Trend Micro vient de détecter une nouvelle attaque qui utilise les macros existant dans la suite Microsoft Office. Le service Dropbox sert de vecteur de l’infection.

L’éditeur japonais Trend Micro vient de mettre à jour une nouvelle attaque combinée qui utilise plusieurs vecteurs d’infection et s’adresse principalement aux banques et compagnies d’assurances. Le premier stade de l’attaque est une campagne de spam autour du service Automated clearing House (ACH). Ce service de transfert électronique de fonds est largement utilisé aux Etats-Unis. Les fraudes autour de ACH ont été fréquentes ces dernières années. La différence aujourd’hui est que le message ne contient pas de pièce jointe mais un lien informant que le transfert de fonds n’a pas été possible et qu’il convient de cliquer sur le lien « view for details ».

Dropbox comme hébergeur

Dans le cas où l’utilisateur clique sur ledit lien il est automatiquement renvoyé vers une page Dropbox (plus d’un millier de  liens différents ont été découverts). Dans cette page s’affichent différentes instructions ainsi qu’un message d’avertissement Microsoft Office demandant à mettre son logiciel Office en mode édition et d’activer les macros. Si cela est fait le document commence le téléchargement d’une variante du malware Dyre. Ce dernier malware est une véritable plaie car il vole des données au travers d’un botnet de type Zeus et installe des ransomwares. Il diffuse également le malware Upatre sur la messagerie Outlook.

Comme le souligne Trend Micro, ce n’est pas la première fois que le service Dropbox est mis à contribution pour héberger et diffuser un malware ou encore pour héberger un logiciel de « Command & control » des pirates mais c’est la première fois qu’il héberge un malware de type macro, lequel se développe rapidement bien qu’il s’agisse d’un type d’application qui tend à disparaître. L’éditeur précise également que ces types de malwares sont de plus en plus répandus ce qui signifie que des vieilles menaces demeurent des moyens efficaces d’infection encore aujourd’hui. Et, précise l’éditeur, ces malwares sont adaptés dans la mesure où ils sont hébergés sur des sites légitimes comme Dropbox, ce qui les rend plus difficiles à être détectés.

Former et désactiver

Comme à l’habitude, Trend Micro rappelle que la formation demeure le meilleur moyen de protection et qu’il est également possible de désactiver les fonctions Windows Scripting Host sur les postes de travail où ils sont inutiles.




Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 144002
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI