Phishing : les pirates utilisent des fichiers Word corrompus pour tromper les solutions de sécurité !
Phishing : une nouvelle attaque exploite la fonction de récupération de fichiers de Word et des documents volontairement corrompus pour tromper les solutions de sécurité présentes sur les machines Windows. Faisons le point sur cette menace.
Une fois de plus, les cybercriminels ne manquent pas d'ingéniosité. La société Any.Run a fait la découverte d'une nouvelle campagne de phishing au sein de laquelle les pirates exploitent des documents Word, ajoutés en tant que pièces jointes aux e-mails. Jusque-là, rien d'anormal, me direz-vous. La particularité de ces fichiers Word, c'est qu'ils ont été volontairement corrompus par les attaquants afin de ne pas être analysé par les solutions de sécurité.
Les pirates utilisent des noms bien spécifiques pour les documents Word, afin de faire croire qu'il provient du service comptabilité ou des ressources humaines, en évoquant des avantages et des primes pour les salariés. Voici quelques noms de fichiers identifiés par les chercheurs d'Any.Run :
Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx
Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.binUn document Word corrompu, qui ne l'est pas réellement
Quand l'utilisateur ouvre le document, Word l'informe que le document est corrompu et que le contenu est illisible. Le logiciel de Microsoft propose aussi à l'utilisateur de tenter de récupérer du contenu à partir de ce document. La victime, qui a très envie de connaître le montant de sa prime à ce moment-là, va surement cliquer sur "Oui".
Word, sans trop de difficultés, et c'est ce que souhaitent les attaquants, parvient alors à récupérer l'intégralité du document. Le document contient alors un QR code que l'utilisateur est invité à saisir avec son smartphone. Pour rassurer les utilisateurs, les attaquants personnalisent les documents, notamment pour inclure le logo de l'entreprise prise pour cible. L'exemple ci-dessous illustre la campagne ciblant le journal Daily Mail.
Si l'utilisateur scanne le QR code, il est redirigé vers une fausse page de connexion Microsoft 365. Elle est conçue de façon à voler les identifiants de l'utilisateur.
Cette technique utilisée par les pirates perturbe les solutions de sécurité, car elles se retrouvent à devoir analyser un fichier Word qui, de base, n'est pas lisible. "Ils ont été téléchargés sur VirusTotal, mais toutes les solutions antivirus ont renvoyé la mention "clean" ou "Item Not Found", car elles n'ont pas pu analyser le fichier correctement.", précise Any.Run en évoquant les documents Word.
Ce qu'il faut comprendre également, c'est que le document Word ne contient aucun code malveillant : ce qui aide également à passer les systèmes de détection. Le seul élément dangereux, c'est le QR code. Méfiez-vous, même si vous attendez une prime pour Noël, gardez vos bons réflexes.
