Le bug VelvetSweatshop ressuscité par le malware LimeRAT

Les chercheurs ont découvert une nouvelle campagne d’infection du malware LimeRAT qui utilise le mot de passe par défaut VelvetSweatshop pour les fichiers chiffrés. Le malware semble aussi utiliser des fichiers Excel pour se propager.

LimeRAT est un outil d’accès à distance (ou porte dérobée) qui peut permettre aux pirates informatiques d’accéder à un système infecté et d’installer plusieurs types de logiciels malveillants, comme des rançongiciels, des mineurs de crypto-monnaie, des enregistreurs de frappe ou des clients de botnet.

LimeRAT

Dans la campagne observée, les pirates informatiques créent des fichiers Excel accessible en lecture seule contenant le payload LimeRAT. Généralement, dans les scénarios de spam impliquant des fichiers Excel, les fichiers sont chiffrés et le destinataire doit utiliser un mot de passe pour déchiffrer le fichier. Ce mot de passe est généralement inclus par un pirate informatique dans le corps de l’e-mail.

Cependant, la nouvelle attaque utilise une approche différente: elle envoie des fichiers Excel chiffrés en utilisant le mode «lecture seule», selon Matthew Gardiner de Mimecast Threat Center.

«Cette campagne est remarquable car elle montre comment les cybercriminels continuent de s’appuyer sur de «vieilles» techniques pour livrer des exploits, même ceux dont les entreprises sont bien conscientes», a déclaré Gardiner.

Détails sur VelvetSweatshop

En présence d’un fichier Excel chiffré, Excel essaie d’abord d’utiliser un mot de passe par défaut, «VelvetSweatshop», pour déchiffrer et ouvrir le fichier et exécuter toutes les macros intégrées ou tout autre code potentiellement malveillant. Dans le même temps, il conserve le fichier en mode lecture seule, a expliqué le chercheur dans un article sur sa recherche.

Si Excel ne parvient pas à déchiffrer le fichier à l’aide du mot de passe «VelvetSweatshop», l’application demandera à l’utilisateur d’insérer un mot de passe. Cependant, en mode lecture seule, cette étape est ignorée, a déclaré Gardiner, et c’est là que réside la menace de cette nouvelle campagne.

“Le système Microsoft Office ne générera aucune boîte de dialogue d’avertissement à part que le fichier est en lecture seule”, a-t-il écrit dans la publication. «En utilisant cette technique en lecture seule, l’attaquant peut récolter les avantages de l’obscurcissement du chiffrement de fichiers sans exiger quoi que ce soit de plus de la part de l’utilisateur, supprimant une étape qui nécessitait une action de la victime pour que l’exploitation se produise.»

Il est ainsi encore plus facile pour les victimes d’ouvrir ces fichiers et de diffuser des logiciels malveillants.

«Cette nouvelle recherche démontre que la création d’un fichier Excel en lecture seule – au lieu de le verrouiller – chiffre le fichier sans avoir besoin d’un mot de passe externe créé pour l’ouvrir, ce qui permet de tromper plus facilement une victime dans l’installation du logiciel malveillant», a écrit Gardiner.

Dans la campagne actuelle, les chercheurs de Mimecast ont également déclaré que les cybercriminels avaient utilisé “un mélange d’autres techniques pour tenter de tromper les systèmes anti-malware en chiffrant le contenu de la feuille de calcul, cachant ainsi l’exploit et le payload”, a ajouté Gardiner.

Ce mot de passe par défaut (‘VelvetSweatshop’) est un problème bien connu, résolu en 2012 (CVE-2012-0158) et a également été présenté dans Virus Bulletin en 2013. Mimecast a déclaré avoir informé Microsoft que la vulnérabilité VelvetSweatshop était à nouveau utilisée.

“La technique VelvetSweatshop s’est développée en permanence pour être utilisée comme une capacité sous-jacente pour des attaques qui peuvent être plus ciblées et plus sophistiquées, ce qui rend l’hameçonnage ciblé plus efficace”, a déclaré Gardiner. “Il ne semble pas y avoir de changement ou de correction de Microsoft prévu. Dans ce cas, afin d’améliorer les défenses contre la méthode VelvetSweatshop, les organisations doivent utiliser une technologie anti-malware plus sophistiquée pour surveiller le trafic et former les utilisateurs à être plus attentifs. »

malware velvetsweatshop

Selon Mimecast, les applications Microsoft Office comme les fichiers Excel sont un moyen populaire de diffusion de logiciels malveillants en raison de leur utilisation répandue et de leur visibilité. “Certainement, peu de gens sont surpris de recevoir des factures ou des pièces jointes de feuilles de calcul financières par e-mail”, a écrit Gardiner.

Il est peu probable que LimeRAT soit le seul payload distribué à l’aide de cette tactique utilisant VelvetSweatshop: «Bien sûr, étant donné la capacité générale inhérente à cette technique de distribution de logiciels malveillants basée sur Excel, tout type de logiciel malveillant est un bon candidat pour la livraison, donc les chercheurs de Mimecast s’attendent à ce que cette technique soit utilisée dans de nombreuses autres campagnes d’hameçonnage à l’avenir », a observé Gardiner.

Comment se protéger de cette campagne d’infection de LimeRAT?

Pour éviter d’être victime d’une telle attaque, Mimecast a recommandé un examen attentif de tous les e-mails contenant des fichiers joints, ainsi que, au niveau administratif, la surveillance du trafic réseau pour les connexions sortantes vers les services de commande et de contrôle (C2). En outre, la mise à jour régulière des systèmes de sécurité des terminaux pour renforcer la détection du chargement ou de l’exécution de logiciels malveillants sur l’hôte peut également atténuer les attaques.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x