Site icon Sophos News

Un crypto-ransomware caché dans un document Word, lui-même caché dans un PDF !

crypto-ransomware

Un crypto-ransomware caché dans un document Word, lui-même caché dans un PDF !

SophosLabs a découvert une nouvelle campagne de spams où un ransomware était téléchargé et exécuté par une macro cachée dans un document Word qui à son tour était dissimulée dans un PDF, comme une poupée russe. Le crypto-ransomware dans ce cas semble être une variante de Locky.

La plupart des filtres antivirus savent comment reconnaître les macros suspectes dans des documents, mais la dissimulation de ces documents à l’intérieur d’un fichier PDF pourrait être un bon moyen de les contourner, selon les chercheurs du SophosLabs.

À quoi ressemble cette nouvelle technique ?

En suivant le schéma classique, cette dernière génération de ransomwares vient sous forme de spams par emails avec une pièce jointe PDF :

Le PDF comporte un document joint à l’intérieur, qui tente d’être ouvert via Acrobat Reader :

Une fois que le document est ouvert dans MS Word, il vous demande d’activer l’édition par le biais d’une attaque par ingénierie sociale :

Cette dernière lance une macro VBA, qui télécharge et exécute le crypto-ransomware.

Quoi faire ?

Il existe des précautions à prendre que les internautes soient mieux protégés vis-à-vis de ce genre d’attaque :

Sophos a détecté le PDF sous le nom Troj/PDFDoc-C et le payload sous la désignation Troj/Locky-UP.

D’autres liens vous seront aussi utiles ci-dessous :

//platform.twitter.com/widgets.js
Billet inspiré de Ransomware hidden inside a Word document that’s hidden inside a PDF, par Bill Brenner, Sophos NakedSecurity.

Exit mobile version