Skip to main content

Ce malware est une raison supplémentaire de détester les présentations PowerPoint

Microsoft PowerPoint
(Crédit photo: Vladimka production / Shutterstock)

Selon les experts en cybersécurité de la société Trustwave, nos messageries électroniques seraient actuellement à la merci d’un malware sournois : LokiBot. Ce dernier se dissimulerait en effet à l’intérieur de fichiers Microsoft PowerPoint envoyés en pièces jointes. Ou plus précisément au sein de macros malveillantes, présentes dans lesdits fichiers.

Une procédure qui n'a rien d’inhabituel en soi, et qui parvient généralement à être contrée par tout bon antivirus à jour. Toutefois aujourd’hui, LokiBot échapperait astucieusement aux outils de détection les plus performants. Ce grâce à une modification des noms de domaines suspects et insérés dans les macros, de telle sorte que la charge utile demeure invisible.

Comment un simple fichier Powerpoint peut infecter votre ordinateur ?

A vrai dire, d’après Trustwave, la série de noms de domaines utilisés dans cette campagne d’infection sont déjà connus et recensés dans la totalité des bases de données virales. Cependant, les hackers employant LokiBot sont parvenus à les filtrer, trompant à la fois la victime et les filtres de sécurité éventuellement en place. Comment ? Tout simplement en abusant de la syntaxe standard des identifiants uniformes de ressource (URI qui désigne à la fois les liens et les noms de domaine), ce qui permet de passer sous le radar des antivirus pensant avoir affaire à un code classique.

L'ouverture et la fermeture du fichier PowerPoint infecté activent la macro malveillante, lançant une URL via le binaire Windows "mshta.exe", qui lui-même redirige vers un VBScript hébergé sur Pastebin, un service de stockage de documents textuels en ligne.

Ce script contient une deuxième URL, qui inscrit un téléchargeur PowerShell dans le registre, déclenchant le téléchargement et l'exécution de deux autres URL - également à partir de Pastebin. L'un d'eux charge un injecteur DLL, qui est ensuite utilisé pour infecter la machine avec un échantillon de logiciel malveillant LokiBot dissimulé dans l'URL finale.

Ce processus peut sembler excessivement compliqué, il repose pourtant sur une architecture très simple qui passe les contrôles uniquement grâce à une illusion.

TechRadar Pro a demandé plus de précisions à Trustwave concernant la méthode à adopter pour anticiper et/ou éliminer ce type de menaces. Ainsi que la liste des solutions anti-malwares les plus adaptées pour faire face au problème LokiBot. Nous mettrons à jour cet article dès réception de leurs recommandations.