Ces pirates utilisent un simple PDF pour injecter un terrible malware sur votre PC

Les pirates ne cessent de révéler d'ingéniosité pour trouver des moyens d'infiltrer le PC des utilisateurs et l'infecter avec de terribles malwares. Les chercheurs en sécurité informatique de HP Wolf Security ont détecté une nouvelle campagne malveillante centrée autour d'un simple fichier PDF. 

Quand il s'agit de trouver des moyens efficaces d'infecter les PC et les smartphones des utilisateurs, les pirates font preuve d'une imagination débordante. Les exemples récents ne manquent pas, à l'image de ce malware qui s'attaque à un endroit inhabituel du système, à savoir le gestionnaire d'évènements de l'OS. 

On se souvient également de ce malware qui fonctionne même lorsque l'iPhone est éteint, en exploitant notamment le Lower Power Mode. En ce lundi 23 mai 2022, c'est au tour des chercheurs en sécurité informatique de HP Wolf Security de faire part d'une découverte inquiétante.

Un simple PDF pour transférer un malware

En effet, ces experts ont détecté une nouvelle campagne malveillante, centrée autour d'un simple fichier PDF. Tout d'abord, les acteurs de la menace envoient un email ayant pour objet le remboursement de frais médicaux ou autre. Le but étant de faire croire aux victimes qu'ils vont toucher de l'argent.

L'email en question contient un fichier PDG en pièce jointe, ce afin de rassurer la victime sur sa légitimité, les fichiers World ou Excel étant généralement considérés comme suspect par le plus grand nombre. Malgré tout, un document Word baptisé “A été vérifié” est intégré au PDF. Lorsque la victime ouvre pour la 1ère fois le PDF, elle est invitée à ouvrir ce second document.

“Le message indique Le fichier a été vérifié. Toutefois, les fichiers PDG, jpeg, xlsx, docx peuvent contenir des programmes, des macros ou des virus”, rappellent les experts de HP Wolf Security. Comme on peut s'en douter, le fichier Word contient une macro qui une fois activée télécharge un fichier RTF (Rich Text Format) à partir d'une emplacement distant et l'exécute.

A lire également : Arnaque DHL – attention, des pirates se font passer pour le service de livraison pour vider votre compte bancaire

Les pirates exploitent une faille de 2017

Le cadeau est plutôt empoisonné puisque ce fichier va alors télécharger à son tour Snake Keylogger, un malware particulièrement virulent connu comme étant “un voleur d'informations modulaire doté de puissantes capacités de persistance, de contournement de défense, d'accès au informations d'identification, de collecte et exfiltration de données”. 

Comme le précisent les chercheurs, une condition subsiste toutefois pour que l'attaque fonctionne. Les pirates doivent cibler uniquement des terminaux vulnérables à une faille spécifique, la CVE-2017-11882. Cette vulnérabilité, corrigée en novembre 2017, permet d'exécuter du code à distance via l'Editeur d'équations, un module World qui a été supprimé depuis cette date. Malheureusement, de nombreux PC professionnels restent encore à la merci de cette faille.

Source : TechRadar