microsoft word

Microsoft Word: le Ransomware GandCrab et le virus Ursnif se propagent

Des chercheurs en sécurité ont découvert deux différentes campagnes de malware utilisant des fichiers Microsoft Word. L’une d’entre elles distribue le trojan Ursnif et le ransomware GandCrab, alors que l’autre infecte les victimes seulement avec Ursnif.

Ces deux campagnes semblent être le travail de deux différents groupes de cybercriminels mais il y’a beaucoup de similarités. Les deux attaques commencent avec des emails contenant des fichiers Microsoft Word qui incluent des macros malveillantes et utilise Powershell pour créer des malwares sans fichiers.

Que sont Ursnif et GannCrab?

Ursnif vole les données sensibles des ordinateurs infectés et peut créer des portes dérobées.

GandCrab est un ransomware, c’est à dire qu’il chiffre les fichiers d’un système infecté et demande aux victimes de payer une rançon en monnaie digitale. Dans ce cas précis, la crypto-monnaie demandée est le DASH.

1ère campagne Microsoft Word: Infection Ursnif et GandCrab

La première campagne de malware a été découverte par les chercheurs de Carbon Black qui ont repéré environ 180 variantes de documents MS Word malicieux sur la toile.

Si exécuté avec succès, la macro VBS lance un script PowerShell, qui ensuite utilise une série de techniques pour télécharger et exécuter Ursnif et GandCrab sur les systèmes ciblés.

microsoft word office docs macros malware ransomware

Le script PowerShell est encodé en base64 et exécute la prochaine étape de l’infection qui est responsable de télécharger le payload principal pour compromettre le système.

Le premier payload est un PowerShell en une ligne qui évalue l’architecture du système ciblé et télécharge le payload adéquat sur le site Pastebin. Il s’exécute dans la mémoire, ce qui le rend plus difficile à détecter pour les anti-virus.

“Ce script PowerShell est une version du module Empire Invoke-PSInject , avec quelques modifications,” … “Le script prend un fichier PE [Portable Executable] qui a été encodé en base64 et l’injecte dans le processus PowerShell en cours.”

-chercheurs de Carbon Black

Le dernier payload installe une variante du ransomware GandCrab sur le système de la victime.

Pendant ce temps, le malware télécharge aussi l’exécutable Ursnif depuis un serveur distant et une fois qu’il est exécuté, il fait un petit diagnostique du système, surveille le trafic du navigateur pour recueillir des données et les envoyées au serveur command and control (C&C) des cybercriminels.

2ème campagne Microsoft Word: Ursnif

La seconde campagne avait été observé par les chercheurs de Cisco Talos. Celle-ci fonctionne avec un fichier Microsoft Word qui contient une macro VBA pour délivrer une autre variante du malware Ursnif.

microsoft word office docs macros malware

Cette attaque compromet aussi les systèmes ciblés en plusieurs étapes, en commençant par des emails d’hameçonnage pour lancer des commandes Powershell et finir par télécharger et installer le trojan Ursnif.

“Il y’a trois parties dans la commande [PowerShell]. La première partie crée une fonction qui est ensuite utilisé pour décoder le code base64 du PowerShell. La seconde partie crée un tableau d’octets contenant un DLL malveillant,”

“La troisième partie exécute la fonction de décodage créée dans la première partie, en utilisant une chaîne de caractère en base64 comme paramètre pour la fonction. Le Powershell décodé obtenu en retour est par la suite exécuté par la fonction Invoke-Expression (iex).”

-chercheurs de Talos

Une fois exécuté sur le PC de la victime, le malware collecte les informations du système, les transforme en fichier de format CAB et les envoie vers le serveur command-and-control en utilisant le protocole HTTPS.

Si cet article vous a plu, jetez un œil à notre précédent article.

Leave a Reply