JAKARTA - Microsoft a mis en garde ses utilisateurs au sujet d’une attaque de phishing sur le sujet COVID-19, dans lequel les pirates vont envoyer des documents sous la forme de formats Excel malveillants aux gens par e-mail pour accéder à distance.
Inconnu, le système NetSupport Manager est utilisé par les attaquants pour accéder et exécuter des commandes sur des machines télécommandées.
« Nous suivons une campagne massive qui fournit un outil légitime d’accès à distance qui est NetSupport Manager en utilisant des e-mails avec des pièces jointes contenant des fichiers Excel 4.0 malveillants, » l’équipe de renseignement de sécurité de Microsoft a écrit sur Twitter tel que compilé à partir de TechRadar, vendredi 22 mai.
L’entreprise a publié un certain nombre de tweets pour expliquer comment cette cybercriminalité a été réalisée. Les pirates ont envoyé un e-mail prétendant être du Centre Johns Hopkins avec le sujet « OMS COVID-19 RAPPORT DE SITUATION. »
Ces courriels comprennent un fichier Excel qui fournit une représentation graphique des données de mise à jour sur le nombre de décès liés au coronavirus aux États-Unis. Toutefois, en réalité, les cybercriminels utilisent ces pièces jointes Excel malveillantes pour infecter les appareils avec des chevaux de Troie d’accès à distance (RAT).
« Des centaines de fichiers Excel uniques dans cette campagne utilisent des formules très sombres, mais ils sont tous connectés à la même URL pour télécharger la charge utile », a tweeté Microsoft.
NetSupport Manager lui-même est un système d’administration à distance assez couramment utilisé. Si l’application est mal utilisée, il est probable que les pirates pourraient prendre le contrôle à distance de l’appareil.
Microsoft informe qu’il a observé une augmentation drastique de l’utilisation de fichiers Excel 4.0 malveillants au cours des derniers mois. Il a ajouté que le mois dernier, le hack a commencé à approcher les gens en utilisant le thème covid-19.
« Rat NetSupport utilisé dans ce hack a des formats tels que .dll, .ini, et d’autres fichiers .exe, VBScript, et PowerSploit-based PowerSploit scripts qui sont noircis. Il se connecte au serveur C2, ce qui permet à l’attaquant d’envoyer d’autres commandes », a déclaré le créateur de l’OS.
Les développeurs apportent de la magie dans les coulisses pour aider les entreprises à changer rapidement de cap en cas de crise : https://t.co/zO3fXHXLqE pic.twitter.com/nJa6IooEQk
— Microsoft (@Microsoft) 21 mai 2020
Microsoft avait publié en avril dernier des correctifs de sécurité mensuels pour 113 vulnérabilités dans 11 produits, dont trois bogues zero-day. CVE-2020-1020 est l’une des trois vulnérabilités de la bibliothèque Windows Adobe Type Manager qui permettent aux attaquants d’exécuter du code sur les systèmes vulnérables.
Le deuxième bogue zero-day est CVE-2020-0938, permettant aux attaquants d’effectuer des attaques à distance. CVE-2020-1027 est le troisième et se trouve dans le noyau Windows.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)