{"id":4701,"date":"2023-01-21T05:47:00","date_gmt":"2023-01-21T04:47:00","guid":{"rendered":"https:\/\/fr.koddos.net\/blog\/?p=4701"},"modified":"2023-01-24T18:57:07","modified_gmt":"2023-01-24T17:57:07","slug":"la-derniere-tendance-des-hackers-est-dutiliser-les-pieces-jointes-de-microsoft-onenote","status":"publish","type":"post","link":"https:\/\/fr.koddos.net\/blog\/la-derniere-tendance-des-hackers-est-dutiliser-les-pieces-jointes-de-microsoft-onenote\/","title":{"rendered":"LA DERNI\u00c8RE TENDANCE DES HACKERS EST D’UTILISER LES PI\u00c8CES JOINTES DE MICROSOFT ONENOTE"},"content":{"rendered":"\n

Il semble que la derni\u00e8re innovation des acteurs de menaces consiste \u00e0 utiliser les pi\u00e8ces jointes de Microsoft OneNote. Ces pi\u00e8ces jointes sont utilis\u00e9es dans l’e-mail de phishing standard, permettant aux acteurs malveillants d’injecter dans les syst\u00e8mes des logiciels malveillants<\/a><\/strong> d’acc\u00e8s \u00e0 distance. \u00c0 partir de l\u00e0, il suffit de voler des mots de passe, des portefeuilles de cryptomonnaie ou d’installer encore plus de logiciels malveillants.<\/p>\n\n\n\n

Une nouvelle menace se profile \u00e0 l’horizon<\/strong><\/p>\n\n\n\n

Un rapport<\/a><\/strong> de Bleeping Computer r\u00e9v\u00e8le que les auteurs de menaces se sont tourn\u00e9s vers Microsoft OneNote, un logiciel gratuit ajout\u00e9 \u00e0 Microsoft Office et \u00e0 Micrisoft365. Il s’installe par d\u00e9faut. M\u00eame si les utilisateurs n’utilisent pas le logiciel, il reste g\u00e9n\u00e9ralement install\u00e9 sur les syst\u00e8mes, ce qui permet d’utiliser le format de fichier en cas de besoin.<\/p>\n\n\n\n

La menace de logiciels malveillants transmis par des pi\u00e8ces jointes OneNote avait d\u00e9j\u00e0 \u00e9t\u00e9 document\u00e9e<\/a> <\/strong>en d\u00e9cembre 2022. Les investigations de BleepingComputer avaient permis de d\u00e9couvrir divers \u00e9chantillons. Ils ont d\u00e9couvert des e-mails de phishing malveillants sous la forme de documents d’exp\u00e9dition, de notifications d’exp\u00e9dition DHL, de dessins m\u00e9caniques, ainsi que de formulaires de versement ACH.<\/p>\n\n\n\n

\u00c9volution apr\u00e8s les correctifs pr\u00e9c\u00e9dents<\/strong><\/p>\n\n\n\n

Par le pass\u00e9, les acteurs malveillants utilisaient les pi\u00e8ces jointes de Microsoft Word ou Excel pour installer des logiciels malveillants, en utilisant les fonctions de macros de ces programmes afin de forcer les syst\u00e8mes \u00e0 t\u00e9l\u00e9charger des logiciels malveillants. Cela a toutefois chang\u00e9 en juillet. Microsoft a proc\u00e9d\u00e9 \u00e0 un changement qui a d\u00e9sactiv\u00e9 les macros par d\u00e9faut dans ses diff\u00e9rentes suites. Puisque les macros \u00e9taient d\u00e9sactiv\u00e9es par d\u00e9faut, les acteurs de la menace ont d\u00fb s’adapter \u00e0 cette m\u00e9thode de diffusion de logiciels malveillants d\u00e9sormais peu fiable.<\/p>\n\n\n\n

L’\u00e9tape suivante de leurs innovations a \u00e9t\u00e9 l’utilisation de fichiers ZIP et ISO prot\u00e9g\u00e9s par un mot de passe. Pendant un certain temps, c’\u00e9tait la \u00ab\u00a0norme de r\u00e9f\u00e9rence\u00a0\u00bb pour les acteurs de la menace, car un bug dans les syst\u00e8mes Windows permettait aux ISO, en particulier, de contourner les avertissements de s\u00e9curit\u00e9. Toutefois, ces deux failles sont d\u00e9sormais colmat\u00e9es gr\u00e2ce \u00e0 la simple inclusion d’une notification d’avertissement bien visible et effrayante si un utilisateur tente d’ouvrir un fichier sur des ZIP et des ISO t\u00e9l\u00e9charg\u00e9s.<\/p>\n\n\n\n

Les strat\u00e9gies standard avec la nouvelle peinture<\/strong><\/p>\n\n\n\n

Par rapport aux strat\u00e9gies pr\u00e9c\u00e9dentes, OneNote ne prend pas en charge les macros. La m\u00e9thode privil\u00e9gi\u00e9e de diffusion de logiciels malveillants avec OneNote semble \u00eatre l’insertion de pi\u00e8ces jointes dans les blocs-notes. Lorsque ces pi\u00e8ces jointes sont doublement cliqu\u00e9es, les acteurs de la menace peuvent ex\u00e9cuter des pi\u00e8ces jointes VBS malveillantes en arri\u00e8re-plan qui permettent le t\u00e9l\u00e9chargement et l’installation de logiciels malveillants \u00e0 distance.<\/p>\n\n\n\n

Pour tenter d’augmenter leurs chances, BleepingComputer a soulign\u00e9 qu’ils ajoutent une s\u00e9rie de pi\u00e8ces jointes malveillantes aux e-mails, dans l’espoir de vous attraper d’un double clic, un peu comme quelqu’un qui jette un filet dans un \u00e9tang pour attraper un poisson.<\/p>\n\n\n\n

Heureusement, avant d’ouvrir OneNote, l’application avertit ses utilisateurs que le lancement d’un fichier peut potentiellement causer des dommages \u00e0 leur syst\u00e8me. Toutefois, \u00e0 moins d’avoir bien \u00e9t\u00e9 form\u00e9s, la plupart des gens ignorent g\u00e9n\u00e9ralement ces messages lorsqu’ils y sont invit\u00e9s.<\/p>\n\n\n\n

Les logiciels malveillants OneNote sont principalement des chevaux de Troie<\/strong><\/p>\n\n\n\n

BleepingComputer rapporte que dans les spams malveillants que son \u00e9quipe a rencontr\u00e9s, les pi\u00e8ces jointes malveillantes de OneNote installaient des chevaux de Troie d’acc\u00e8s \u00e0 distance (RAT). Ces chevaux de Troie comprennent g\u00e9n\u00e9ralement une fonctionnalit\u00e9 permettant de voler des informations.<\/p>\n\n\n\n

James, chercheur en cybers\u00e9curit\u00e9, a \u00e9galement tweet\u00e9 \u00e0 ce sujet, recommandant \u00e0 ses auditeurs de bloquer les fichiers .one sur leurs passerelles de messagerie\/p\u00e9rim\u00e8tre respectives.<\/p>\n\n\n\n

\n

Protip: If you're not already blocking .one files at your perimeter\/email gateway…it's time.<\/p>— James (@James_inthe_box) January 17, 2023<\/a><\/blockquote>