Les chercheurs en cybersécurité de HP Wolf Security ont repéré une nouvelle campagne de cybercriminalité qui exploite les fichiers PDF pour essayer de distribuer le Snake Keylogger sur les terminaux vulnérables.
Selon les chercheurs, les acteurs de la menace enverraient d’abord un e-mail contenant la ligne d’objet « Remittance Invoice », pour essayer de tromper les victimes en leur faisant croire qu’elles seront payées pour quelque chose.
L’e-mail contiendrait un fichier PDF en pièce jointe, susceptible de rassurer la victime sur la légitimité de l’e-mail, car les fichiers Word ou Excel sont généralement suspects.
Abus d’une faille connue
Cependant, un document Word, intitulé « a été vérifié », est intégré au PDF. Lorsque la victime ouvre la pièce jointe, elle est accueillie par une invite lui demandant d’ouvrir ou non le deuxième fichier. Le message indique « Le fichier ‘a été vérifié’ Cependant, les fichiers PDF, jpeg, xlsx, docx peuvent contenir des programmes, des macros ou des virus. »
Cela pourrait faire croire à la victime que son lecteur PDF a scanné le fichier et qu’il est prêt à partir.
Le fichier Word, comme on pouvait s’y attendre, est livré avec une macro qui, si elle est activée, téléchargera un fichier RTF (Rich Text Format) à partir d’un emplacement distant et l’exécutera. Le fichier essaierait alors de télécharger le Snake Keylogger, malware décrit par BipOrdinateur en tant que « voleur d’informations modulaire avec de puissantes capacités de persistance, d’évasion de la défense, d’accès aux informations d’identification, de collecte de données et d’exfiltration de données ».
Les points finaux cibles doivent toujours être vulnérables à une faille spécifique, si l’attaque doit réussir. Les chercheurs ont découvert que les attaquants essayaient d’exploiter CVE-2017-11882, un bogue d’exécution de code à distance dans Equation Editor.
La faille a été corrigée en novembre 2017, mais tous les administrateurs d’appareils ne tiennent pas leur système d’exploitation à jour. Apparemment, c’était l’une des vulnérabilités les plus populaires à exploiter en 2018, car les organisations et les consommateurs étaient relativement lents à la corriger.
Via : BleepingComputer