Phishing: faites attention à la nouvelle version d’un malware qui se propage via des documents Word

Une nouvelle variante d’un malware populaire auprès des cybercriminels se propage via des documents Word malveillants dans le but de voler des coordonnées bancaires et d’autres informations personnelles utiles.

Le cheval de Troie Ursnif cible les machines Windows et existe sous une forme ou une autre depuis au moins 2007, année où son code est apparu pour la première fois dans le cheval de Troie bancaire de Gozi.

Ursnif est devenu incroyablement populaire auprès des cybercriminels ces dernières années, en raison de la fuite de son code source en ligne, permettant aux attaquants de s’en prévaloir gratuitement.

Plusieurs variantes du logiciel malveillant ont vu le jour depuis la fuite du code, car les pirates le prennent et ajoutent leurs propres fonctionnalités pour le vol de coordonnées bancaires et d’autres informations d’identification de compte en ligne.

Des chercheurs de la société de cybersécurité Fortinet ont maintenant identifié une nouvelle version d’Ursnif à l’état sauvage qui se propage via des courriels de phishing contenant des documents Word. Ces leurres infectés sont nommés avec un format « info_ [date] .doc » et prétendent que le document a été créé dans une version antérieure de Word, obligeant l’utilisateur à activer les macros pour le visualiser.

L’activation de macros en cliquant sur la commande « Activer le contenu » déclenche le code VBA malveillant qui entame le processus de suppression d’une version du programme malveillant Ursnif qui, selon les chercheurs, n’a été compilée que récemment, le 25 juillet, ce qui indique à quel moment cette dernière incarnation a été développée.

Une fois installé sur un système, le logiciel malveillant exécute un certain nombre de processus « iexplorer.exe » qui apparaissent et disparaissent de manière répétée.

Ursnif crée les conditions nécessaires pour se connecter à son serveur de commande et de contrôle. Dans le but apparemment de rendre l’activité moins suspecte, la liste des hôtes du serveur C & C inclut des références à Microsoft et aux sociétés de sécurité.

Les chercheurs avertissent que la campagne est toujours active et ont fourni un résumé des indicateurs dans leur analyse du malware .

Les techniques d’attaque déployées par cette dernière campagne Ursnif peuvent sembler élémentaires, mais même de simples attaques de courrier électronique par hameçonnage peuvent permettre aux pirates informatiques d’accéder à des réseaux ou de déployer des logiciels malveillants.

Source: « https://www.zdnet.com/article/phishing-watch-out-for-this-new-version-of-trojan-malware-that-spreads-through-malicious-word-documents/«