Une porte dérobée « totalement indétectable » a été découverte grâce au comportement imprudent des opérateurs de logiciels malveillants.
Les chercheurs en cybersécurité de SafeBreach Labs affirment avoir détecté une nouvelle porte dérobée PowerShell qui, lorsqu'elle est exécutée correctement, donne aux attaquants un accès à distance aux terminaux compromis. À partir de là, les attaquants pourraient lancer toutes sortes d'attaques de deuxième étape, des voleurs de données aux rançongiciels (s'ouvre dans un nouvel onglet), et tout le reste.
Selon le rapport, un acteur malveillant inconnu a créé un document Word militarisé, appelé « ApplyFormdocm. » Il contenait une macro qui, si elle était activée, lançait un script PowerShell inconnu.
Lâchez la balle avec des tirets
"La macro supprime updater.vbs, crée une tâche planifiée prétendant faire partie d'une mise à jour Windows, qui exécutera le script updater.vbs à partir d'un faux dossier de mise à jour dans '%appdata%localMicrosoftWindows", ont expliqué les chercheurs. . .
Updater.vbs exécuterait alors un script PowerShell qui donnerait à l'attaquant un accès à distance.
Avant d'exécuter la tâche planifiée, le malware génère deux scripts PowerShell : Script.ps1 et Temp.ps1. Le contenu est caché et placé dans des zones de texte dans le fichier Word, qui est ensuite enregistré dans le faux répertoire de mise à jour. De cette façon, les solutions antivirus ne parviennent pas à identifier le fichier comme malveillant.
Script.ps1 communique avec le serveur de commande et de contrôle pour attribuer un ID de victime et recevoir des instructions supplémentaires. Il exécute ensuite le script Temp.ps1, qui stocke les informations et exécute les commandes.
L'erreur commise par les attaquants a été de remettre les pièces d'identité des victimes dans un ordre prévisible, ce qui a permis aux chercheurs d'écouter les conversations avec le serveur C2.
Alors que qui est derrière l'attaque reste un mystère, le document Word malveillant a été téléchargé depuis la Jordanie fin août de cette année et a jusqu'à présent compromis une centaine d'appareils, appartenant généralement à des personnes à la recherche de nouvelles opportunités d'emploi.
Un lecteur de The Register (ouvre dans un nouvel onglet) a décrit son expérience avec la porte dérobée et a offert des conseils aux entreprises cherchant à atténuer les dommages que des portes dérobées inconnues peuvent causer.
« Je dirige un MSP et ils nous ont alertés le 3 octobre. "Le client était un organisme de bienfaisance de 330 sièges et je n'ai pas établi de lien vers cet article spécifique avant de le lire ce matin."
"Ils ont zéro confiance et Ringfencing, donc même si la macro a fonctionné, elle n'a pas fonctionné en dehors d'Excel", ont-ils déclaré. "Un rappel subtil d'incorporer une solution ZT dans les environnements critiques car elle peut arrêter des choses zero-day comme celle-ci."
Via : Le registre (Ouvre dans un nouvel onglet)