Windows Follina zero day est maintenant utilisé pour infecter les PC avec

Des experts en sécurité ont récemment découvert des pirates en mission particulièrement furtive pour compromettre des hôtels en Amérique latine à l'aide de fichiers texte OpenDocument.

Des pirates inconnus utilisent une méthode de phishing rarement vue qui semble bien fonctionner jusqu'à présent, avec un taux de détection VirusTotal pour les fichiers malveillants utilisés qui était de zéro il y a moins de deux semaines.

La campagne elle-même a également soulevé un certain nombre de questions en raison de certaines caractéristiques et caractéristiques uniques qui la distinguent des autres.

problème macro

Les chercheurs en cybersécurité de HP Wolf Security ont déclaré avoir détecté fin juin 2022 une campagne de phishing distribuant des fichiers texte OpenDocument. OpenDocument est un format de fichier ouvert et indépendant du fournisseur reconnu par la plupart des programmes de productivité, tels que Word, LibreOffice Writer ou Apache OpenOffice Writer, comme l'une des alternatives Microsoft Office les plus populaires.

Ces fichiers ont été distribués, par e-mail, aux hôtels d'Amérique latine et présentés comme des documents d'enregistrement des clients.

Si la victime télécharge et exécute le fichier, elle sera invitée à "mettre à jour les champs avec des références à d'autres fichiers". Les chercheurs décrivent l'invite comme un "message crypté" et disent que si la victime le confirme, un fichier Exel est ouvert.

Le fichier Excel invitera alors l'utilisateur à activer les macros, et c'est là que le vrai problème commence, car l'activation des macros déclenche la chaîne d'infection. En conséquence, la victime est installée avec AsyncRAT, un logiciel malveillant cheval de Troie d'accès à distance (Ouvre dans un nouvel onglet). AsyncRAT est décrit comme un RAT qui permet aux pirates de surveiller et de contrôler à distance les terminaux infectés (ouvre un nouvel onglet), via une connexion sécurisée et cryptée.

Cette campagne est particulièrement furtive car l'analyse d'OpenDocument ne montre aucune macro cachée, affirment les chercheurs. Mais le document fait référence à des objets Object Linking and Embedding (OLE), hébergés à distance.

Il a été constaté que le document faisait référence à près de deux douzaines d'autres documents qui, une fois téléchargés et ouverts, contiennent des feuilles de calcul Excel intégrées, chacune nécessitant l'exécution de macros.

Les chercheurs semblent un peu confus par cette approche, car le but de "tant de fichiers en double" reste flou.

"Les documents arrivant de l'extérieur d'une organisation doivent toujours être traités avec suspicion, surtout s'ils tentent de télécharger du contenu externe à partir du Web, mais en pratique, ce n'est pas toujours un conseil facile à suivre, en particulier dans les industries qui reposent sur le partage de fichiers électroniques. entre les fournisseurs et les clients », a conclu HP Wolf Security.

Share