Un correctif Microsoft Office est utilisé par les cyber-escrocs pour voler les données des utilisateurs

Les menaces en ligne sont devenues si courantes que le seul moyen de se protéger des campagnes malveillantes et des intentions des cybercriminels est d’être totalement sécurisé et protégé.

Sophos, une entreprise de cybersécurité, a révélé une nouvelle recherche, démontrant qu’une preuve de concept Office accessible au public a été prise et utilisée par des acteurs de la menace pour propager le malware Formbook.

On dit que les cyber-escrocs ont développé un exploit qui pourrait éviter une grave vulnérabilité d’exécution de code à distance dans Microsoft Office que la société géante de la technologie a corrigée au début de cette année.

Les criminels échappent au correctif critique de Microsoft Office avec un exploit

Pour empêcher les pirates d’exécuter du code haineux implanté dans un document Word, Microsoft a publié un correctif en septembre.

Une archive Microsoft Cabinet (CAB) à laquelle est attaché un exécutable malveillant serait automatiquement téléchargée en raison de cette faille.

Les cyber-escrocs ont rendu cela possible en modifiant l’exploit d’origine et en insérant le document Word malveillant dans une archive RAR spécialement conçue qui a apporté un type d’exploit capable d’éviter avec succès le correctif d’origine.

De plus, les attaquants ont utilisé des courriers indésirables pour propager ce dernier exploit pendant environ 36 heures avant qu’il ne soit définitivement supprimé.

Les chercheurs en sécurité de Sophos pensent que la durée imparfaite de l’exploit pourrait signifier qu’il s’agissait d’un test à blanc qui pourrait être utilisé dans de futures attaques.

Les versions pré-patch de l’attaque impliquaient un code malveillant empaqueté dans un fichier Microsoft Cabinet. Lorsque le correctif de Microsoft a comblé cette faille, les attaquants ont découvert une preuve de concept qui montrait comment regrouper le malware dans un format de fichier compressé différent, une archive RAR. Les archives RAR ont déjà été utilisées pour distribuer du code malveillant, mais le processus utilisé ici était inhabituellement compliqué. Cela n’a probablement réussi que parce que le mandat du correctif était défini de manière très étroite et parce que le programme WinRAR dont les utilisateurs ont besoin pour ouvrir le RAR est très tolérant aux pannes et ne semble pas se soucier si l’archive est mal formée, par exemple, parce qu’elle a été falsifiée.

Il a également été découvert que les attaquants potentiels avaient créé une archive RAR inhabituelle contenant un script PowerShell préfixant un document Word malveillant stocké dans l’archive.

Les escrocs ont conçu et diffusé des courriers trompeurs invitant les destinataires à décompresser le fichier RAR pour accéder au document Word afin d’aider à distribuer cette archive RAR périlleuse et son contenu haineux.

Donc, vous feriez mieux de toujours vous en souvenir lorsque vous rencontrez cette application et si quelque chose semble même à distance craintif.