Les chercheurs en sécurité de Palo Alto Networks font état de l’augmentation en volume d’une forme d’attaque qui vise spécifiquement les machines Windows.

Cette attaque s’effectue en plusieurs étapes.

Dans la première, elle consiste à infecter des fichiers Word avec des macros polluées, associées à des courriels adressés à des employés d’entreprises américaines, européennes et canadiennes. Comme l’explique Palo Alto Networks, les courriels comportent suffisamment d’informations sur la compagnie à laquelle appartiennent ces employés, pour être crédibles et inhiber les réflexes d’auto-protection des destinataires.

Les macros comportent des commandes Powershell, le langage de gestion de tâches associé à Windows, qui s’assurent dans un premier temps de la version Windows sous-jacente, 32 ou 64 bits. Avant de télécharger un autre script Powershell malveillant, qui lui va aller beaucoup plus loin dans l’introspection de la machine infectée.

C’est ainsi qu’il va chercher à savoir si la plate-forme Windows est une machine virtuelle ou physique, si l’utilisateur est une école, un hôpital ou toute autre organisation, en scrutant les caractéristiques du réseau d’appartenance et cherche des mots clés bien précis, l’objectif des malwares étant de cibler des structures financières, qui pratiquent des opérations de ce type, à l’exclusion de toute structure de chercheurs, aussi bien dans le domaine médical que de l’éducation.

Seules les plates-formes qui répondent à ces critères sont visés par un serveur de « command and control » qui agit en « background » et va leur envoyer une DLL qui viendra s’installer en mémoire. Sans passer par un stockage disque.

Et c’est cela qui est « intéressant », pas nouveau, certes, mais dangereux dans la mesure où le malware risque de passer à travers les protections tendues par l’anti-virus de la machine.

Une forme d’attaque assez proche, dite diskless, a été constatée par l’Internet Storm Center » du très connu institut SANS, qui lance l’exécution d’un script Powershell caché, à chaque démarrage de système, stocké dans une clé de registre de la machine. L’objectif de ce script « malin » étant là encore d’importer un autre fichier exécutable directement en mémoire sans passer par les disques.