Il n'est pas rare que des cybercriminels diffusent des logiciels malveillants pour pirater des ordinateurs à l'aide de fichiers Microsoft Office spécialement conçus, en particulier des documents Word, joints aux courriers indésirables. Ces attaques reposent généralement sur l'ingénierie sociale pour amener l'utilisateur ciblé à activer les macros VBA intégrées dans le document.
Mais maintenant, une nouvelle attaque d'ingénierie sociale a été découverte, qui n'oblige pas les utilisateurs à activer les macros. Des chercheurs de la société de sécurité SentinelOne ont récemment découvert qu'un groupe de pirates utilise commandes PowerShell encastré à l'intérieur d'un Fichier PowerPoint (PPT) pour exécuter un malware sur un système ciblé, sans nécessiter de macros, de macros JavaScript ou VBA.
Ces fichiers PowerPoint malveillants distribuent un logiciel malveillant appelé « Zusy », un cheval de Troie bancaire, qui cible les sites Web financiers. Ces fichiers, nommés « order.ppsx » ou « invoice.ppsx », ont été distribués via des courriers indésirables avec des titres tels que « Bon de commande #130527 » et "Confirmation."
De plus, le code PowerShell malveillant caché à l'intérieur du document se déclenche dès que la victime déplace/passe la souris sur un lien, ce qui télécharge une charge utile supplémentaire sur la machine de la victime, même sans cliquer dessus.
Lorsque le fichier PowerPoint malveillant est ouvert, il affiche un écran avec un seul lien qui dit "Chargement, veuillez patienter":
Lorsqu'un utilisateur passe la souris sur le lien, même sans cliquer dessus, PowerPoint exécute automatiquement le code PowerShell, un programme externe. Cependant, le code ne s'exécute pas automatiquement dès que le fichier est ouvert. La fonctionnalité de sécurité Vue protégée qui est activée par défaut dans la plupart des versions prises en charge d'Office, y compris Office 2013 et Office 2010, affiche un avertissement sévère et les invite à activer ou désactiver le contenu.
Si l'utilisateur néglige cet avertissement et autorise la visualisation du contenu, le code PowerShell est exécuté et un domaine nommé « cccn.nl » est contacté. Un fichier est téléchargé à partir de ce domaine et exécuté, qui est finalement responsable de la livraison d'une nouvelle variante du cheval de Troie bancaire appelée Zusy, Tinba et Tiny Banker.
Les chercheurs en sécurité ont également souligné que bien que l'attaque ne fonctionne pas si la présentation malveillante est ouverte à l'aide de PowerPoint Viewer, et que la plupart des versions d'Office avertissent l'utilisateur avant l'exécution du code, la méthode peut toujours être efficace dans certains cas.
« Les utilisateurs peuvent toujours activer des programmes externes parce qu'ils sont paresseux, pressés ou qu'ils ne sont habitués qu'à bloquer les macros. De plus, certaines configurations peuvent être plus permissives dans l'exécution de programmes externes qu'elles ne le sont avec des macros », a déclaré SentinelOne Labs dans un blog récents.
