Une campagne de phishing récemment observée exploite la vulnérabilité de sécurité Follina récemment révélée pour distribuer une porte dérobée auparavant non documentée sur les systèmes Windows. « Rozena est un logiciel malveillant de porte dérobée capable d’injecter une connexion shell distante sur la machine de l’attaquant », a déclaré Cara Lin, chercheuse chez Fortinet FortiGuard Labs, dans un rapport cette semaine. Suivie sous le nom de CVE-2022-30190, la vulnérabilité d’exécution de code à distance Microsoft Windows Support Diagnostic Tool (MSDT) désormais corrigée a été fortement exploitée ces dernières semaines depuis sa découverte fin mai 2022. Le point de départ de la dernière chaîne d’attaque observée par Fortinet est un document Office armé qui, lorsqu’il est ouvert, se connecte à une URL Discord CDN pour récupérer un fichier HTML (« index.htm ») qui, à son tour, appelle l’utilitaire de diagnostic à l’aide d’un Commande PowerShell pour télécharger les charges utiles de l’étape suivante à partir du même espace de pièce jointe CDN. Cela inclut l’implant Rozena (« Word.exe ») et un fichier de commandes (« cd.bat ») conçu pour mettre fin aux processus MSDT, établir la persistance de la porte dérobée au moyen de la modification du registre Windows et télécharger un document Word inoffensif comme leurre . La fonction principale du logiciel malveillant est d’injecter un shellcode qui lance un shell inversé sur l’hôte de l’attaquant (« microsofto.duckdns[.]org »), permettant finalement à l’attaquant de prendre le contrôle du système requis pour surveiller et capturer les informations, tout en maintenant un porte dérobée au système compromis.

L’exploitation de la faille Follina pour distribuer des logiciels malveillants via des documents Word malveillants survient alors que des attaques d’ingénierie sociale s’appuient sur Microsoft Excel, le raccourci Windows (LNK) et les fichiers image ISO en tant que droppers pour déployer des logiciels malveillants tels qu’Emotet, QBot, IcedID et Bumblebee sur un l’appareil de la victime. On dit que les droppers sont distribués via des e-mails qui contiennent directement le dropper ou un ZIP protégé par mot de passe en pièce jointe, un fichier HTML qui extrait le dropper lorsqu’il est ouvert, ou un lien pour télécharger le dropper dans le corps de l’email. Alors que les attaques repérées début avril mettaient en évidence des fichiers Excel avec des macros XLM, la décision de Microsoft de bloquer les macros par défaut à peu près au même moment aurait forcé les acteurs de la menace à se tourner vers des méthodes alternatives comme la contrebande HTML ainsi que les fichiers .LNK et .ISO.

Le mois dernier, Cyble a divulgué les détails d’un outil malveillant appelé Quantum qui est vendu sur des forums clandestins afin de doter les cybercriminels de capacités pour créer des fichiers .LNK et .ISO malveillants. Il convient de noter que les macros ont été un vecteur d’attaque éprouvé pour les adversaires cherchant à supprimer les ransomwares et autres logiciels malveillants sur les systèmes Windows, que ce soit par le biais d’e-mails de phishing ou d’autres moyens. Microsoft a depuis temporairement suspendu ses projets de désactivation des macros Office dans les fichiers téléchargés sur Internet, la société ayant déclaré à breachtrace qu’elle prenait le temps d’apporter « des modifications supplémentaires pour améliorer la convivialité ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *