Un crypto-ransomware caché dans un document Word, lui-même caché dans un PDF !

SophosLabs a découvert une nouvelle campagne de spams où un ransomware était téléchargé et exécuté par une macro cachée dans un document Word qui à son tour était dissimulée dans un PDF, comme une poupée russe. Le crypto-ransomware dans ce cas semble être une variante de Locky.

La plupart des filtres antivirus savent comment reconnaître les macros suspectes dans des documents, mais la dissimulation de ces documents à l’intérieur d’un fichier PDF pourrait être un bon moyen de les contourner, selon les chercheurs du SophosLabs.

À quoi ressemble cette nouvelle technique ?

En suivant le schéma classique, cette dernière génération de ransomwares vient sous forme de spams par emails avec une pièce jointe PDF :

Le PDF comporte un document joint à l’intérieur, qui tente d’être ouvert via Acrobat Reader :

Une fois que le document est ouvert dans MS Word, il vous demande d’activer l’édition par le biais d’une attaque par ingénierie sociale :

Cette dernière lance une macro VBA, qui télécharge et exécute le crypto-ransomware.

Quoi faire ?

Il existe des précautions à prendre que les internautes soient mieux protégés vis-à-vis de ce genre d’attaque :

• Sauvegardez régulièrement et gardez une copie récente hors ligne. Il existe des dizaines de situations, hors ransomware, à la suite desquelles des fichiers peuvent disparaître brusquement, telles que le feu, les inondations, le vol, un ordinateur portable abandonné ou même une suppression accidentelle. Chiffrer votre sauvegarde et vous n’aurez plus à vous inquiéter si elle tombe dans de mauvaises mains.
• N’activez pas les macros dans les pièces jointes reçues par email. Microsoft a délibérément désactivé l’exécution automatique des macros par défaut il y a plusieurs années par mesure de sécurité. Beaucoup d’infections par malwares ont comme objectif premier de vos inciter à réactiver les macros, alors ne le faites pas !
• Soyez prudents quant aux pièces jointes non sollicitées. Les cybercriminels comptent sur le dilemme suivant : à savoir que vous n’ouvrirez pas un document avant d’être sûr que c’est bien le bon, mais vous ne pouvez pas le savoir avant de l’ouvrir. En cas de doute, ne faites rien !
• Mettez à jour le plus tôt possible et le plus souvent possible. Les malwares qui n’arrivent pas via des macros, se basent souvent sur des failles de sécurité dans des applications populaires, y compris Office, votre navigateur, Flash et plus encore. Plus tôt vous patcherez, moins de failles de sécurité resteront actives et exploitables vis-à-vis des cybercriminels. Dans le cas de cette attaque, les utilisateurs doivent s’assurer qu’ils utilisent les versions les plus récentes de PDF et Word.
• Utilisez Sophos Intercept X, qui stoppe les ransomwares dès le départ en bloquant le chiffrement non autorisé des fichiers.

Sophos a détecté le PDF sous le nom Troj/PDFDoc-C et le payload sous la désignation Troj/Locky-UP.

D’autres liens vous seront aussi utiles ci-dessous :

• Pour se défendre contre les ransomwares en général, lisez notre article : Comment bien se protéger contre les ransomwares ?
• Pour se protéger contre les pièces jointes en JavaScript, demandez à Windows Explorer pour ouvrir les fichiers .JS avec Notepad.
• Pour se protéger contre les noms de fichiers trompeurs, demandez à Windows Explorer pour qu’il montre les extensions.
• Pour en savoir plus sur les ransomwares, écoutez notre podcast.
• Pour protéger vos mais et vos proches contre les ransomwares, essayez gratuitement Sophos Home pour Windows ou Mac.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Ransomware hidden inside a Word document that’s hidden inside a PDF, par Bill Brenner, Sophos NakedSecurity.