mer. Déc 7th, 2022

De simples mouvements de souris dans une présentation PowerPoint peuvent déjà exécuter un code malveillant, comme l’ont prouvé des pirates russes.

Un groupe de pirates informatiques russes utilise une nouvelle technique pour exécuter un code malveillant sur les systèmes de leurs victimes en déplaçant simplement la souris dans une présentation PowerPoint. Le malware utilisé pour cela est connu depuis janvier.

Le groupe de pirates APT28 distribue une présentation PowerPoint malveillante

Des chercheurs en sécurité de la société de renseignement sur les menaces Cluster25 signalent de nouvelles activités du groupe de pirates APT28, également connu sous le nom de « Ours fantaisie», qui aurait des liens avec les services secrets russes.

Les attaquants diffusent donc un malware appelé «Graphite‘ en envoyant à leurs victimes une présentation PowerPoint prétendument liée à l’OCDE (Organisation de coopération et de développement économiques). Il comprend deux diapositives avec des instructions pour l’interprétation dans le logiciel de visioconférence Zoom, en anglais et en français.

Un mauvais mouvement de souris dans PowerPoint active un script malveillant

Un lien hypertexte dans le fichier PowerPoint sert de déclencheur pour exécuter un script PowerShell. Et cela ne nécessite même pas un clic. Car pendant que la présentation est en cours d’exécution, il suffit de survoler le lien hypertexte avec la souris pour activer le script, qui téléchargera alors un fichier JPEG depuis un compte Microsoft OneDrive.

Mais ce fichier est bien sûr plus qu’une simple image anodine. Il cache un fichier DLL crypté qui décrypte le script et l’exécute plus tard via rundll32.exe. En conséquence, un deuxième fichier JPEG commencera à être téléchargé, qui contiendra éventuellement le logiciel malveillant Graphite sous forme cryptée.

Voir aussi  Certificats de vaccination : longues peines de prison pour les contrefacteurs

Une fois le logiciel malveillant déchiffré, il est exécuté. Graphite communique ensuite avec un serveur de commande et de contrôle (C2) à l’aide de l’API Microsoft Graph et de OneDrive. PowerPoint ne joue plus de rôle à ce stade.

Comme le rapportent les chercheurs de Cluster25, «permet au malware d’exécuter des commandes à distance en allouant une nouvelle zone mémoire et en exécutant le shellcode reçu en invoquant un nouveau thread dédié. » Cela permet à Graphite de récupérer et d’exécuter du code malveillant supplémentaire sous le contrôle de l’attaquant.

Les chercheurs de Trellix ont déjà rendu compte du graphite

Les chercheurs en sécurité de Trellix avaient déjà rendu compte du graphite en janvier. À l’époque, cependant, les attaquants ciblaient toujours Excel au lieu de PowerPoint.

Le malware tire son nom de son utilisation de l’API Microsoft Graph pour communiquer avec le C2. En raison de certains chevauchements de séquences de code avec des logiciels malveillants précédemment analysés à partir de 2018, les chercheurs de l’époque ont attribué Graphite au groupe de piratage APT28.