquée conçue spécifiquement pour lutter contre les menaces basées sur les e-mails et pour interroger toutes les URL à la recherche d’irrégularités susceptibles de trahir une arnaque.
TechRadar Pro a demandé des précisions sur ce que les utilisateurs peuvent faire pour identifier les URL dangereuses qui ont été manipulées comme décrit ci-dessus.
