Bitdefender met en garde les entreprises contre des fichiers Microsoft Publisher pouvant entrainer des vols de données

Les chercheurs antispams des Bitdefender Labs ont identifié quelques milliers d’e-mails contenant des pièces jointes ayant comme extension .pub, se faisant passer pour des commandes ou factures de produits. Les expéditeurs de ces courriers électroniques se font passer pour des employés de petites et moyennes entreprises basées au Royaume-Uni ou en Chine principalement, ainsi que de nombreuses autres entreprises.

 

 

Les destinataires sont invités à ouvrir les fichiers joints avec Microsoft Publisher, un logiciel de Publication Assistée par Ordinateur (PAO), intégré à Microsoft Office 365. Publisher est communément utilisé pour éditer et mettre en page des textes, ou encore créer des flyers, newsletters, e-mailings, etc.

« .pub n’est pas un format de fichier classique pour la diffusion de logiciels malveillants », déclare Adrian Miron, Chef de la division Antispam des Bitdefender Labs. « Les spammeurs ont choisi ce type de fichiers, car, en général, les gens ne se doutent pas qu’il puisse être un vecteur d’infection ».

L’extension .pub infectée contient un script (VBScript) qui intègre une URL agissant comme un hôte distant. De là, le malware télécharge un dossier auto-extractible contenant un script AutoIt, outil qui sert à exécuter le script et un fichier chiffré en AES-256.

Les chercheurs antimalwares de Bitdefender ont remarqué que ce fichier chiffré peut être déchiffré en utilisant une clé dérivée du MD5 d'un texte écrit à l’intérieur du fichier AutoIt.

 

Fig. 1 VBScript désobfusqué

 

Fig. 2 Le script AutoIt décodé avec le MD5 pour la clé de déchiffrement

Une fois que le fichier est déchiffré et installé, les attaquants ont alors accès au système via une backdoor et peuvent contrôler les ressources sur l'ordinateur compromis. Le malware peut mémoriser des séquences de touches pour enregistrer les mots de passe et noms d'utilisateurs, dérober des informations de connexion à partir des navigateurs Web ou des e-mails, afficher les données du système et réaliser d'autres actions intrusives. 

« Nous avons des raisons de croire que ce type d’attaque provient de l'Arabie Saoudite et de la République tchèque », ajoute Adrian Miron.

Bitdefender détecte et bloque ce fichier .pub comme W97M.Downloader.EGF, ainsi que la charge utile de la backdoor comme Generic.Malware.SFLl.545292C0. 

MD5 : 8bcaf480f97eb43d3bed8fcc7bc129a4

Analyse technique d’Alexandru RUSU, Chercheur Antimalware et Adrian MIRON, Chef de la division Antispam chez Bitdefender