LES HACKERS POURRAIENT COMMENCER À UTILISER LES MODULES D’EXTENSION VISUELS DE MICROSOFT POUR DIFFUSER DES LOGICIELS MALVEILLANTS

Posté le février 2, 2023 à 8:01

LES HACKERS POURRAIENT COMMENCER À UTILISER LES MODULES D’EXTENSION VISUELS DE MICROSOFT POUR DIFFUSER DES LOGICIELS MALVEILLANTS

Des chercheurs en cybersécurité ont émis une alerte concernant l’utilisation par des hackers des outils Microsoft Visual Studios Tools for Office (VSTO) pour mener des campagnes de piratage. Le VSTO peut être compromis par les acteurs de menaces pour atteindre la persistance et exécuter du code dans les machines des victimes en utilisant des add-ins Microsoft Office malveillants.

Les hackers pourraient utiliser les modules complémentaires de Microsoft Visual pour diffuser des logiciels malveillants

Des chercheurs en sécurité ont déclaré que les hackers pourraient commencer à exploiter les modules complémentaires de Microsoft Visual à des fins malveillantes. La technique que les hackers pourraient utiliser pour exploiter le VSTO et compromettre le dispositif cible est similaire à celle que les hackers utilisent pour installer des macros VBA de documents qui obtiennent des logiciels malveillants d’une source externe.

Les acteurs de menaces recherchent activement des alternatives depuis que Microsoft a déclaré qu’il arrêterait par défaut l’exécution des macros VBA et XL4 sur Microsoft Office. Cette interdiction a conduit les acteurs de la menace à utiliser des archives et des fichiers de raccourci .LNK pour mener leurs campagnes de logiciels malveillants.

Cependant, il semble que les hackers soient en train d’explorer une autre alternative plus efficace. En utilisant le VSTO, les hackers peuvent lancer un vecteur d’attaque qui permettra la création de logiciels malveillants .NET. Ce logiciel malveillant peut ensuite être intégré dans le module complémentaire d’Office.

Les chercheurs en sécurité de Deep Instinct ont détecté plusieurs attaques utilisant la même technique. Les chercheurs ont noté que les hackers ayant un niveau de compétence élevé utilisent de plus en plus cette stratégie. Néanmoins, ce n’est pas la première fois que des hackers exploitent le VSTO. Bien que ces attaques soient rares, la communauté de la cybersécurité ne s’en est pas beaucoup inquiétée.

Des hackers pourraient exploiter le VSTO

Le VSTO est l’un des outils de l’IDE Microsoft Visual Studio. Le kit de développement logiciel est largement utilisé pour créer des modules complémentaires VSTO qui sont généralement utilisés dans les applications Microsoft Office. Ces add-ins sont utilisés pour exécuter un code sur l’appareil cible.

Les add-ins sur Microsoft Office comprendront également les fichiers de documents. Ils peuvent également être téléchargés à partir d’un emplacement distant, après quoi ils seront exécutés lorsque le document aura été ouvert à l’aide d’une application Microsoft Office comme Word ou Excel.

Les hackers préfèrent exploiter le VSTO en utilisant une approche locale. Dans cette technique, l’acteur de la menace n’est pas obligé de contourner les systèmes de sécurité installés sur l’appareil cible pour exécuter le code d’extension. Cela réduit les possibilités de détection.

Cependant, certaines des attaques analysées ont été menées à l’aide de modules complémentaires VSTO distants. Les appareils qui ont été compromis à l’aide de ces documents porteurs de charges utiles possèdent généralement un paramètre « custom.xml » qui guidera l’application Office pour trouver le module complémentaire et l’installer sur l’appareil.

La charge utile de l’add-in sera également accompagnée d’autres fonctions stockées dans le document compromis. Dans la plupart des cas, ces dépendances sont stockées dans un conteneur ISO. Les acteurs de la menace vont encore plus loin pour éviter la détection en s’assurant que ces fichiers sont cachés de sorte que la victime n’y accède pas car elle suppose qu’il s’agit de documents archivés.

Après le lancement de ce document sur l’appareil cible, la victime reçoit une invite lui demandant d’installer le module complémentaire. Les hackers créent cette invite pour inciter la victime à activer une fonction liée à Microsoft Office, et non un module complémentaire malveillant.

Dans l’une des attaques analysées par Deep Instinct, les acteurs de la menace ont ciblé des victimes basées en Espagne. La charge utile de cette campagne a déployé un script PowerShell codé et compressé sur l’appareil cible.

L’un des exemples qui contenait un module complémentaire VSTO à distance indiquait que le groupe d’acteurs de la menace avait configuré la charge utile .DLL pour l’inviter à télécharger une archive ZIP qui était ensuite déposée dans le « %\AppData\Local\\ ». Les chercheurs n’ont pas pu accéder à la charge utile finale car le serveur a été mis hors ligne au moment des investigations.

Les chercheurs ont également créé une preuve de concept (PoC) pour montrer comment l’attaquant aurait pu délivrer et exécuter le logiciel malveillant et obtenir la persistance. La PoC a été réalisé à l’aide d’une charge utile Meterpreter, tandis que toutes les autres caractéristiques du PoC n’ont pas été détectées par le Window Defender.

Les chercheurs ont noté qu’il y avait une forte probabilité que les hackers commencent à utiliser le VSTO pour mener des campagnes malveillantes. Ils ont noté que ces campagnes pourraient être utilisées par des acteurs parrainés par l’État et des groupes de hackers sophistiqués. L’exploit permet aux acteurs de menaces de contourner les mesures de confiance utilisées dans Windows en déployant des certificats valides, ce qui pourrait permettre à de telles attaques de passer inaperçues.

Summary
LES HACKERS POURRAIENT COMMENCER À UTILISER LES MODULES D'EXTENSION VISUELS DE MICROSOFT POUR DIFFUSER DES LOGICIELS MALVEILLANTS
Article Name
LES HACKERS POURRAIENT COMMENCER À UTILISER LES MODULES D'EXTENSION VISUELS DE MICROSOFT POUR DIFFUSER DES LOGICIELS MALVEILLANTS
Description
Des chercheurs en cybersécurité ont émis une alerte concernant l'utilisation par des hackers des outils Microsoft Visual Studios Tools for Office (VSTO) pour mener des campagnes de piratage.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Koddos

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

Articles Populaires

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Août 28, 2023
1,2 MILLION DE CLIENTS DE MOM’S MEALS ONT ÉTÉ TOUCHÉS PAR LA RÉCENTE VIOLATION DE DONNÉES
Août 23, 2023
DES ESPIONS ET DES HACKERS ÉTRANGERS CIBLENT L’INDUSTRIE SPATIALE AMÉRICAINE
Août 23, 2023
LES DÉVELOPPEURS DE TERRA FERMENT LEUR SITE WEB À LA SUITE D’UNE CAMPAGNE D’HAMEÇONNAGE

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading