Des documents PDF touchés des nouveaux par des cyberattaques

0

Proofpoint a découvert une nouvelle campagne d’attaques et détaille l’abus de l’objet DeepLink dans les fichiers SettingContent-ms intégrés dans les documents PDF pour distribuer FlawedAmmyy RAT.

Les chercheurs attribuent cette campagne particulière à TA505, un acteur financièrement motivé responsable de Dridex, Locky et d’autres campagnes massives au cours des dernières années. Les cybercriminels, qu’ils soient bien établis comme TA505 ou plus récents dans le système, adoptent rapidement de nouvelles techniques de cyberattaques lorsque les auteurs de logiciels malveillants publient de nouvelles preuves de faisabilité comme DeepLink. Bien que toutes ces approches ne gagnent pas en popularité, d’autres peuvent devenir des moyens réguliers pour les acteurs de la menace d’exploiter le facteur humain.

Dans ce cas précis, TA505 agit en tant que précurseur en adaptant la technique DeepLink à une attaque basée sur PDF livrée à grande échelle.

Comment fonctionne cette campagne ?

Les experts de Proofpoint ont d’abord observé un acteur incorporant SettingContent-ms dans un PDF le 18 juin. Cependant, le 16 juillet, ils ont noté une campagne particulièrement volumineuse avec des centaines de milliers de messages essayant de fournir des pièces jointes PDF avec un fichier SettingContent-ms intégré. Les messages de la campagne utilisaient un leurre simple demandant à l’utilisateur d’ouvrir le fichier PDF joint.

dlf1

Figure 1: Exemple de message utilisé pour fournir le fichier PDF malveillant

Lorsqu’il est ouvert, Adobe Reader affiche une invite d’avertissement demandant à l’utilisateur s’il souhaite ouvrir le fichier, car il tente d’exécuter le fichier “downl.SettingContent-ms” intégré via JavaScript. Cette invite s’affiche pour tout format de fichier incorporé dans un fichier PDF et n’est pas provoquée par le fichier SettingContent-ms lui-même (Figure 2).

dlf2

Figure 2: Adobe Reader présentant à l’utilisateur une invite pour ouvrir le fichier SettingContent-ms

Si la victime visée clique sur l’invite “OK” pour ouvrir le fichier, Windows exécute alors le fichier SettingContent-ms et la commande PowerShell contenue dans l’élément “DeepLink” (Figure 3), ce qui entraîne le téléchargement et l’exécution du FlawedAmmyy RAT.

dlf3

Alors que l’abus de l’objet DeepLink dans les fichiers SettingContent-ms a déjà été communiqué concernant des documents Microsoft Word, il s’agit de la première occurrence documentée avec des fichiers incorporés dans des PDF. Les chercheurs de Proofpoint restent en veille et continuent de surveiller la façon dont les acteurs de la menace utilisent cette approche dans les semaines à venir.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply