Phishing : un dangereux virus se cache dans la calculatrice Windows
Une équipe de chercheurs en sécurité vient de découvrir qu'un logiciel malveillant utilise actuellement la calculatrice de Windows 7. On ne sait pas encore si Microsoft a mis à jour Defender pour contrer cette attaque.
Il est devenu assez difficile de forcer les systèmes de sécurité de Windows pour les virus ou les logiciels malveillants. Les personnes malintentionnées qui se cachent derrière toutes les cyberattaques doivent ainsi redoubler d’ingéniosité et de créativité pour mener à bien leurs attaques. Et ces derniers y arrivent malheureusement plutôt bien. C’est de cette manière que des pirates ont par exemple utilisé à plusieurs reprises Microsoft Team, profitant de la confiance aveugle qu’accordent les salariés des entreprises à la plateforme.
Plus récemment, une cyberattaque a utilisé des techniques de proxy HTTPS pour détourner des comptes Office 365, avec des milliers d’entreprises touchées. Désormais, des chercheurs en sécurité viennent de découvrir qu'une campagne de phishing utilise l’application Calculatrice de Windows 7 pour mener à bien son attaque. C'est le média Bleeping Computer qui vient de relayer l'information.
Une attaque de phishing utilise désormais la calculatrice Windows 7
Concrètement et sans rentrer dans des détails trop techniques, voici comment l’attaque se déroule.
- Celle-ci commence par inciter l’utilisateur à télécharger une image de disque ISO déguisée en fichier PDF.
- Cette dernière contient un raccourci qui ouvre une copie incluse dans l’application Calculatrice.
- La calculatrice Windows 7 utilisera les bibliothèques de liens dynamiques (DLL) dans le même dossier.
- L’ouverture de la calculatrice ne déclenche ainsi aucune alarme dans Windows.
- Un fichier qui contient le malware Qbot se charge et ce dernier peut ainsi infecter l’explorateur de fichiers Windows et commencer le vol de données.
#Qakbot – obama201 – html > .zip > .iso > .lnk > calc.exe > .dll > .dll
T1574 – DLL Search Order Hijacking
cmd.exe /q /c calc.exe
regsvr32 /s C:UsersUserAppDataLocalTempWindowsCodecs.dll
regsvr32.exe 7533.dllhttps://t.co/8EI63li9ol
IOC'shttps://t.co/BYhFkccqky pic.twitter.com/PEkfEzLxYv
— proxylife (@pr0xylife) July 14, 2022
À noter également que Microsoft a déjà corrigé cette faille. De ce fait, cette innovante campagne de phishing ne fonctionne pas avec la calculatrice de Windows 10 et Windows 11. Mais il faut tout de même faire attention. Car le fichier malencontreusement téléchargé contient la version de la calculatrice Windows 7, qui utilise cette technique pour attaquer les versions les plus récentes de Windows. Comme dans tous les cas face à des menaces similaires de phishing, il faut donc s'assurer d'avoir un antivirus bien à jour et éviter de télécharger des fichiers à partir de sites web suspects.
À lire aussi : Phishing, des centaines de faux noms de domaine FR déposés, une campagne sans précédent se prépare
Source : bleepingcomputer.com