Le laboratoire de recherche en cybersécurité SafeBreach vient de détecter une nouvelle porte dérobée PowerShell qui permet à un malware de s’attaquer aux systèmes Windows en se faisant passer pour une mise à jour.

Un directeur de SafeBreach, Tomer Bar, explique dans un bulletin de sécurité que le logiciel malveillant et le ‘back-end’ de commande et de contrôle (C2) associé ont été développés par un·e inconnu·e compétent·e : « L’attaque passe par un document Word malveillant, comprenant une macro qui lance un script PowerShell inconnu. Le nom du document Word est « Apply Form[.]docm » ». Autrement dit, le document prétend être une offre d’emploi. « La macro dépose un script updater.vbs et crée une tâche planifiée en prétendant faire partie d’une mise à jour de Windows. Celle-ci va ensuite exécuter le script updater.vbs à partir d’un faux dossier de mise à jour sous ‘%appdata%\local\Microsoft\Windows’. Puis le script updater.vbs exécute un script PowerShell qui ouvre une porte dérobée de contrôle à distance sur le boîtier ».

Les scripts ne sont pas détectés par VirusTotal et une centaine de victimes auraient été touchées à ce jour.

Pour rappel, Microsoft a récemment modifié le comportement par défaut des applications Office afin de bloquer les macros dans les fichiers téléchargés depuis Internet. Cela n’était auparavant possible que par le biais du Trust Center. Cependant, si une personne malveillante utilise un vecteur d’attaque différent (des ‘exploits’ au lieu des macros, par exemple), le malware pourrait tout de même fonctionner.

 

Par ailleurs, Microsoft vient d’émettre une mise en garde contre une nouvelle souche de ransomware qui cible actuellement des entreprises privées de transport et logistique en Pologne et en Ukraine. Baptisé « Prestige » ou encore « Dev-0960 », ce rançongiciel permet le vol d’informations d’identification de comptes administrateurs Active Directory, selon le géant de Redmond.

Le ransomware aurait été déployé pour la première fois le 11 octobre. « Le vecteur d’accès initial n’a pas été identifié pour l’instant, mais dans certains cas, il est possible que l’attaquant ait déjà eu accès à des informations d’identification hautement privilégiées lors d’une compromission antérieure. Il dispose alors déjà d’un accès de niveau ‘administrateur de domaine’ et n’a plus qu’à mettre en place sa charge utile de ransomware. »