Cyberattaques alimentées par l'IA : Comment détecter, prévenir et se défendre contre les menaces intelligentes

Lire la suite
Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.
Domicile/ Blog / Infection par le logiciel malveillant BazarBackdoor à l'aide d'un texte CSV...
Nouvelles de l'industrie

Infection par le logiciel malveillant BazarBackdoor utilisant des fichiers texte CSV - Comment l'éviter ?

par Ngoc Nguyen, Responsable marketing
Partager cet article

En février 2022, le chercheur en logiciels malveillants Chris Campbell a repéré une nouvelle campagne de phishing utilisant des fichiers texte CSV (valeurs séparées par des virgules) spécialement conçus pour infecter les appareils des utilisateurs avec le cheval de Troie BazarBackdoor. Dans cet article de blog, nous analysons le scénario de l'attaque et nous vous montrons comment prévenir cette attaque sophistiquée grâce aux outils suivants Deep CDR (Désarmement et reconstruction du contenu).

La tactique d'attaque

Dans cette campagne de phishing, les cybercriminels ont utilisé un fichier CSV - un fichier texte délimité qui stocke les données dans un format tabulaire et utilise une virgule pour séparer les valeurs. Ce type de fichier est un moyen courant d'échanger des données simples entre des bases de données et des applications. Comme un fichier CSV contient simplement du texte sans code exécutable, de nombreux utilisateurs pensent qu'il est inoffensif et ouvrent rapidement le document sans précaution. Ils ne se doutent pas que ce fichier peut être un vecteur de menace par lequel des logiciels malveillants peuvent s'introduire sur leurs appareils si le fichier CSV est ouvert avec des applications qui prennent en charge l'échange dynamique de données (DDE), telles que Microsoft Excel et OpenOffice Calc. Ces applications peuvent exécuter les formules et les fonctions contenues dans le fichier CSV. Les auteurs de menaces abusent de cette fonction DDE pour exécuter des commandes arbitraires, qui téléchargent et installent le cheval de Troie BazarBackdoor, afin de compromettre et d'obtenir un accès complet aux réseaux d'entreprise à partir de l'appareil d'une victime non avertie. Par rapport aux approches d'attaque populaires avec une macro malveillante ou un code VBA caché dans un fichier MS Office, les menaces cachées dans les documents DDE sont plus difficiles à détecter.

En examinant attentivement le fichier, nous pouvons voir une commande =WmiC| (Windows Management Interface Command) contenue dans l'une des colonnes de données. Si les victimes autorisent par inadvertance l'exécution de cette fonction DDE, celle-ci créera une commande PowerShell. La commande ouvrira alors une URL distante pour télécharger un BazarLoader et BazarBackdoor sera installé sur la machine de la victime.

Capture d'écran montrant des valeurs séparées par des virgules avec la commande Windows Managment Interface dans les données

Comment Deep CDR vous aide à vous défendre contre les attaques DDE

Vous pouvez protéger votre réseau contre ces campagnes d'hameçonnage sophistiquées en nettoyant les fichiers joints aux courriels avant qu'ils n'atteignent vos utilisateurs. En partant du principe que chaque fichier représente une menace potentielle et en se concentrant sur la prévention plutôt que sur la simple détection, Deep CDR supprime tout le contenu actif des fichiers tout en conservant leur convivialité et leur fonctionnalité. Deep CDR est l'une des six technologies clés de MetaDefender - la plateforme de prévention des menaces avancée de OPSWATqui adopte véritablement la philosophie "Zero Trust" (confiance zéro).

Vous trouverez ci-dessous les détails de l'assainissement après avoir traité le fichier CSV infecté avec MetaDefender Core (vous pouvez également vous référer au résultat de l'analyse sur MetaDefender Cloud). Deep CDR a neutralisé la formule dans le fichier de sorte qu'aucune commande PowerShell n'a été créée. Le malware n'a donc pas pu être téléchargé.

Capture d'écran de OPSWAT MetaDefender Core détectant le virus et le bloquant.

Dans des attaques similaires, les auteurs de menaces utilisent des formules plus complexes pour échapper à la détection. Normalement, les formules dans MS Excel commencent par un signe égal (=). Toutefois, comme cette application accepte également les formules commençant par un signe différent, tel que "=+" ou "@", au lieu de "=", la formule destructrice dans les fichiers CSV peut être la suivante :

=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")

Capture d'écran de formules Microsoft Excel malveillantes dans une feuille de calcul
Un texte en CSV devient un lien cliquable dans Excel

Ces types de formules peuvent échapper à certains systèmes CDR courants. Cependant, Deep CDR peut facilement gérer cette tactique et produire des fichiers propres et sûrs à consommer, neutralisant ainsi la menace.

En savoir plus sur Deep CDR ou parlez à un expert technique OPSWAT pour découvrir les meilleures solutions de sécurité pour protéger votre réseau d'entreprise et vos utilisateurs contre les attaques de type "zero-day" et les logiciels malveillants évasifs avancés.

Tags :

Derniers messages

S'inscrire à la lettre d'information OPSWAT

Obtenez les dernières mises à jour de la société OPSWAT ainsi que des informations sur les événements et les nouvelles qui font avancer l'industrie OPSWAT les nouvelles qui font avancer l'industrie.
Signez-moi

Suivez-nous sur les réseaux sociaux Media

Suivez OPSWAT sur LinkedIn, Facebook, Twitter et YouTube pour en savoir plus !

Restez à jour avec OPSWAT!

Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise, de l'entreprise, des histoires, des informations sur les événements, et plus encore.
S'abonner