Au cours de ces derniers mois nous avons pu constater que les vagues de malspam sont de plus en plus sophistiquées. Un nouveau mode opératoire, plus élaboré que les précédents, a été identifié cet été et mérite le détour.

Tout a été étudié dans le moindre détail pour piéger l’utilisateur et tromper sa vigilance, d’une part en lui faisant croire en la légitimité de l’email et d’autre part en l’incitant à ouvrir les pièces jointes. Il s’agit d’une attaque ciblée ressemblant à un email de phishing, et suffisamment personnalisée pour passer pour un mail légitime alors qu’en réalité il contient un malware. Contrairement à du malspam ordinaire, cette attaque n’est ni envoyée massivement, ni sur une longue période, toutefois nous constatons que cette méthode réapparaît de façon régulière, avec ou sans variante.

Ce mode opératoire est plus difficile à détecter puisqu’il permet de ne pas attirer l’attention et de passer entre les mailles de la plupart des solutions de protection de la messagerie. Regardons en détail le mode opératoire élaboré et les différents éléments mis en œuvre pour successivement rassurer l’utilisateur, l’inciter à ouvrir la pièce jointe, déclencher l’exécution du malware et masquer ce dernier aux yeux des outils d’analyse des mails.

 

Analyse de l’email

Analyse email complexe

La première partie du mail consiste à nous mettre en confiance en essayant de faire croire qu’un contact a déjà préalablement été établi. En effet le sujet du mail comporte un « Fw » qui a pour objectif de rassurer le lecteur et lui faire croire à la suite d’une discussion préalablement entamée.

La seconde partie incite à ouvrir les documents en pièces jointes et demande quelques informations pour crédibiliser le scénario.

La dernière partie donne des informations sur l’expéditeur du mail. Nous avons un nom, un prénom, son poste, une adresse, un numéro de téléphone et un fax pour nous mettre encore plus en confiance.

Pièces jointes

FichierSHA256VirusTotalVirusBay
order.pdf10dbc14d9b722129067030a6934cb6b252fcff97aaadb5190d26bc5fbbc6c96a

Lien

Lien

order.docx2f9b3c53028b1997415831e340ee5467aa47201c3e4dc33d449c486fb038da99

Lien

Lien

 

Analyse des pièces jointes

Il est plutôt rare d’avoir 2 pièces jointes dans un malspam. En règle générale, les malspam sont moins complexes, ils contiennent peu de texte et une seule pièce jointe.

Étudions ces deux fichiers pour comprendre le déroulement de l’attaque.

Analyse du fichier ‘order.pdf’

analyse fichier pdf corrompu

Le fichier PDF, une fois ouvert, est vide. Un message d’Adobe Acrobat Reader nous indique que l’exécution du JavaScript est désactivée et que son activation peut entraîner d’éventuels problèmes. Par défaut, l’exécution de code JavaScript est désactivée lors de l’installation d’Adobe Acrobat Reader ; l’utilisateur peut toutefois modifier ce comportement dans les paramètres de l’application. Le cas échéant, le code JavaScript est directement exécuté, sans que le moindre message d’alerte ne soit affiché.

Que se passe-t-il si nous activons l’exécution du code JavaScript ? Analysons dans un premier temps le fichier.

Le format PDF est en quelque sorte un format à balises, il est donc tout à fait possible d’ouvrir les fichiers PDFs avec un éditeur de texte.

À l’intérieur de celui-ci plusieurs parties sont intéressantes :

Analyse code corruption

La ligne 9 nous indique que le fichier contient un autre fichier qui se nomme ‘jon001.docx’ et ses données sont dans l’objet ‘7 0’.

La ligne 10 permet de déterminer qu’une action va être effectuée lors de l’ouverture du fichier. L’action qui sera effectuée se trouve dans l’objet ‘9 0’. Voici son contenu :

Analyse code fichier corrompu

L’objet contient des mots clés ‘/Action’, ‘/S /JavaScript’ et ‘/JS’ qui indiquent que du code JavaScript va être exécuté. Ici, le code JavaScript va ouvrir le fichier ‘jon001.docx’ qui est contenu dans le PDF.

Il se trouve que le fichier ‘jon001.docx’ est le même que le fichier order.docx présent dans le mail.

FichierSHA256VirusTotalVirusBay
jon001.docx2f9b3c53028b1997415831e340ee5467aa47201c3e4dc33d449c486fb038da99

Lien

Lien

 

Vérifions ce qu’il se passe lors de l’activation du JavaScript (cette action n’est pas recommandée).

ouvrir fichier corrompu

 

Nous savons à présent que si nous ouvrons le fichier PDF ou le fichier docx en pièce jointe le résultat sera le même, à savoir, l’ouverture du fichier docx. La présence de deux pièces jointes menant au même résultat multiplie les chances de réussite de l’attaque.

Analyse du fichier ‘order.docx’

Comme pour le fichier PDF, le fichier docx est vide et nous propose d’activer une modification… Analysons-le dans un premier temps comme pour le fichier PDF.

Le format OOXML a été introduit avec Microsoft Office 2007 et est devenu le format par défaut depuis. Les fichiers OOXML (docx, xlsx, pptx) sont des archives ZIP, il est donc possible de faire une extraction sur un fichier pour voir son contenu.

L’image ci-dessous représente le contenu du fichier ‘order.docx’ après son extraction.

 

Le fichier ‘document.xml’ donne une information importante sur l’action que va réaliser le document si la modification est activée.