Les hackers spécialistes du phishing innovent avec une nouvelle stratégie. Pour échapper aux antivirus, ils se servent désormais de fichiers Microsoft Word corrompus qui vont exploiter une fonctionnalité du logiciel de traitement de texte. Par la suite, ils utilisent un QR code pour voler les identifiants de leurs cibles…
Les cybercriminels ont développé une toute nouvelle tactique de phishing. Les chercheurs en sécurité d’Any.Run se sont en effet rendu compte que les pirates se servent désormais de fichiers Word corrompus pour contourner les mécanismes de sécurité et piéger les utilisateurs. L’offensive repose en grande partie sur la fonction de récupération de fichiers Word de Microsoft.
🚨ALERT: Potential ZERO-DAY, Attackers Use Corrupted Files to Evade Detection 🧵 (1/3)
⚠️ The ongoing attack evades #antivirus software, prevents uploads to sandboxes, and bypasses Outlook’s spam filters, allowing the malicious emails to reach your inboxThe #ANYRUN team… pic.twitter.com/0asnG72Gm9
— ANY.RUN (@anyrun_app) November 25, 2024
Cette fonctionnalité permet de restaurer des documents perdus ou endommagés. Elle est utile en cas de fermeture inattendue du programme, de plantage, de suppression accidentelle ou de corruption du fichier. En s’appuyant sur cette fonction, les hackers ont trouvé le moyen d’entrer sur l’ordinateur des victimes sans alerter les antivirus.
À lire aussi : Microsoft corrige le bug Word qui supprime les documents que vous voulez enregistrer
Contenu illisible et QR Code
Dans un premier temps, les cybercriminels vont contacter la victime par mail. Comme le rapportent nos confrères de Bleeping Computer, les pirates se font passer pour des ressources humaines ou un service de paiement. Les courriels utilisent des thématiques « comme des avantages sociaux et des primes des employés » pour endormir la méfiance des destinataires. Ils joignent un document Word au mail.
Intriguée par la perspective de recevoir de l’argent, la cible va ouvrir la pièce jointe sur son ordinateur. Microsoft Word va directement détecter qu’il s’agit corrompu, ou endommagé. Le logiciel de traitement de texte va prévenir l’utilisateur que « du contenu illisible » a été déniché dans le document. Avec l’accord de la cible, Word va tenter de récupérer le contenu du fichier. Microsoft met en garde l’usager en lui demandant s’il fait « confiance à la source de ce document ». Malheureusement, cet avertissement passe trop facilement inaperçu…
Une fois que Word aura récupéré le fichier, la victime va découvrir un QR Code dans le document. Un texte invite évidemment la cible à scanner ce code avec son smartphone. Celui-ci va ouvrir une page de phishing qui reprend l’interface du site de Microsoft. La page demandera aux utilisateurs de renseigner leurs identifiants et mots de passe pour accéder aux services Microsoft. C’est là que le piège se referme. Les pirates s’emparent des données et peuvent s’en servir pour orchestrer d’autres cyberattaques.
Des antivirus qui tombent dans le piège
En combinant l’utilisation d’un fichier Word corrompu et d’un simple QR Code, les cybercriminels parviennent à berner la plupart des antivirus. En effet, les documents malveillants « restent non détectés par la plupart des solutions de sécurité en raison de l’échec à appliquer les procédures appropriées pour leurs types de fichiers », explique Any.Run sur son compte X. Les pirates « tentent de dissimuler le type de fichier en le corrompant délibérément, ce qui rend difficile sa détection par certains outils de sécurité » :
« Ils ont été téléchargés sur VirusTotal, mais toutes les solutions antivirus ont renvoyé “propre” ou “Élément non trouvé” car elles ne pouvaient pas analyser le fichier correctement ».
Comme toujours, on vous recommande de ne jamais ouvrir un document en pièce jointe envoyé par une adresse mail inconnue. Même si votre antivirus ne réagit pas lors de l’ouverture du fichier, vous risquez de tomber dans un piège. Par ailleurs, on vous rappelle de ne pas scanner un QR Code si vous n’avez pas confiance en l’expéditeu. Ceux-ci peuvent vous rediriger vers des sites malveillants.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.