+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Coriolan
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2016
    Messages
    453
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Maroc

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 453
    Points : 11 229
    Points
    11 229

    Par défaut Un nouveau malware infecte les PC dès que l'utilisateur place le curseur de la souris sur un lien

    Un nouveau malware infecte les PC dès que l'utilisateur place le curseur de la souris
    Sur un lien contenu dans un fichier PowerPoint

    Généralement, les experts en sécurité préconisent d’éviter à tout prix de cliquer sur des liens externes contenus dans des emails suspicieux, sinon votre machine pourra être infectée. Mais apparemment, même le fait de suivre ce conseil n’est plus suffisant. Des chercheurs en sécurité ont découvert un malware qui installe un trojan de banking sur votre ordinateur même si vous ne cliquez sur aucun lien. En effet, il suffit de placer le pointeur de la souris sur un lien (image ou texte) contenu dans une présentation PowerPoint pour que le malware s’installe. Les emails de spam (qui distribuaient ce fichier) avaient pour objet « Facture » et « Commande# » la plupart des cas.

    Nom : Screen-Shot-2017-06-09-at-11.02.27-AM-800x504.png
Affichages : 7749
Taille : 147,0 Ko

    Le fichier PowerPoint contient un seul lien au centre qui dit « Loading... please wait » et cache un script de PowerShell intégré. Dès que l’utilisateur place le pointeur de la souris sur ce lien, le script s’exécute. Néanmoins, dans les versions plus récentes de Microsoft Office, il faudra toujours confirmer le téléchargement du malware avant qu’il ne s’installe. Mais malheureusement, les anciennes versions de Microsoft Office sont dépourvues de cette couche de sécurité additionnelle.

    L’outil qui télécharge le malware a été identifié par les chercheurs de Trend Micro en tant que TROJ_POWHOV.A et P2KM_POWHOV. Son analyse a montré qu’il installe une variante d’OTLARD, un trojan de banking aussi connu sous le nom Gootkit. Il a fait son apparition en 2012 et a vite évolué en un trojan de vol de données avec persistance, un contrôle sans fil, la surveillance du trafic réseau et des capacités de manipulation du navigateur. OTLARD/Gootkit a été d’ailleurs déjà exploité dans une attaque de spam en France en 2015, une campagne qui a distribué de fausses lettres du ministère de la Justice.

    OTLARD/Gootkit est connu pour sa capacité à voler des données sensibles et les coordonnées bancaires en Europe. Ses concepteurs qui jusque-là avaient recours à des macros pour distribuer leurs charges ont donc changé de tactiques.

    Les cybercriminels derrière ce stratagème ont déjà mené une campagne de spam qui a ciblé des entreprises et des organisations en Europe, au Moyen-Orient et en Afrique. Même si les chiffres de l’attaque ne sont pas impressionnants, les chercheurs mettent en garde contre une éventuelle généralisation future de la nouvelle technique pour propager d’autres malwares comme les ransomwares.

    Les chercheurs préconisent d’utiliser la fonction Protected View que Microsoft inclut par défaut dans les dernières versions d’Office. Cette fonctionnalité permet de visualiser le contenu d’un document reçu d’une source inconnue tout en réduisant les chances d’une infection. Pour les administrateurs IT et les professionnels de sécurité informatique, ces menaces peuvent être minimisées en désactivant certaines fonctionnalités sur les machines à travers le registre ou en implémentant des règles de groupe qui empêchent les utilisateurs d’exécuter ces fichiers. Une autre contre-mesure est d’opter pour les meilleures pratiques d’utilisation et de sécurisation des outils et services comme PowerShell que ce malware utilise pour infecter le système.

    Source : Trend Micro

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre du Club

    Inscrit en
    janvier 2011
    Messages
    23
    Détails du profil
    Informations forums :
    Inscription : janvier 2011
    Messages : 23
    Points : 65
    Points
    65

    Par défaut Premier paragraphe contradictoire

    Bonjour,

    Votre premier paragraphe est contradictoire, vous dites ne pas cliquer sur un lien d'un email pour ensuite écrire que le lien malicieux était dans un fichier.

