Des chercheurs ont découvert une nouvelle variante du Logiciel malveillant MidgeDropper qui cible généralement les systèmes Windows. En fait, le logiciel malveillant vise spécifiquement les utilisateurs de PC Windows travaillant à domicile, ce qui indique potentiellement que les attaquants ont l'intention d'exploiter les faiblesses de sécurité qui existent généralement dans les environnements de travail à distance.
Une variante du logiciel malveillant MidgeDropper infecte les utilisateurs de Windows travaillant à domicile
Les chercheurs des laboratoires Fortiguard de Fortinet ont découvert une nouvelle variante du logiciel malveillant MidgeDropper qui cible les appareils Windows. Les acteurs de la menace à l'origine de cette campagne visent apparemment les employés à distance ou les utilisateurs travaillant à domicile pour propager le logiciel malveillant. Ce qui rend cette variante remarquable, ce sont ses fonctionnalités complexes, telles que le sideloading et l'obscurcissement du code.
En bref, l'attaque commence par un fichier d'archive malveillant – celui que les chercheurs ont trouvé s'appelait “!PENTING_LIST OF OFFICERS.rar.” Cette archive contenait deux autres fichiers – un fichier PDF avec une image factice pour bluffer les utilisateurs avec un message d'erreur (portant le nom “Notice to Work-From-Home groups.pdf”) et un exécutable “062023_PENTING_LIST OF SUPERVISORY OFFICERS WHO STILL HAVE NOT REPORT.pdf.exe”. Cet exécutable incluait simplement l'extension “.pdf” dans le nom du fichier pour faire croire aux victimes qu'il s'agissait d'un PDF.
C'est parce que, par défaut, Windows n'affiche pas les noms de fichiers avec des extensions. Ainsi, après avoir prétendument échoué à ouvrir le fichier PDF, l'utilisateur victime cliquerait probablement sur le fichier exécutable, croyant qu'il s'agit d'un autre PDF. Une fois cela fait, l'exécutable télécharge quatre autres fichiers, dont une application “seAgnt.exe” – une copie renommée du Microsoft Xbox Game Bar Full Trust COM Server “GameBarFTServer.exe” – pour le sideloading de la DLL malveillante.
Les chercheurs ont partagé une analyse technique détaillée de cette variante dans leur post. Ils n'ont pas pu analyser les charges utiles finales pour l'instant car ils ont constaté que les maillons suivants de la réaction en chaîne avaient été supprimés.
Le vecteur d'attaque exact n'est pas encore clair – mais il s'agit probablement d'un hameçonnage
Bien que Fortinet ait découvert et analysé le logiciel malveillant en détail, les chercheurs n'ont pas pu identifier le vecteur d'attaque exact. Cependant, compte tenu des fichiers archivés associés à cette attaque qui forment généralement des pièces jointes aux courriels, les chercheurs soupçonnent les courriels d'hameçonnage d'être le vecteur probable.
Pour éviter de telles menaces, les utilisateurs doivent rester prudents lorsqu'ils interagissent avec des courriels ou des messages non sollicités, en particulier ceux qui contiennent des pièces jointes/URL.
En outre, comme cette attaque repose principalement sur les paramètres par défaut de Windows où les extensions de fichiers n'apparaissent pas avec les noms de fichiers, une stratégie clé pour éviter cette attaque et d'autres attaques similaires de logiciels malveillants est d'activer l'affichage des extensions de fichiers dans l'Explorateur Windows. Elle aide les utilisateurs à repérer les fichiers douteux, comme les exécutables, dont les noms de fichiers sont trompeurs et les extensions contradictoires.
Fais-nous part de tes réflexions dans les commentaires.
