Attention à cette arnaque PowerShell : un malware déguisé
Alors, voici une bonne à savoir. Les criminels astucieux ciblent des milliers d’organisations à travers le monde avec des attaques de manipulation psychologique utilisant de faux messages d’erreur pour inciter les utilisateurs à exécuter des scripts PowerShell malveillants.
Une nouvelle campagne de distribution de malware
Cette dernière campagne de distribution de malware pour Windows utilise de faux messages d’erreur de Google Chrome, Microsoft Word et OneDrive, qui ressemblent beaucoup à des avertissements réels. Après avoir visité un site web légitime mais compromis, les victimes voient apparaître un pop-up dans leur navigateur, leur indiquant qu’il y a un problème – un vieux truc, mais vraiment efficace.
Comment ça marche ?
Les victimes sont ensuite invitées à cliquer sur un bouton de « réparation », puis à copier et coller le code affiché dans un terminal PowerShell ou la boîte de dialogue Exécuter de Windows. Cela permet à PowerShell d’exécuter un autre script distant qui télécharge et exécute le malware sur le PC de la victime.
Les chasseurs de malware de Proofpoint ont repéré au moins deux groupes criminels utilisant cette technique pour infecter les ordinateurs des gens. L’un des groupes utilise très probablement cette méthode pour propager des ransomwares.
L’ingénierie sociale à l’œuvre
« Bien que la chaîne d’attaque nécessite une interaction significative de l’utilisateur pour réussir, l’ingénierie sociale est suffisamment astucieuse pour présenter simultanément à quelqu’un ce qui semble être un problème réel et une solution, ce qui peut pousser un utilisateur à agir sans réfléchir aux risques, » ont déclaré Tommy Madjar, Dusty Miller et Selena Larson dans un rapport publié cette semaine.
Proofpoint dit avoir repéré un groupe appelé TA571 utilisant cette technique depuis le 1er mars, et le groupe derrière la campagne de malware ClearFake l’utilise depuis début avril. Les deux étaient toujours actifs début juin, et une troisième campagne, appelée ClearFix, l’expérimente aussi depuis au moins le moi de mai.
Les détails de l’attaque
Dans ces attaques, les utilisateurs visitent un site web compromis qui charge un script malveillant « hébergé sur la blockchain via les contrats Smart Chain de Binance, » selon le rapport – apparemment appelé EtherHiding – qui charge ensuite une fausse boîte d’avertissement dans le navigateur incitant la victime à installer un « certificat racine » pour résoudre un problème fictif.
Le message inclut des instructions pour copier un script PowerShell puis l’exécuter manuellement sur la machine. Ce script vide le cache DNS, efface le contenu du presse-papiers, affiche un message leurre à l’utilisateur, puis télécharge et exécute un script PowerShell distant.
Ce script effectue une série de vérifications Windows Management et installe ensuite le malware Lumma Stealer, qui télécharge trois programmes utiles à leurs fin :
- am.exe – Amadey Loader
- ma.exe – Un téléchargeur qui télécharge et exécute le mineur de cryptomonnaie XMRig avec une configuration spécifique
- cl.exe – Un voleur de presse-papiers conçu pour remplacer les adresses de cryptomonnaie dans le presse-papiers, construit pour faire transférer la cryptomonnaie de la victime à une adresse contrôlée par l’attaquant au lieu de l’adresse prévue lors des transferts
La campagne ClearFix
La campagne ClearFix utilisait une stratégie similaire. Pour celle-ci, les attaquants utilisaient un site web compromis avec une injection menant à une superposition iframe. Celle-ci s’affichait comme un message d’erreur Google Chrome, demandant également aux utilisateurs d’ouvrir « Windows PowerShell (Admin) » et de coller le code, menant finalement au téléchargement et à l’exécution du Vidar Stealer.
Une menace sérieuse
La troisième campagne, que Proofpoint attribue à TA571, un groupe connu pour ses spams de masse, a envoyé plus de 100 000 e-mails de phishing à des milliers d’organisations à travers le monde.
Dans cette campagne, les criminels envoyaient des e-mails contenant une pièce jointe HTML malveillante déguisée en page Microsoft Word. Elle affichait également un message d’erreur avertissant que « l’extension Word Online n’est pas installée, » offrant ensuite deux options : « Comment réparer » et « Auto-réparer. »
Cliquer sur « Comment réparer » copie une commande PowerShell encodée en Base64 dans le presse-papiers de l’ordinateur avec un message invitant l’utilisateur à ouvrir PowerShell et à cliquer avec le bouton droit de la souris sur la console.
Pendant ce temps, le bouton « Auto-réparer » utilise le protocole search-ms pour afficher un fichier « fix.msi » ou « fix.vbs » hébergé sur WebDAV.
Le fichier MSI, lorsqu’il est exécuté, installe Matanbuchus, un autre chargeur de malware, tandis que le fichier VBS télécharge et exécute le code d’attaque DarkGate.
Conclusion
En investissant dans la formation des employés, les entreprises peuvent renforcer considérablement leur posture de sécurité et réduire la probabilité de succès des attaques d’ingénierie sociale. Les cybercriminels comptent souvent sur l’ignorance ou l’inattention des utilisateurs pour mener à bien leurs attaques. Une formation continue et ciblée est la meilleure défense contre ces menaces en constantes évolutions.