×
Simplyc'IT - Accueil
  • MENU ☰

Sécurité : un PDF pour injecter un malware

24 mai 2022

Une nouvelle campagne malveillante centrée autour d’un simple fichier PDF a été détecté.

Les hackers ne manquent pas d’ingéniosité pour infiltrer les ordinateurs des utilisateurs et de les infecter avec de terribles malwares. Malgré l’imagination débordante des pirates, les chercheurs en sécurité informatique de HP Wolf Security ont récemment fait part d’une découverte inquiétante.

Un simple PDF

Les experts ont détecté une nouvelle campagne malveillante, centrée autour d’un simple fichier PDF. Une fois ouvert, le fichier PDF distribue le Snake Keylogger sur la machine.

Selon les chercheurs, les acteurs de la menace envoient d’abord un email ayant pour objet le remboursement de quelque chose. Le but étant de faire croire aux victimes qu'elles vont toucher de l'argent.

Pour rassurer la victime sur la légitimité du message, l’email comporte un fichier PDF en pièce jointe. Pourquoi PDF ? Car les fichiers Word ou Excel sont généralement considérés comme suspects par les utilisateurs.

Cependant, le PDF intègre un document Word corrompu. Lorsque la victime ouvre la pièce jointe, elle est invitée à ouvrir ce second document.  Cette demande d’ouverture est accompagnée d’un message indiquant que le document en question « a été vérifié » pour rassurer encore davantage l’utilisateur.

Toutefois, les fichiers PDF, Excel et Word peuvent contenir des programmes, des macros ou des virus”, rappellent les experts de HP Wolf Security. Comme on pouvait s’y attendre, le fichier Word intégré au PDF contient une macro qui une fois activée télécharge un fichier RTF (Rich Text Format) à partir d’un emplacement distant et l'exécute.

Ce fichier tente alors de télécharger Snake Keylogger, un logiciel malveillant.

Pour que l'attaque réussisse, il faut encore que les terminaux ciblés soient vulnérables à une faille spécifique. Les chercheurs ont découvert que les attaquants tentent de tirer parti d’un bug d'exécution de code à distance.

La faille a été corrigée en novembre 2017, mais tous les administrateurs d'appareils ne maintiennent pas leurs systèmes d'exploitation à jour. C'était d’ailleurs l'une des vulnérabilités les plus populaires à exploiter en 2018, en raison de la lenteur relative des organisations et des utilisateurs à la corriger.

Les commentaires sont clos