FinalDraft : un malware qui utilise des brouillons d’e-mails Outlook pour communiquer !
Le nouveau logiciel malveillant FinalDraft présente la particularité de détourner le service Outlook et de communiquer avec des brouillons d'e-mails ! Comment fonctionne-t-il ? Quels sont les risques ? Voici ce que vous devez savoir.
Un nouveau rapport publié par Elastic Security Labs met en avant une série d'attaques basée sur l'utilisation de plusieurs menaces. Parmi elles, il y a PathLoader, ainsi que FinalDraft, une porte dérobée qui abuse d'Outlook. Il est utilisé par les attaquants pour établir des communications furtives dans le but d'exfiltrer des données, d'injecter des processus et d'effectuer des déplacements latéraux.
Ce malware communique grâce à des e-mails en brouillon
L'attaque commence par PathLoader, qui se présente sous la forme d'un exécutable malveillant. Son objectif est bien identifié : être exécuté sur la machine de la victime pour télécharger le malware FinalDraft à partir des serveurs pilotés par les cybercriminels.
Une communication via l'API Microsoft Graph du service Outlook est alors établie par FinalDraft "Le jeton Microsoft Graph API est obtenu par FinalDraft à l'aide du point de terminaison https://login.microsoftonline.com/common/oauth2/token.", précise les chercheurs d'Elastic Security Labs. D'un point de vue des attaques, cette méthode permet de rendre le trafic légitime.
Il envoie et reçoit des ordres par l'intermédiaire des e-mails en brouillons, selon le processus suivant qui représente la boucle de communication du malware :
- Créer un e-mail en brouillon pour la session de communication, s'il n'existe pas déjà.
- Lire puis supprimer les e-mails en brouillon créés par le serveur C2.
- Exécuter les commandes
- Rédiger des e-mails en brouillon pour publier une réponse à chaque commande traitée.
FinalDraft enregistre 37 appels de commandes, dont la plupart des capacités tournent autour de l'injection de processus, de la manipulation de fichiers et des capacités de proxy réseau.", peut-on lire dans le rapport. Il y a également des capacités pour exfiltrer des données, réaliser certaines attaques comme Pass-the-Hash et exécuter du code PowerShell sans utiliser le processus powershell.exe.
Il est important de noter que FinalDraft n'est pas limité à Windows. Les chercheurs en sécurité ont également observé une variante compatible avec Linux.
Quelles sont les cibles ?
Les cas d'attaques observés par Elastic Security Labs concernent le ministère des Affaires étrangères d'un pays d'Amérique du Sud, ainsi que des tentatives similaires en Asie du Sud-Est.
"Fin novembre 2024, Elastic Security Labs a observé une série d'alertes comportementales au niveau du ministère des Affaires étrangères d'un pays d'Amérique du Sud.", peut-on lire.
