Posté le mai 24, 2022 à 9:50

DES HACKERS COMPROMETTENT DES SYSTÈMES À L’AIDE DU LOGICIEL MALVEILLANT SNAKE KEYLOGGER

Des chercheurs en cybersécurité de HP Wolf Security ont découvert une campagne de piratage qui utilise des fichiers PDF pour propager Snake Keylogger sur des points d’extrémité vulnérables.

Les chercheurs ont déclaré que les hackers commencent leur attaque en envoyant un e-mail dont l’objet est : « Remittance Invoice » (Avis de paiement). Cela permet de tromper les victimes en leur faisant croire qu’elles vont être payées pour quelque chose. Les hackers joignent généralement un fichier PDF à l’e-mail, ce qui rassure les victimes en leur faisant croire que l’e-mail provient d’une source légitime. Parfois, les e-mails sont accompagnés de fichiers Word ou Excel, qui contiennent également des logiciels malveillants.

Il est désormais très courant que les acteurs de menaces utilisent des PDF malveillants lorsqu’ils lancent des attaques par le biais du phishing par e-mail. Ces acteurs malveillants préfèrent les formats bureautiques tels que Word ou Excel, avec lesquels la plupart des utilisateurs de PC sont très familiers. Les chercheurs ont noté que ces PDF malveillants ont été utilisés pour compromettre des PC avec des voleurs d’identifiants et Snake Keylogger, qui a été découvert pour la première fois dans la nature en novembre 2020.

La raison pour laquelle les attaquants ont choisi ce nom de fichier sournois pour le document Word devient plus claire lorsqu’on ouvre l’invite affichée par Adobe Reader. L’invite indique « Le fichier a été vérifié ». Il avertit ensuite les utilisateurs que les fichiers peuvent contenir des programmes ou des virus susceptibles d’endommager leur système.

Lorsqu’un employé lit ce message, il pense que le fichier a été vérifié et qu’il a été certifié exempt de virus ou de logiciels malveillants.

Mais dès que l’utilisateur ouvre le fichier, un document Microsoft Word s’ouvre. Les chercheurs en sécurité ont noté que Word peut télécharger un Rich Text Format à partir d’un serveur web si la vue protégée est désactivée. Une fois le format téléchargé, il peut s’exécuter dans le contexte du document ouvert.

Cependant, par défaut, Microsoft Office ouvre tous les documents de support en Application Guard ou en Protected View.

Les attaquants exploitent toujours une très vieille vulnérabilité

Les chercheurs en sécurité ont découvert une URL incorrecte où les liens d’objets externes et l’objet embarqué étaient chargés. L’objet embarqué, selon HP, est accompagné d’un shellcode qui exploite la vulnérabilité CVE-2017-11882. Il s’agit d’un ancien bug d’exécution de code à distance apparaissant dans l’équipement Microsoft Office, qui est toujours exploité par des acteurs de menaces.

Le shellcode télécharge l’exécutable fresh.exe qui se présente comme Snake Keylogger. Le fichier malveillant a été distribué par le biais de fichiers d’archive ou de documents RFT joints aux e-mails.

Bien que les chercheurs se soient davantage intéressés aux formats Office, ils ciblent de plus en plus leurs sujets par le biais de formats PDF armés, comme le montre le dernier format de campagne. Ils intègrent maintenant des fichiers, chargent des exploits hébergés à distance et cryptent des shellcodes vers les systèmes cibles. Ce sont là quelques-unes des méthodes utilisées par les acteurs de la menace pour exploiter les appareils et les systèmes tout en restant sous le radar.

La vulnérabilité CVE-2017-11882 exploitée dans la dernière campagne de logiciels malveillants a été découverte il y a plus de cinq ans. Mais elle est toujours utilisée, ce qui indique que l’exploit a été efficace pour les acteurs de la menace.

La faille a été corrigée en novembre 2017, mais les hackers l’exploitent toujours car certains propriétaires d’appareils n’ont pas encore mis à jour leurs systèmes. Les chercheurs de HP ont noté qu’il s’agissait de l’une des failles les plus exploitées en 2018, car les consommateurs et les organisations ont été relativement trop lents à appliquer les mises à jour.

Les attaquants ciblent l’ancien éditeur d’équations de Microsoft

Le document RTF s’appelle « f_document_shp.doc » et comporte des objets OLE malformés qui peuvent échapper à l’analyse. Après que les chercheurs de HP aient procédé à une reconstruction ciblée, ils ont découvert qu’il tente d’exploiter une ancienne faille de l’éditeur d’équations de Microsoft pour exécuter du code arbitraire.

Les analystes de logiciels malveillants remarqueront rapidement un problème lorsqu’ils inspecteront les fichiers intégrés dans les PDF à l’aide de scripts et d’analyseurs. Cependant, cela peut échapper aux utilisateurs normaux qui reçoivent habituellement ces e-mails de phishing. Ils ne sauraient pas comment faire pour s’assurer que le fichier n’est pas infesté. C’est la raison pour laquelle les acteurs de la menace ont enregistré un certain succès dans cette campagne, car la plupart des utilisateurs ne sont pas techniquement aptes à remarquer de telles erreurs.

Par conséquent, bon nombre des utilisateurs qui reçoivent l’e-mail peuvent choisir d’ouvrir le DOCX dans Microsoft Word, téléchargeant le RTF dans le processus si les macros sont activées.

De plus, les chercheurs ont confirmé que l’une des vulnérabilités que les attaquants ont exploitées dans la campagne existe depuis quelque 17 avant d’être corrigée en 2017. Cela signifie que le bug actuellement exploité a 22 ans. Le fait que les attaquants trouvent encore rentable de l’exploiter montre que certains utilisateurs ne sont pas sérieux quant à la mise à jour du système, ce qui a offert aux acteurs de la menace un avantage supplémentaire.