Non ce n’est pas de la publicité que vous avez reçu dans la boîte mail de votre entreprise, mais un fichier Publisher contenant un backdoor…
Une vague de spams ciblés infecte actuellement les ordinateurs Windows via un backdoor installé dans une pièce jointe qui s’ouvre avec Microsoft Publisher, le logiciel de Publication Assistée par Ordinateur (PAO) intégré à Microsoft Office 365. Las, ce n’est pas un flyer ou une newsletter que l’on vous envoie mais un script (VBScript) qui intègre une URL agissant comme un hôte distant.
De là, le malware télécharge un dossier auto-extractible contenant un script AutoIt, outil qui sert à exécuter le script et un fichier chiffré en AES-256.
Les chercheurs antimalware de Bitdefender ont remarqué que ce fichier chiffré
peut être déchiffré en utilisant une clé dérivée de l’algorithme MD5 (Message Digest 5), d’un texte écrit à l’intérieur du fichier AutoIt permettant aux cybercriminels de dérober des informations sensibles d’entreprises. « .pub n’est pas une extension de fichier souvent utilisée pour diffuser des logiciels malveillants », explique Adrian Miron, responsable de la division Antispam des Bitdefender Labs. « Les spammeurs ont choisi ce type de fichiers, car, en général, les gens ne se doutent pas qu’il puisse être un vecteur d’infection ».
Le malware peut mémoriser des séquences de touches pour enregistrer les mots de passe et noms d’utilisateurs, dérober des informations de connexion à partir des navigateurs Web ou des e-mails, afficher les données du système et réaliser d’autres actions intrusives.