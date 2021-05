Arrêtez d’ouvrir les fichiers PDF joints aux e-mails, sauf si vous êtes absolument certain de leur origine et de la personne qui vous les envoie.

Non pas que la plupart d’entre vous ouvraient probablement de telles pièces jointes à des e-mails avec un abandon sauvage auparavant, mais soyez averti: l’équipe de renseignement de sécurité de Microsoft a découvert ce qui ressemble à une attaque de malware Trojan dans le cadre d’une campagne de messagerie «massive» avec une charge utile désagréable – des PDF malveillants , qui télécharge un cheval de Troie d’accès à distance basé sur Java, voleur de mots de passe et d’identifiants, appelé StrRAT. En plus de voler des informations d’identification et même de prendre le contrôle des systèmes, les chercheurs de Microsoft ont également découvert que ce malware pouvait se déguiser en un faux ransomware.

«Lorsqu’il est exécuté sur un système», explique Microsoft dans un fil de tweet sur ce malware particulier, «STRRAT se connecte à un serveur C2. La version 1.5 est nettement plus obscurcie et modulaire que les versions précédentes, mais les fonctions de porte dérobée restent pour la plupart les mêmes: collecter les mots de passe du navigateur, exécuter des commandes à distance et PowerShell, enregistrer les frappes au clavier, entre autres. »

La dernière version du logiciel malveillant STRRAT basé sur Java (1.5) a été diffusée dans le cadre d’une vaste campagne de courrier électronique la semaine dernière. Ce RAT est tristement célèbre pour son comportement de type ransomware qui consiste à ajouter l’extension de nom de fichier .crimson aux fichiers sans les chiffrer réellement. pic.twitter.com/mGow2sJupN – Microsoft Security Intelligence (@MsftSecIntel) 19 mai 2021

Dans un bon résumé des mécanismes de ce malware par Threatpost, la publication note que cette campagne de malware est lancée par des attaquants compromettant des comptes de messagerie pour envoyer plusieurs types d’e-mails, espérant apparemment qu’au moins l’un d’entre eux trouve sa marque. Certains des messages, par exemple, sont accompagnés de la ligne d’objet «Paiements sortants», ce qui peut sembler assez inoffensif pour une personne travaillant dans une petite entreprise. D’autres prétendent provenir du «Département des comptes fournisseurs».

La campagne comprend plusieurs e-mails différents qui utilisent tous l’ingénierie sociale autour des reçus de paiement pour encourager les gens à cliquer sur un fichier joint qui semble être un PDF mais qui a en fait une intention malveillante », poursuit Threatpost.

«Un e-mail informe le destinataire qu’il comprend un« paiement sortant »avec un numéro spécifique – vraisemblablement, le PDF ci-joint. Un autre adresse le message à un “fournisseur” et semble informer le destinataire que “votre paiement a été libéré conformément à l’avis de paiement ci-joint”, en demandant au destinataire de vérifier les ajustements effectués dans le PDF ci-joint. “

Le mécanisme de livraison de ce malware, via les e-mails de phishing, est sans doute une faiblesse, dans la mesure où dans ce cas, il oblige la victime à prendre des mesures pour mettre tout cela en mouvement. Traitez les messages que vous sortez à l’improviste, ainsi que les messages électroniques inattendus, avec le scepticisme qu’ils méritent, en particulier ceux qui nécessitent une sorte de composante financière, d’incitation ou d’action.

Au fait, Microsoft affirme que son Microsoft 365 Defender peut protéger les systèmes contre StrRAT et que la protection basée sur l’apprentissage automatique peut également détecter et bloquer les logiciels malveillants sur les systèmes informatiques.

