Les chercheurs en cybersécurité de HP Wolf Security ont découvert une nouvelle souche de logiciels malveillants (ouvre dans un nouvel onglet) distribuée via des fichiers Microsoft Word militarisés.

Le malware, surnommé SVCReady, permet aux pirates d'extraire des informations système telles que le micrologiciel de l'appareil et les logiciels installés sur l'appareil (Ouvre dans un nouvel onglet), selon le rapport. Il est déployé à l'unisson avec un autre virus, une souche relativement populaire appelée RedLine Stealer. Ceci est utilisé pour voler des choses comme les mots de passe, les détails de paiement stockés, l'historique de navigation, etc.

L'auteur de la menace déploie le logiciel malveillant via des documents Microsoft Word spécialement conçus, à l'aide d'un shellcode stocké dans les propriétés du document. Il s'agit d'une dérogation à la pratique plus standard où les acteurs de la menace utilisent généralement PowerShell ou MSHTA.

Bien que la souche en soit encore à ses balbutiements et qu'elle soit clairement un travail en cours, elle a un grand potentiel pour devenir plus qu'une simple nuisance, ont déclaré les chercheurs.

Travail en cours

Les logiciels malveillants ne sont pas aussi puissants qu'ils peuvent l'être. Cependant, avec des acteurs de la menace qui travaillent dur, il n'y a pas de place pour la complaisance, déclare Patrick Schläpfer, analyste des logiciels malveillants chez HP Wolf Security.

"Certaines choses dans le logiciel malveillant sont cassées", explique Schläpfer. « SVCReady est clairement en cours de développement et des acteurs malveillants ont ajouté le cryptage au format de communication réseau ces dernières semaines. Au fur et à mesure que les logiciels malveillants sont raffinés, ils pourraient devenir un problème plus important à l'avenir. Nous avons constaté certaines similitudes dans les conventions de dénomination des fichiers et les images leurres qui semblent être liées à celles utilisées par le groupe de menaces TA551 à des fins financières. »

La dernière fois que nous avons entendu parler de TA551, le groupe détournait des threads pour distribuer des chargeurs de logiciels malveillants. Les experts en cybersécurité d'Intezer ont découvert que le groupe abusait des vulnérabilités connues des serveurs Microsoft Exchange compromis et non corrigés pour voler les identifiants de connexion, parcourir les boîtes de réception des personnes et répondre aux longues chaînes d'e-mails contenant des liens vers IcedID, un cheval de Troie bancaire modulaire.

Share