Une campagne massive de malware orchestrée par le groupe Trickbot est-elle en préparation ? C’est ce que craignent des chercheurs de la société Bromium et Morphisec. Ils ont analysé des dizaines de fichiers Word contenant une macro malveillante et une image contenant du code chiffré. Ce code découvert est une charge en JavaScript baptisée Ostap. En allant plus loin, les experts de Morphisec ont analysé les mêmes documents et ont remarqué que derrière l’image se cachait une classe de contrôle ActiveX en mode RDP (à distance) : MsRdpClient10NotSafeForScripting
Cette classe a été introduite avec Windows 10, précisent les chercheurs. Les attaquants se servent de cette classe pour exécuter la macro malveillante. Les contrôles ActiveX peuvent être ajoutés aux couches de texte et de dessin dans les documents Word pour les rendre interactifs. Les cybercrimels ont réussi par ailleurs à cacher la charge Ostap en lettres blanches dans le contenu, de sorte qu’elle est invisible pour l’œil humain, mais pas pour l’ordinateur.
Autre constatation, ils n’ont pas rempli le champ « serveur » de la classe MsRdpClient10NotSafeForScripting, pour établir une connexion avec un serveur à distance (via RDP). Il ne s’agit pas d’un oubli de la part des attaquants, car l’erreur renvoyée permet d’exécuter ultérieurement le code malveillant, ce qui permet d’éviter la détection. En inspectant la macro, les experts ont découvert que la fonction « _OnDisconnected » est activée en premier, car elle a besoin de temps pour essayer de résoudre le DNS en une chaîne vide et ensuite renvoyer une erreur. Si cette dernière est « disconnectReasonDNSLookupFailed » (260) ; la commande wscript du programme Ostap est concaténée avec une combinaison de caractères dépendant du numéro d’erreur.
Commentaire