adccbaabdd
adccbaabdd
in

Les pirates exploitent le bogue Microsoft Office récemment divulgué sur les PC de backdoor

Cobalt-grève-malware-attaque

Un sévère 17 ans vulnérabilité dans Microsoft Office qui permet aux pirates d’installer des logiciels malveillants sur des ordinateurs ciblés sans interaction de l’utilisateur est maintenant exploité dans la nature pour distribuer un malware de porte dérobée.

D’abord repéré par des chercheurs de la société de sécurité Fortinet , le malware a été doublé Cobalt parce qu’il utilise un composant d’un outil de test de pénétration puissant et légitime, appelé Cobalt Strike .

Cobalt Strike est une forme de logiciel développé pour Red Team Operations et Adversary Simulations pour accéder aux canaux cachés d’un système.

La vulnérabilité (CVE-2017-11882) utilisée par les malwares Cobalt pour distribuer la porte dérobée est un problème de corruption de mémoire qui permet aux pirates distants non authentifiés d’exécuter du code malveillant sur le système cible lorsqu’ils ouvrent un fichier malveillant et en prennent le contrôle total.

Cette vulnérabilité affecte toutes les versions du système d’exploitation Microsoft Office et Windows, même si Microsoft a déjà publié un correctif pour régler le problème. Vous pouvez lire plus de détails et l’impact de la vulnérabilité dans notre article précédent.

Étant donné que les cybercriminels sont assez rapides pour tirer parti des vulnérabilités nouvellement révélées, les acteurs de la menace ont commencé à distribuer des logiciels malveillants Cobalt en utilisant le CVE-2017-11882 exploitent par spam seulement quelques jours après sa divulgation.

Selon les chercheurs de Fortinet, le malware de Cobalt est livré par des spams, qui se déguisent en une notification de Visa concernant les changements de règles en Russie, avec une pièce jointe qui inclut un document RTF malveillant, comme indiqué.

L’e-mail contient également une archive protégée par mot de passe avec les informations d’identification fournies dans l’e-mail pour le déverrouiller afin de faire croire aux victimes que l’e-mail provenait du service financier légitime.

« C’est [également] d’empêcher les systèmes d’auto-analyse d’extraire les fichiers malveillants pour le bac à sable et la détection », ont écrit les chercheurs de Fortinet, Jasper Manual et Joie Salvio.

« Puisqu’une copie du document malveillant est en circulation … il est donc possible que ce soit uniquement pour tromper l’utilisateur en lui faisant croire que les titres sont en place, ce qui est prévisible dans un e-mail provenant d’un service financier largement utilisé  »

Une fois le document ouvert, l’utilisateur a affiché un document simple avec les mots  » Activer la modification Cependant, un script PowerShell s’exécute silencieusement en arrière-plan, qui télécharge finalement un client Cobalt Strike pour prendre le contrôle de la machine de la victime.

Avec le contrôle du système de la victime, les pirates peuvent  » initier des procédures de mouvement latéral dans le réseau en exécutant un large éventail de commandes, « les chercheurs ont dit.

Selon les chercheurs, les cybercriminels sont toujours à la recherche de telles vulnérabilités pour les exploiter dans leurs campagnes de logiciels malveillants, et en ignorant les mises à jour logicielles, un nombre important d’utilisateurs ont laissé leurs systèmes non protégés, les rendant vulnérables à de telles attaques.

La meilleure façon de protéger votre ordinateur contre les attaques de logiciels malveillants Cobalt est de télécharger le correctif pour la vulnérabilité CVE-2017-11882 et de mettre à jour vos systèmes immédiatement.

Source : https://thehackernews.com/2017/11/cobalt-strike-malware.html

Laisser un commentaire