Un crypto-ransomware caché dans un document Word, lui-même caché dans un PDF !

RansomwaresChiffrementCryptographieCybercriminalitémalwareRansomwareSpam
crypto-ransomware

Un crypto-ransomware caché dans un document Word, lui-même caché dans un PDF !

SophosLabs a découvert une nouvelle campagne de spams où un ransomware était téléchargé et exécuté par une macro cachée dans un document Word qui à son tour était dissimulée dans un PDF, comme une poupée russe. Le crypto-ransomware dans ce cas semble être une variante de Locky.

La plupart des filtres antivirus savent comment reconnaître les macros suspectes dans des documents, mais la dissimulation de ces documents à l’intérieur d’un fichier PDF pourrait être un bon moyen de les contourner, selon les chercheurs du SophosLabs.

À quoi ressemble cette nouvelle technique ?

En suivant le schéma classique, cette dernière génération de ransomwares vient sous forme de spams par emails avec une pièce jointe PDF :

crypto-ransomwareLe PDF comporte un document joint à l’intérieur, qui tente d’être ouvert via Acrobat Reader :

crypto-ransomwareUne fois que le document est ouvert dans MS Word, il vous demande d’activer l’édition par le biais d’une attaque par ingénierie sociale :

crypto-ransomware

Cette dernière lance une macro VBA, qui télécharge et exécute le crypto-ransomware.

Quoi faire ?

Il existe des précautions à prendre que les internautes soient mieux protégés vis-à-vis de ce genre d’attaque :

  • Sauvegardez régulièrement et gardez une copie récente hors ligne. Il existe des dizaines de situations, hors ransomware, à la suite desquelles des fichiers peuvent disparaître brusquement, telles que le feu, les inondations, le vol, un ordinateur portable abandonné ou même une suppression accidentelle. Chiffrer votre sauvegarde et vous n’aurez plus à vous inquiéter si elle tombe dans de mauvaises mains.
  • N’activez pas les macros dans les pièces jointes reçues par email. Microsoft a délibérément désactivé l’exécution automatique des macros par défaut il y a plusieurs années par mesure de sécurité. Beaucoup d’infections par malwares ont comme objectif premier de vos inciter à réactiver les macros, alors ne le faites pas !
  • Soyez prudents quant aux pièces jointes non sollicitées. Les cybercriminels comptent sur le dilemme suivant : à savoir que vous n’ouvrirez pas un document avant d’être sûr que c’est bien le bon, mais vous ne pouvez pas le savoir avant de l’ouvrir. En cas de doute, ne faites rien !
  • Mettez à jour le plus tôt possible et le plus souvent possible. Les malwares qui n’arrivent pas via des macros, se basent souvent sur des failles de sécurité dans des applications populaires, y compris Office, votre navigateur, Flash et plus encore. Plus tôt vous patcherez, moins de failles de sécurité resteront actives et exploitables vis-à-vis des cybercriminels. Dans le cas de cette attaque, les utilisateurs doivent s’assurer qu’ils utilisent les versions les plus récentes de PDF et Word.
  • Utilisez Sophos Intercept X, qui stoppe les ransomwares dès le départ en bloquant le chiffrement non autorisé des fichiers.

Sophos a détecté le PDF sous le nom Troj/PDFDoc-C et le payload sous la désignation Troj/Locky-UP.

D’autres liens vous seront aussi utiles ci-dessous :

//platform.twitter.com/widgets.js
Billet inspiré de Ransomware hidden inside a Word document that’s hidden inside a PDF, par Bill Brenner, Sophos NakedSecurity.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s