Microsoft OneNote utilisé pour éviter la détection antivirus

Une nouvelle campagne d’hameçonnage a récemment été découverte. Cette campagne utilise OneNote, le bloc-notes numérique de Microsoft qui enregistre et synchronise automatiquement les notes, pour contourner les outils de détection et télécharger des logiciels malveillants sur les systèmes des victimes.

Le pirate informatique utilisait OneNote pour expérimenter différentes méthodes dans le but de distribuer le keylogger Agent Tesla pour dérober des informations d’identification ou faire un lien vers une page d’hameçonnage. L’attaque a commencé avec l’envoi d’un e-mail aux victimes qui contient un lien vers un document OneNote.

«Grâce à la facilité d’utilisation et à l’accessibilité de OneNote, le pirate a pu mettre à jour un “carnet d’hameçonnage” plusieurs fois par jour, expérimenter différentes méthodes d’intrusion et améliorer ses chances de réussir à échapper aux contrôles de sécurité des e-mails», ont déclaré des chercheurs de Cofense dans leur analyse. “De nombreuses payloads tels que le keylogger Agent Tesla ainsi que des liens vers différents sites Web d’hameçonnage ont été inclus dans la campagne d’infection.”

Le pirate a d’abord envoyé un e-mail à des sociétés en prétendant être un responsable marketing envoyant une facture de commande (Cofense n’a pas indiqué les objectifs ni l’efficacité de la campagne jusqu’à présent). Le lien vers la facture était en fait un lien [.]cc, qui a finalement mené les victimes au document OneNote. En l’espace de deux semaines, les chercheurs ont déclaré que les pirates avaient changé la mise en page de cette page OneNote, alternant entre quatre modèles différents pour mettre en place un portail d’hameçonnage et distribuer des logiciels malveillants.

Par exemple, dans l’une des versions antérieures, la page envoie deux URL – l’une qui mène à une page d’hameçonnage d’Office 365 et l’autre qui télécharge des logiciels malveillants. D’autres versions ultérieures ont été modifiées afin qu’elles soient liées à des téléchargements de logiciels malveillants plutôt qu’à des liens vers des sites d’hameçonnage.

Les différentes versions de OneNote avaient également des techniques différentes. L’une disait aux victimes qu’un transfert bancaire avait été reçu avec succès et leur demandait de cliquer sur un lien pour afficher les détails du transfert (ce lien téléchargeait en fait un logiciel malveillant), tandis qu’un autre leur disait que leur OneDrive n’était pas synchronisé avec celui de leur organisation et leur demandé de “s’auto-vérifier” afin de résoudre le problème – ce qui les amenait sur une page d’hameçonnage.

OneNote

Dans tous les cas où des logiciels malveillants ont été distribués, le logiciel malveillant était un téléchargeur de première étape, qui tentait de télécharger un fichier binaire chiffré. Ce binaire, le keylogger Agent Tesla, a ensuite été décrypté et exécuté en mémoire. Agent Tesla a été utilisé dans diverses campagnes au fil des ans, il récupère et exfiltre les identifiants et les frappes de clavier stockés sur les systèmes des victimes. Ce qui est intéressant c’est que les logiciels malveillants liés à cette campagne ont échoué en raison d’une personnalisation incorrecte, ce qui indique que le pirate est peut être inexpérimenté.

“Initialement, les deux téléchargeurs de logiciels malveillants de première étape avaient leurs payloads chiffrées stockées sur Google Drive”, ont déclaré les chercheurs. «Les chargeurs plus récents ont tenté de récupérer les payloads d’un hôte compromis, le même hôte qui fournissait les téléchargeurs de logiciels malveillants. Les nouveaux chargeurs n’ont cependant pas réussi à accomplir leurs tâches en raison d’une personnalisation incorrecte du pirate. Une telle erreur est révélatrice d’un opérateur aux capacités limitées qui utilise des kits pré-fabriqués mais ne parvient pas à les modifier. »

Microsoft OneNote

L’utilisation de OneNote dans cette campagne offre aux attaquants plusieurs avantages. Cela a permis au pirate de changer de méthodes facilement. L’utilisation de OneNote a également permis aux pirates de contourner les défenses contre les attaques d’hameçonnage installées dans des environnements protégés par Microsoft Exchange Online Protection et les passerelles d’entreprise FireEye.

OneNote

“En se basant sur le risque posé par des sources fiables, les protections traditionnelles formées contre OneNote et les services similaires peuvent s’avérer inefficaces”, ont déclaré les chercheurs. “S’il n’est pas correctement traité, cela pourrait ouvrir la voie à un vecteur d’infection prolifique pour les logiciels malveillants.”

Au-delà de OneNote hébergé sur OneDrive, les cybercriminels peuvent exploiter un large éventail de sources d’hébergement cloud fiables pour l’hameçonnage, y compris des documents hébergés sur Microsoft Sway, Microsoft SharePoint, Google Docs ou même Zoho Docs.

«Le fait d’avoir un service facilement accessible qui ne nécessite aucune maintenance et qui agit efficacement comme une base de données gratuite réduit considérablement l’entretien requis pour l’hameçonnage», ont déclaré les chercheurs. “L’inconvénient est que ces services ont évolué pour rechercher des activités néfastes, et Google affiche un avertissement au bas du formulaire qui avertit l’utilisateur de ‘ne jamais soumettre de mots de passe via Google Forms’. D’autres services tels que Microsoft Forms et les sites d’enquête peuvent aussi être vulnérable à ce type d’attaque. “

Poster un Commentaire

avatar
  S’abonner  
Notifier de