    Vous écrivez "Généralement, les experts en sécurité préconisent d’éviter à tout prix de cliquer sur des liens externes contenus dans des emails suspicieux,[...]" puis plus loin "Les emails de spam (qui distribuaient ce fichier) avaient pour objet “Facture” et “Commande#” la plupart des cas."

    Donc pour accéder au lien, il fut ouvrir une pièce jointe qui contient le script. Ça fait une étape supplémentaire. On n'en ai pas encore à un survol de lien dans un mail qui déclencherait un script.

    Le malheureux est qu'il existe encore des personnes pour ouvrir les pièce jointes contenues des mails douteux.

    A bientôt
    GM
    A bientôt
    Guy

  3. #3
    Membre éclairé

    Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    février 2004
    Messages
    419
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information

    Informations forums :
    Inscription : février 2004
    Messages : 419
    Points : 840
    Points
    840

    Par défaut

    Pourtant il me semble bien qu'ils expliquent que sous les anciennes versions de powerpoint, le script s'exécute tout seul au survol de la souris, sans aucune popup de warning.

  4. #4
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    octobre 2015
    Messages
    43
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 22
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : octobre 2015
    Messages : 43
    Points : 51
    Points
    51

    Par défaut

    Citation Envoyé par blbird Voir le message
    Pourtant il me semble bien qu'ils expliquent que sous les anciennes versions de powerpoint, le script s'exécute tout seul au survol de la souris, sans aucune popup de warning.
    Après l'ouverture du document

  5. #5
    Expert confirmé

    Homme Profil pro
    Retraité
    Inscrit en
    septembre 2002
    Messages
    1 886
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 66
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : septembre 2002
    Messages : 1 886
    Points : 5 339
    Points
    5 339
    Billets dans le blog
    2

    Par défaut

    C'est quoi "PowerPoint" ? et ça sert à quoi finalement ?
    Pierre GIRARD

  6. #6
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    octobre 2015
    Messages
    43
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 22
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : octobre 2015
    Messages : 43
    Points : 51
    Points
    51

    Par défaut

    Citation Envoyé par Pierre GIRARD Voir le message
    C'est quoi "PowerPoint" ? et ça sert à quoi finalement ?
    C'est pour créer des diaporamas.

  7. #7
    Expert confirmé

    Homme Profil pro
    Retraité
    Inscrit en
    septembre 2002
    Messages
    1 886
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 66
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : septembre 2002
    Messages : 1 886
    Points : 5 339
    Points
    5 339
    Billets dans le blog
    2

    Par défaut

    Citation Envoyé par kopbuc Voir le message
    C'est pour créer des diaporamas.
    Moi, j'utilise un appareil photo pour faire des diaporamas. L'avantage, c'est que les "malware" n'infectent pas les PC.
    Pierre GIRARD

  8. #8
    Membre à l'essai
    Homme Profil pro
    Inscrit en
    mai 2012
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Secteur : Santé

    Informations forums :
    Inscription : mai 2012
    Messages : 10
    Points : 13
    Points
    13

    Par défaut Si on ouvre la pièce jointe

    C'est encore "bien". Je ne connais pas trop les "macros" et toutes ces éléments "actifs" dans les documents Office, mais du point de vue conceptuel, si qqch peut s'exécuter quand on survole un lien avec le curseur, peut-être qu'on pourrait faire exécuter qqch lors de l'ouverture du fichier même, et détourner l'attention de l'utilisateur cible par qqch de moins terne qu'un lien au milieu de la page... Ou carrément envoyer un exécutable dans la pièce jointe, c'est plus direct et ça pourrait même marcher plus vite.
    Dès qu'on franchit le pas d'ouvrir la pièce jointe (et ça avec le logiciel dédié), des miliers de possibilités s'ouvrent.

Discussions similaires

  1. Réponses: 4
    Dernier message: 15/01/2015, 15h01
  2. Réponses: 2
    Dernier message: 29/01/2014, 12h08
  3. Sécurité : un nouveau malware cible principalement les serveurs Tomcat
    Par Cedric Chevalier dans le forum Sécurité
    Réponses: 5
    Dernier message: 29/11/2013, 10h14
  4. Réponses: 5
    Dernier message: 29/03/2011, 10h33
  5. Réponses: 1
    Dernier message: 13/05/2007, 15h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo