Les auteurs de menaces se tournent de plus en plus vers les fichiers Microsoft PowerPoint pour distribuer différents types de logiciels malveillants.
Une nouvelle enquête de Netskope a révélé que, depuis fin 2021, de nombreux groupes de pirates ont commencé à utiliser des services cloud légitimes pour héberger des fichiers PowerPoint qui, en utilisant les macros redoutées, peuvent déployer toutes sortes de choses désagréables sur les appareils ciblés.
Netskope indique que trois familles de logiciels malveillants dominent : Warzone (également connu sous le nom d'AveMaria) et AgentTesla, qui sont tous deux de puissants chevaux de Troie d'accès à distance (RAT) ainsi que des voleurs de crypto-monnaie.
Détournez le presse-papiers pour voler des bitcoins
Les chercheurs affirment que le fichier PowerPoint contient une macro obscurcie, qui est exécutée par une combinaison d'outils Windows intégrés, PowerShell et MSHTA.
Une fois exécuté, le script VBS crée une nouvelle entrée Windows et exécute deux scripts supplémentaires, l'un qui télécharge AgentTesla, tandis que l'autre désactive la solution antivirus intégrée de Windows, Microsoft Defender.
Bien qu'il soit un fait connu qu'AgentTesla vole les mots de passe du navigateur, les frappes au clavier, le contenu du presse-papiers, etc., très peu de choses sont connues (et partagées par Netskope) sur Warzone.
La troisième charge utile est un voleur de crypto-monnaie, qui scanne le presse-papiers à la recherche de données correspondant à un portefeuille de crypto-monnaie. S'il est trouvé, la prochaine fois que la victime copiera un portefeuille de crypto-monnaie, elle en collera un autre, appartenant aux attaquants.
Les macros Office sont à la base de la distribution de logiciels malveillants depuis des années. C'est un outil qui permet aux fichiers Office de contenir du code intégré, écrit dans le langage de programmation Visual Basic pour Applications (VBA). Le code peut contenir plusieurs commandes pouvant être enregistrées et lues ultérieurement. Conçus à l'origine pour aider à automatiser les tâches répétitives, ils ont depuis été détournés par des criminels qui les utilisent à mauvais escient pour diffuser des logiciels malveillants.
Il est arrivé au point où Microsoft a désactivé les macros Excel 4.0 par défaut pour assurer la sécurité des utilisateurs.
Via: BleepingComputer