Pendant des années, les cybercriminels ont caché des macros dans des documents Microsoft Office envoyés par courriel afin de diffuser des logiciels malveillants. Lorsqu’un employé clique sur la pièce jointe pour voir le document, la macro s’exécute silencieusement en arrière-plan et provoque une infection.
Mais alors que Microsoft renforce la sécurité autour des macros et que les passerelles de messagerie recherchent et signalent les documents avec des macros, les pirates ont trouvé un nouveau moyen d’échapper aux défenses : tirer parti de la capacité de Microsoft OneNote à intégrer des fichiers pour diffuser des logiciels malveillants. Contrairement aux fichiers de traitement de texte .docx et de tableur .xlsx, OneNote ne prend pas en charge les macros VBA. Mais des fichiers OneNote malveillants peuvent distribuer des logiciels dangereux.
Dans deux articles de blog blogs cette semaine, les chercheurs de Trustwave détaillent comment les pirates abusent de OneNote. C’est un avertissement aux dirigeants de la sécurité de l’information qu’ils doivent s’assurer que leurs solutions défensives peuvent détecter ce vecteur d’attaque et former les employés à ne pas être dupes.
Un gros problème : les documents OneNote n’incluent pas la protection « Protected View » et « Mark-of-the-Web » (MOTW), note Trustwave, ce qui augmente le risque d’exposition à des fichiers potentiellement malveillants et les rend attrayants pour les cybercriminels.
« Nous avons récemment observé un pic remarquable de courriels utilisant des pièces jointes OneNote malveillantes, avec des souches de logiciels malveillants connues se déplaçant également vers ce mécanisme de livraison », indique le rapport.
OneNote est une application de prise de notes intégrée à toutes les versions de Microsoft Office. C’est aussi une application autonome. Elle permet aux utilisateurs de prendre des notes, d’organiser des informations et d’inclure des fichiers tels que des images, des documents et des exécutables dans ces notes.
Du point de vue de l’utilisateur final, un document OneNote malveillant ressemble à n’importe quelle pièce jointe.
Dans un exemple de campagne, Trustwave a vu un acteur malveillant envoyer aux employés un courriel prétendant avoir une demande de produit PDF en pièce jointe. [Un indice est suspect : il est adressé à « Cher Monsieur/Madame »] Si le membre du personnel clique sur le bouton « Afficher le document », il charge un exécutable intégré caché dans une note OneNote avec une fausse icône Adobe PDF Reader.
[En passant, le fichier intégré cache son vrai nom à la victime en utilisant une astuce de remplacement de droite à gauche pour que le fichier apparaisse comme étant « Orderinvpif.pdf ». Avec une extension .pdf, cela ne semble pas suspect. Mais le vrai nom du fichier est en fait « Orderinvpdf.pif »]
Dans cet exemple particulier, le logiciel malveillant conduit à l’installation d’un voleur d’informations, qui effectue un certain nombre de choses, notamment la capture de l’adresse IP publique de l’ordinateur, des adaptateurs réseau, de l’historique de navigation, des cookies du navigateur et des mots de passe Wi-Fi stockés.
Une autre campagne par courriel utilise une ancienne arnaque, une réclamation selon laquelle l’entreprise doit de l’argent sur une facture jointe impayée. Le document OneNote contient une image de bouton « cliquer pour afficher le document ». Si vous cliquez dessus, un script batch est implicitement cliqué et exécuté. Notez que pour augmenter le taux de clics, les pirates distribuent délibérément des copies du script sur toute la largeur de l’image du bouton. De cette façon, le script, qui serait suspect, est caché.
Le script copie un exécutable PowerShell dans le répertoire de travail actuel, puis le renomme skyy.bat.exe. Il exécute une instance PowerShell avec une fenêtre masquée et contourne la politique d’exécution tout en utilisant le script batch d’origine comme entrée pour exécuter plus de commandes.
En fin de compte, l’objectif est de charger AsyncRAT, un cheval de Troie d’accès à distance (RAT) open source basé sur .NET utilisé pour prendre le contrôle des ordinateurs et accéder aux données à distance. Il offre une gamme de fonctionnalités, telles que l’enregistrement de frappe et les fonctionnalités d’évasion de la défense. Trustwave note qu’il s’agit d’un outil populaire des cybercriminels.
Récemment, Trustwave a vu des pirates utiliser OneNote pour diffuser le maliciel Qakbot . La pièce jointe OneNote – qui peut avoir une icône OneNote – se déguise en un document provenant du nuage. Juste derrière le bouton « Ouvrir », se cache un fichier de commandes intégré qui invoquera PowerShell pour télécharger une charge utile supplémentaire qui mènera à la DLL Qakbot. L’un des outils de Qakbot est le piratage de fils de messagerie, permettant l’insertion de contenu malveillant dans une conversation existante entre deux personnes ou plus.
Une troisième campagne par courriel décrite par Trustwave prétend être un avis d’information sur la propriété d’une entreprise de construction qui comprend un document OneNote. Encore une fois, un exécutable intégré dans OneNote se cache derrière un bouton « Cliquez pour afficher le document ». Cette fois, le but est d’installer le Remcos RAT.
« L’étendue des techniques d’évasion de la défense exposées montre à quel point les cybercriminels tentent d’augmenter l’efficacité de leurs attaques et de les rendre plus difficiles à détecter et à analyser », indique le rapport.
Adaptation et traduction française par Renaud Larue-Langlois.
