Le laboratoire de recherche en cybersécurité SafeBreach vient de détecter une nouvelle porte dérobée PowerShell qui permet à un malware de s’attaquer aux systèmes Windows en se faisant passer pour une mise à jour.

Un directeur de SafeBreach, Tomer Bar, explique dans un bulletin de sécurité que le logiciel malveillant et le ‘back-end’ de commande et de contrôle (C2) associé ont été développés par un·e inconnu·e compétent·e : « L’attaque passe par un document Word malveillant, comprenant une macro qui lance un script PowerShell inconnu. Le nom du document Word est « Apply Form[.]docm » ». Autrement dit, le document prétend être une offre d’emploi. « La macro dépose un script updater.vbs et crée une tâche planifiée en prétendant faire partie d’une mise à jour de Windows. Celle-ci va ensuite exécuter le script updater.vbs à partir d’un faux dossier de mise à jour sous ‘%appdata%\local\Microsoft\Windows’. Puis le script updater.vbs exécute un script PowerShell qui ouvre une porte dérobée de contrôle à distance sur le boîtier ».

Les scripts ne sont pas détectés par VirusTotal et une centaine de victimes auraient été touchées à ce jour.

Pour rappel, Microsoft a récemment modifié le comportement par défaut des applications Office afin de bloquer les macros dans les fichiers téléchargés depuis Internet. Cela n’était auparavant possible que par le biais du Trust Center. Cependant, si une personne malveillante utilise un vecteur d’attaque différent (des ‘exploits’ au lieu des macros, par exemple), le malware pourrait tout de même fonctionner.

 

Par ailleurs, Microsoft vient d’émettre une mise en garde contre une nouvelle souche de ransomware qui cible actuellement des entreprises privées de transport et logistique en Pologne et en Ukraine. Baptisé « Prestige » ou encore « Dev-0960 », ce rançongiciel permet le vol d’informations d’identification de comptes administrateurs Active Directory, selon le géant de Redmond.

Le ransomware aurait été déployé pour la première fois le 11 octobre. « Le vecteur d’accès initial n’a pas été identifié pour l’instant, mais dans certains cas, il est possible que l’attaquant ait déjà eu accès à des informations d’identification hautement privilégiées lors d’une compromission antérieure. Il dispose alors déjà d’un accès de niveau ‘administrateur de domaine’ et n’a plus qu’à mettre en place sa charge utile de ransomware. »

 

Nos lecteurs ont lu ensuite


Easyteam : Cloud, RSE et BYOD, les leviers de l’innovation
Nicolas D’Ambrosio, DSI de l’intégrateur Oracle EasyTeam, revient sur son intégration du Cloud ainsi que sur l’impact de la mise en place d’un réseau social et d’un projet de BYOD, pour soutenir ses processus....

Cheops Technology : «Le marché Cloud de la santé va exploser»
Pour emporter l’appel d’offre lancé par le 3eme opérateur privé de santé en France, Cheops Technology a obtenu l’agrément ministériel sur la garantie de protection des données personnelles et adapté son offre générique de cloud...

Le cloud Numergy pourra supporter un million de VM à l’horizon 2015-2016
Patrick Debus-Pesquet, le directeur technique de Numergy, explique au MagIT comment l’opérateur entend déployer ses ailes dans le cloud. L’architecture va évoluer pour englober un nuage OpenStack et fournir un support multi-hyperviseur....

Grand emprunt : 8,3 millions d’euros pour 10 projets liés à l’e-éducation
Suite à un appel à projets initié en janvier 2011 dans le cadre des investissements d’avenir, le gouvernement a dévoilé hier les 10 projets retenus sur 55 candidats, portant sur les technologies numériques pour l’e-éducation....

Mike Olson, CEO de Cloudera : ne pas tirer profit d’Hadoop deviendra un désavantage concurrentiel
À l’occasion de l’IT Press tour en Californie, LeMagIT a pu rencontrer Michael Olson, le CEO de Cloudera. Tour d’horizon du marché du Big Data, sur des ambitions de Cloudera et sur le monde Hadoop....