Le cheval de Troie Asruex exploite des failles d’Office et d’Adobe

by chebbi abir

Le cheval de Troie Asruex exploite d’anciennes failles sur les suites Microsoft Office ou Adobe. Et met en lumière un problème de mise à jour à grande échelle.

Une variante d’Asruex qui utilise spécifiquement les anciennes vulnérabilités de Microsoft Office et des suites Adobe pour infecter les systèmes a été repérée par les chercheurs. Asruex est apparu pour la première fois en 2015. À l’origine, le cheval de Troie utilisait des fichiers de raccourcis malveillants, envoyés aux organisations, qui téléchargeaient un compte-gouttes pour la charge utile Asruex cachée dans un fichier image pour compromettre les réseaux d’entreprise.

Le malware a déjà été associé à DarkHotel, un groupe de pirates connu pour cibler le secteur de l’hôtellerie et des services. Ces cybercriminels utilisent une large gamme de techniques d’attaque, y compris l’utilisation abusive de certificats volés, l’utilisation de fichiers.HTA et l’infiltration des réseaux Wi-Fi des hôtels.  Jeudi, des chercheurs de Trend Micro ont déclaré que la nouvelle variante Asruex, découverte dans les fichiers.PDF malveillants utilisés dans les campagnes de phishing, utilise les bugs CVE-2012-0158 et CVE-2010-2883.

CVE-2012-0158 est un bug critique qui affecte Microsoft Office. Signalée en 2012, la vulnérabilité peut être exploitée pour mener des attaques d’exécution de code à distance (RCE) via la corruption de l’état système.  CVE-2010-2883 s’impose pour sa part comme une faille de sécurité encore plus ancienne révélée en 2010, qui fonctionne via un problème de débordement de tampon de pile Adobe Reader et Acrobat qui peut être utilisé pour exécuter un code arbitraire ou provoquer une attaque par déni de service.

Une exploitation de failles vieilles de plus de cinq ans

Asruex exploite ces vulnérabilités pour compromettre les systèmes utilisant les anciennes versions du logiciel sur les machines Windows et Mac, bien que des correctifs soient disponibles depuis des années.  “En raison de cette capacité d’infection unique, les chercheurs en sécurité pourraient ne pas envisager de vérifier les fichiers pour une infection Asruex et continuer à surveiller exclusivement ses capacités de porte dérobée”, explique Trend Micro.

L’échantillon de fichier PDF n’était pas, en soi, malveillant, mais plutôt porteur d’une infection Asruex. Si ouvert par une ancienne version de Reader et Acrobat, le contenu du fichier s’affiche normalement mais le logiciel malveillant commence à s’exécuter en arrière-plan. Les fichiers Word infectés agiront de la même manière. Asruex peut également apparaître comme un exécutable standard. Une fois exécuté sur un système cible, Asruex vérifiera les données du système, y compris les processus en cours d’exécution, les versions des modules, les noms de fichiers et certaines chaînes de caractères dans les noms de disque pour vérifier si le malware fonctionne ou non dans un environnement sandbox.

Si le PC réussit ces vérifications, la porte dérobée du logiciel malveillant est installée et le vol de données peut commencer. Asruex peut également être utilisé pour une surveillance continue et secrète. “Ce cas se distingue par l’utilisation de vulnérabilités découvertes (et corrigées) il y a plus de cinq ans, alors que nous voyons cette variante de malware dans la nature depuis seulement un an “, explique Trend Micro. “Cela indique que les cybercriminels qui l’ont conçu ont conçu la variante en sachant que les utilisateurs n’ont pas encore patché ou mis à jour les versions les plus récentes des logiciels Adobe Acrobat et Adobe Reader.

Un nouveau cheval de Troie, découvert par les chercheurs de Zscaler ThreatLabZ, a également récemment fait le tour du monde. Plus tôt ce mois-ci, l’équipe a déclaré que la nouvelle souche de logiciels malveillants, surnommée Saefko, est vendue dans des forums clandestins et contient une gamme d’outils pour le vol de coordonnées bancaires, de comptes de jeu en ligne et de portefeuilles de cryptomonnaies.

 

Pour en savoir plus:https://www.zdnet.fr/actualites/le-cheval-de-troie-asruex-exploite-des-failles-d-office-et-d-adobe-39889495.htm?utm_term=Autofeed&utm_medium=Social&utm_source=Twitter#Echobox=1566813763

Top

Interdit de copier  ce contenu