En février 2022, Chris Campbell, chercheur en logiciels malveillants, a repéré une nouvelle campagne de phishing utilisant des fichiers texte CSV (valeurs séparées par des virgules) spécialement conçus pour infecter les appareils des utilisateurs avec le cheval de Troie BazarBackdoor. Dans cet article de blog, nous analysons le scénario d'attaque et vous montrons comment prévenir cette attaque sophistiquée grâce à la technologie Deep CDR™(Content Disarm and Reconstruction).
La tactique d'attaque
Dans cette campagne de phishing, les cybercriminels ont utilisé un fichier CSV - un fichier texte délimité qui stocke les données dans un format tabulaire et utilise une virgule pour séparer les valeurs. Ce type de fichier est un moyen courant d'échanger des données simples entre des bases de données et des applications. Comme un fichier CSV contient simplement du texte sans code exécutable, de nombreux utilisateurs pensent qu'il est inoffensif et ouvrent rapidement le document sans précaution. Ils ne se doutent pas que ce fichier peut être un vecteur de menace par lequel des logiciels malveillants peuvent s'introduire sur leurs appareils si le fichier CSV est ouvert avec des applications qui prennent en charge l'échange dynamique de données (DDE), telles que Microsoft Excel et OpenOffice Calc. Ces applications peuvent exécuter les formules et les fonctions contenues dans le fichier CSV. Les auteurs de menaces abusent de cette fonction DDE pour exécuter des commandes arbitraires, qui téléchargent et installent le cheval de Troie BazarBackdoor, afin de compromettre et d'obtenir un accès complet aux réseaux d'entreprise à partir de l'appareil d'une victime non avertie. Par rapport aux approches d'attaque populaires avec une macro malveillante ou un code VBA caché dans un fichier MS Office, les menaces cachées dans les documents DDE sont plus difficiles à détecter.
En examinant attentivement le fichier, nous pouvons voir une commande =WmiC| (Windows Management Interface Command) contenue dans l'une des colonnes de données. Si les victimes autorisent par inadvertance l'exécution de cette fonction DDE, celle-ci créera une commande PowerShell. La commande ouvrira alors une URL distante pour télécharger un BazarLoader et BazarBackdoor sera installé sur la machine de la victime.
Comment la technologie Deep CDR™ vous aide à vous défendre contre les attaques DDE
Vous pouvez protéger votre réseau contre ces campagnes de phishing sophistiquées en nettoyant les fichiers joints aux e-mails avant qu'ils n'atteignent vos utilisateurs. Partant du principe que chaque fichier représente une menace potentielle et mettant l'accent sur la prévention plutôt que sur la simple détection, la technologie Deep CDR™ supprime tout contenu actif dans les fichiers tout en conservant leur facilité d'utilisation et leurs fonctionnalités. La technologie Deep CDR™ est l'une des six technologies clés de MetaDefender la plateforme avancée de prévention des menaces OPSWATqui adhère pleinement à la philosophie Zero Trust.
Vous trouverez ci-dessous les détails de la désinfection après avoir traité le fichier CSV infecté avec MetaDefender Core vous pouvez également consulter le résultatde l'analyse sur MetaDefender Cloud). La technologie Deep CDR™ a neutralisé la formule dans le fichier, de sorte qu'aucune commande PowerShell n'a été créée. Le logiciel malveillant n'a donc pas pu être téléchargé.
Dans des attaques similaires, les auteurs de menaces utilisent des formules plus complexes pour échapper à la détection. Normalement, les formules dans MS Excel commencent par un signe égal (=). Toutefois, comme cette application accepte également les formules commençant par un signe différent, tel que "=+" ou "@", au lieu de "=", la formule destructrice dans les fichiers CSV peut être la suivante :
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Ce type de formules peut échapper à certains systèmes CDR courants. Cependant, la technologie Deep CDR™ peut facilement gérer cette tactique et produire des fichiers propres et sûrs à consommer, neutralisant ainsi la menace.
Apprenez-en davantage surla technologie Deep CDR™ ou discutez avec un expert OPSWAT afin de découvrir les meilleures solutions de sécurité pour protéger votre réseau d'entreprise et vos utilisateurs contre les attaques zero-day et les logiciels malveillants avancés et furtifs.
