PowerPoint, le célèbre logiciel de présentation de Microsoft, est à nouveau victime du piratage. D'après les chercheurs en sécurité informatique de Netskope, des hackers utilisent actuellement des documents PowerPoint pour diffuser des logiciels malveillants comme des trojans et des voleurs de cryptomonnaies.

Depuis plusieurs années déjà, PowerPoint est une devenu une cible de choix pour les pirates. Les exemples ne manquent pas. Déjà en 2017, des pirates se servaient de PowerPoint pour infiltrer les PC des utilisateurs, grâce à l'exploitation d'une faille de sécurité. Une autre vulnérabilité de Microsoft Office avait permis la même année à des attaquants de cibler les utilisateurs de Word, PowerPoint ou encore Excel.

Et comme nous l'apprennent les chercheurs en sécurité informatique de Netskope, ce recours à PowerPoint par les pirates n'est pas prêt de s'arrêter. Depuis fin 2021, de nombreux groupes de pirates ont commencé à utiliser des services cloud légitimes pour héberger des fichiers PowerPoint malveillants. Avec l'aide de redoutables macros, les attaquants peuvent déployer toute sorte de maliciels sur les appareils visés.

À lire également : Ce malware extrêmement dangereux peut survivre à un formatage du disque

PowerPoint détourné pour vider votre portefeuille numérique

Selon les recherches de ces experts, trois familles de malwares dominent actuellement : Warzone et Agent Tesla, qui sont tous les deux de puissants chevaux de Troie d'accès à distance (RAT), et des voleurs de cryptomonnaies. Les chercheurs affirment que le fichier PowerPoint contient une macro obfusquée, dont l'exécution est lancée par une combinaison d'outils Windows intégrés, de PowerShell et de MSHTA (ndrl : un composant de Windows qui permet de lire des fichiers d'extension).

Une fois lancé, le script VBS créé une nouvelle entrée dans Windows et exécute deux autres scripts. Le premier télécharge AgentTesla, tandis que l'autre désactive la solution antivirus intégrée de Windows, à savoir Microsoft Defender. Si l'on sait qu'Agent Tesla est employé pour voler les mots de passe rentrés depuis un navigateur, les frappes au clavier ou encore le contenu du presse-papier, on en sait très peu sur les actions de Warzone.

Quant à la 3e charge utile, il s'agit d'un voleur de cryptomonnaies, qui va tout d'abord analyser votre presse-papier à la recherche d'identifiants et codes en relation avec un portefeuille numérique. Une fois ces données trouvées, les pirates les remplacent avec les codes de leur propre portefeuille numérique. De fait, la victime peut très bien transférer des fonds directement aux attaquants, sans s'en apercevoir. La situation est critique à un tel point que Microsoft a choisi de désactiver les macros Excel 4.0 par défaut pour protéger les utilisateurs.

Source : TechRadar