L’attaque débute par un e-mail d’hameçonnage classique et donne un contrôle quasi-total de la machine infectée au pirate. Une pièce jointe PowerPoint déclenche l’infection Tout commence par un email de phishing prétendant provenir d’un fournisseur de câbles. Ce message qui vise principalement les acteurs de l’industrie économique provient d’une adresse ressemblant à celle d’un partenaire commercial et prend la forme d’une confirmation de commande. Le message comprend une pièce jointe sous la forme d’un diaporama PowerPoint qui, lorsqu’il est ouvert, démarre le processus d’infection. Le malware est exécuté à l’aide de la fonction d’animation PowerPoint Show qui télécharge un document. Ce logo.doc téléchargé contient du code XML et JavaScript, qui exécute PowerShell pour exécuter un fichier appelé ‘RATMAN.EXE’, une version “trojan” de l’outil d’accès distant Remcos, qui se connecte ensuite à un serveur de prise de commande. Une fois au cœur du système informatique, Remcos est capable de nombreuses opérations malveillantes : enregistrement de touches (keylogging), d’écran, de webcam et de micros, mais aussi téléchargement et exécution de logiciels malveillants supplémentaires. In fine, le pirate obtient un contrôle quasi-total de la machine infectée sans que le propriétaire ne s’en rende compte. Une faille déjà exploitée Ce piratage est possible à partir d’une faille située dans l’interface Windows Object Linking and Embedding (OLE) de Microsoft Office. Les attaquants l’utilisent la plupart du temps pour distribuer des fichiers Microsoft Office malveillants sous l’extension .RTF (textes enrichis). Ce sont des chercheurs de chez Trend Micro qui ont récemment constaté ce nouveau type d’attaque utilisant des fichiers PowerPoint (sous l’extension .ppsx). Toujours selon Trend Micro, les attaquants ne seraient pas des amateurs au vu de de la complexité de l’attaque et de la possibilité de la contrer. En effet, les pirates peuvent coder le logiciel malveillant afin d’éviter la détection par un antivirus. Il existe néanmoins des correctifs pour éradiquer la menace. Microsoft en a délivré en avril dernier et tous les systèmes mis à jour avec ces derniers devraient être à l’abri. Néanmoins, comme les chercheurs de Trend Micro le rappellent : « Des cas comme celui-ci mettent en évidence la nécessité pour les utilisateurs d’être prudents lors de l’ouverture de fichiers ou en cliquant sur les liens dans leurs courriels – même s’ils proviennent de sources apparemment légitimes. Les tentatives d’hameçonnage peuvent être plutôt sophistiquées et, comme on le voit dans cet exemple, peuvent piéger les utilisateurs en leur faisant télécharger des fichiers malveillants ». Il faut en effet toujours rester vigilant face à ce type d’email d’hameçonnage et l’on vous invite d’ailleurs à consulter notre article sur le sujet : « 6 conseils pour ne plus jamais se laisser avoir par les faux emails ». Source : Trend Micro