Une vague de spams ciblés infecte actuellement les ordinateurs Windows via une backdoor, permettant aux cybercriminels de dérober des informations sensibles d’entreprises.
Les chercheurs antispam des Bitdefender Labs ont identifié quelques milliers d’e-mails contenant des pièces jointes ayant .pub, comme extension, et se faisant passer pour des commandes ou factures de produits. Les expéditeurs de ces courriers électroniques usurpent l’identité d’employés travaillant le plus souvent dans des petites et moyennes entreprises au Royaume-Uni ou en Chine, mais pas seulement, d’autres entreprises plus importantes sont également ciblées.
Les destinataires sont invités à ouvrir les fichiers joints avec Microsoft Publisher, un logiciel de Publication Assistée par Ordinateur (PAO), intégré à Microsoft Office 365. Publisher est communément utilisé pour éditer et mettre en page des textes, ou encore créer des flyers, newsletters, des e-mailings, etc.
« .pub n’est pas une extension de fichier souvent utilisée pour diffuser des logiciels malveillants », déclare Adrian Miron, Chef de la division Antispam des Bitdefender Labs. « Les spammeurs ont choisi ce type de fichiers, car, en général, les gens ne se doutent pas qu’il puisse être un vecteur d’infection ».
L’extension .pub infectée contient un script (VBScript) qui intègre une URL agissant comme un hôte distant. De là, le malware télécharge un dossier auto-extractible contenant un script AutoIt, outil qui sert à exécuter le script et un fichier chiffré en AES-256. Les chercheurs antimalware de Bitdefender ont remarqué que ce fichier chiffré peut être déchiffré en utilisant une clé dérivée de l’algorithme MD5 (Message Digest 5), d’un texte écrit à l’intérieur du fichier AutoIt.
Fig. 1 VBScript désobfusqué
Fig. 2 Le script AutoIt décodé avec le MD5 pour la clé de déchiffrement
Une fois que le fichier est déchiffré et installé, les attaquants ont alors accès au système via une backdoor et peuvent contrôler les ressources sur l’ordinateur compromis. Le malware peut mémoriser des séquences de touches pour enregistrer les mots de passe et noms d’utilisateurs, dérober des informations de connexion à partir des navigateurs Web ou des e-mails, afficher les données du système et réaliser d’autres actions intrusives.
« Nous avons des raisons de croire que ce type d’attaque provient de l’Arabie Saoudite et de la République tchèque », ajoute Adrian Miron.
Bitdefender détecte et bloque ce fichier .pub nommé W97M.Downloader.EGF, ainsi que la charge utile de la backdoor comme Generic.Malware.SFLl.545292C0.
Pour rester protégé contre ce type de menaces, Bitdefender conseille aux entreprises d’installer un filtre antispam fiable. Les utilisateurs doivent éviter d’ouvrir et de télécharger des pièces jointes suspectes provenant de sources inconnues.
Analyse technique d’Alexandru RUSU, Chercheur Antimalware et d’Adrian MIRON, Chef de la division Antispam chez Bitdefender.