Avvxsejyuplujczm Ioi 2W8Oco67Vrs3Dkyhbn9Uyv27Yudw18Dhuv8Jxfx9Jdvqyw6Fczwj 3Eqktewaog S6Nigko Jbv77Wql46Sxyesgmqxc5G2Hiffr11Hgm

Un nouvel acteur de la menace iranien a été découvert en exploitant une faille critique désormais résolue dans la plate-forme Microsoft Windows MSHTML pour cibler les victimes parlant le farsi avec un nouveau voleur d’informations basé sur PowerShell conçu pour récolter de nombreux détails sur les machines infectées.

« [T]Le voleur est un script PowerShell, abrégé avec de puissantes capacités de collecte – en seulement environ 150 lignes, il fournit à l’adversaire de nombreuses informations critiques, notamment des captures d’écran, des fichiers Telegram, une collecte de documents et des données complètes sur l’environnement de la victime », chercheur SafeBreach Labs Barre de Tomer mentionné dans un rapport publié mercredi.

Sauvegardes Automatiques Github

Près de la moitié des cibles proviennent des États-Unis, la société de cybersécurité notant que les attaques visent probablement « des Iraniens qui vivent à l’étranger et pourraient être considérés comme une menace pour le régime islamique iranien ».

La campagne de phishing, qui a débuté en juillet 2021, impliquait l’exploitation de CVE-2021-40444, une faille d’exécution de code à distance qui pourrait être exploitée à l’aide de documents Microsoft Office spécialement conçus. La vulnérabilité a été corrigée par Microsoft en septembre 2021, des semaines après que des rapports d’exploitation active aient émergé dans la nature.

Avvxseghnbymecpjc8Cwgxlylkrdnkgh6K5L2Wpl2Un8Tsn4Ogwoqxswam4Wosd9D7Rutlnpfn59Z11Rrxwtc3Zra4Tu 3Rpzvcb0Co59Ndnhygmpe6L38Tx8Y

« Un attaquant pourrait créer un contrôle ActiveX malveillant à utiliser par un document Microsoft Office qui héberge le moteur de rendu du navigateur. L’attaquant devrait alors convaincre l’utilisateur d’ouvrir le document malveillant. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système pourrait être moins impacté que les utilisateurs qui opèrent avec des droits d’administrateur », avait noté le fabricant de Windows.

Publicité

La séquence d’attaque décrite par SafeBreach commence par la réception par les cibles d’un e-mail de spear-phishing accompagné d’un document Word en pièce jointe. L’ouverture du fichier déclenche l’exploit pour CVE-2021-40444, entraînant l’exécution d’un script PowerShell surnommé « PowerShortShell » capable de survoler des informations sensibles et de les transmettre à un serveur de commande et de contrôle (C2).

Prévenir Les Violations De Données

Alors que des infections impliquant le déploiement du voleur d’informations ont été observées le 15 septembre, un jour après que Microsoft a publié des correctifs pour la faille, le serveur C2 susmentionné a également été utilisé pour collecter les informations d’identification Gmail et Instagram des victimes dans le cadre de deux campagnes de phishing organisées par le même adversaire en juillet 2021.

Le développement est le dernier d’une série d’attaques qui ont capitalisé sur la faille du moteur de rendu MSTHML, Microsoft ayant précédemment divulgué une campagne de phishing ciblée qui abusait de la vulnérabilité dans le cadre d’une campagne d’accès initiale pour distribuer des chargeurs personnalisés Cobalt Strike Beacon.


Rate this post
Publicité
Article précédent11 astuces avancées de l’assistant dont vous devriez vraiment vous souvenir sur Android
Article suivantLes AirPods et AirPods Pro d’Apple bénéficient actuellement d’une réduction de plus de 20 % avec ces offres du Black Friday
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici