Les chercheurs d’Elastic Security Labs ont découvert « une nouvelle famille de logiciels malveillants » qui exploite Microsoft Outlook. Le malware, évoqué sous le nom de FinalDraft, est combiné à plusieurs autres outils pirates dans le cadre d’une cyberattaque sophistiquée. L’offensive nécessite « un chargeur, une porte dérobée et plusieurs sous-modules qui permettent des activités post-exploitation avancées ». Au vu du mode opératoire et des outils employés, les chercheurs estiment que « les développeurs sont bien organisés » et se concentrent sur l’espionnage.
Dans un premier temps, les cybercriminels doivent trouver un moyen de convaincre la cible d’installer PathLoader, un autre programme malveillant conçu pour infecter des ordinateurs sous Windows. Le virus fonctionne en téléchargeant et en exécutant du code à partir d’un serveur à distance.
Au sein de ce code malveillant, on trouve le malware FinalDraft. Utilisé en synergie avec PathLoader, le virus est capable de s’introduire discrètement dans un système. PathLoader s’appuie en effet sur une myriade de tactiques avancées pour échapper à la détection des antivirus.
À lire aussi : des pirates se servent du logiciel Word pour voler vos identifiants
Quand Microsoft Outlook sert de messagerie à un malware
Une fois déployé, le virus va créer un identifiant unique pour la session en cours, ce qui lui permet de suivre l’activité de celle-ci avec précision. Ensuite, il exploite Microsoft Graph, une interface qui permet d’interagir avec les services Microsoft, pour prendre le contrôle d’Outlook. L’exploitation de Graph passe par l’obtention d’un jeton OAuth, le protocole qui permet à des applications d’accéder à des ressources protégées sans avoir à demander le mot de passe de l’utilisateur. Ce n’est pas la première fois que des cybercriminels se servent du protocole dans le cadre de leurs cyberattaques contre Windows.
Par le biais de cette interface, il va pouvoir créer des brouillons au sein de la messagerie Outlook. Ces brouillons serviront à communiquer avec le serveur à distance. En passant par les brouillons plutôt que par les mails, FinalDraft parvient là encore à échapper aux mécanismes de protection de Windows.
Comme vous l’aurez compris, Outlook est utilisé comme un canal de communication entre les pirates et le virus. Les commandes de l’attaquant sont placées dans des brouillons d’e-mails baptisés « r_», tandis que les réponses sont stockées dans de nouveaux brouillons appelés « p_». Après l’exécution des commandes, les brouillons de commandes sont supprimés, ce qui entrave les antivirus. C’est pourquoi Elastic Security Labs estime que FinalDraft « se cache dans vos brouillons ».
À lire aussi : Cyberattaque russe contre Microsoft – une technique de phishing élaborée piège les utilisateurs
Vol de données et de fichiers
Sur ordre des pirates, il va ensuite voler et envoyer des informations sensibles de l’ordinateur sur le serveur à distance. Le malware vise surtout les fichiers stockés sur le PC, les informations d’identification, et les informations du système. Ces informations incluent « le nom de l’ordinateur, le nom d’utilisateur du compte, les adresses IP internes et externes, ainsi que des détails sur l’exécution des processus », indique le rapport. C’est là que le piège se referme, à l’insu du propriétaire du PC. Selon Elastic Security Labs, le virus prend en charge une trentaine de commandes, dont l’exfiltration de données ou la suppression de fichiers.
Comme l’explique le rapport des chercheurs, il existe une variante de FinalDraft qui s’attaque aux ordinateurs tournant sous Linux. Selon l’enquête menée par les experts, le virus est activement exploité dans le cadre d’une campagne d’espionnage, qui a notamment touché un ministère sud-américain des Affaires étrangères et des entités situées en Asie du Sud-Est. Pour certaines attaques, les pirates ont exploité des vulnérabilités des opérateurs de télécommunications et des fournisseurs d’infrastructures Internet.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Elastic Security Labs
