Le malware Zyklon 

Des chercheurs en sécurité ont repéré une nouvelle opération malveillante dans la nature qui propage un Malware botnet avancé en exploitant au moins trois vulnérabilités récemment révélées dans Microsoft Office.

Historique du Malware Zyklon 

Surnommé « Zyklon », ce logiciel malveillant a refait surface après presque deux ans et a principalement été ciblé sur les télécommunications, l’assurance et les services financiers.
Actif depuis début 2016, Zyklon est un malware botnet HTTP qui communique avec ses serveurs de commandement et de contrôle sur le réseau d’anonymat Tor. Il permet aux attaquants de voler à distance des keylogs, des données sensibles, comme les mots de passe stockés dans les navigateurs web.

Les logiciels malveillants Zyklon sont également capables d’exécuter des plugins supplémentaires, y compris en utilisant secrètement des systèmes infectés pour les attaques DDoS et l’extraction de crypto-monnaie.

Différentes versions du malware Zyklon ont déjà été trouvées sur un marché clandestin populaire pour 75 $ (build normal) et 125 $ (build compatible Tor).

Les trois vulnérabilités de Microsoft Office exploitées par Zyklon

Selon un rapport récemment publié par FireEye, les attaquants derrière l’opération exploitent les trois vulnérabilités suivantes dans Microsoft Office qui exécutent un script PowerShell sur les ordinateurs ciblés pour télécharger la charge utile finale de son serveur C&C.

1. Vulnérabilité RCE .NET Framework (CVE-2017-8759) – cette vulnérabilité d’exécution de code à distance existe lorsque Microsoft .NET Framework traite des données non fiables, permettant à un attaquant de prendre le contrôle d’un système affecté en incitant les victimes à ouvrir un document malveillant spécialement conçu envoyé par e-mail. Microsoft a déjà publié un correctif de sécurité pour cette faille dans les mises à jour de septembre.
2. Vulnérabilité Microsoft Office RCE (CVE-2017-11882) : une faille de corruption de mémoire de 17 ans corrigée par Microsoft lors de la mise à jour de correctif de novembre permet à un attaquant distant d’exécuter du code malveillant sur les systèmes ciblés sans nécessiter d’intervention de l’utilisateur après l’ouverture d’un document malveillant.
3. Dynamic Data Exchange Protocol (DDE Exploit) – Cette technique permet aux pirates d’exploiter une fonctionnalité intégrée de Microsoft Office, appelée DDE, pour exécuter du code sur le périphérique ciblé sans nécessiter l’activation des macros ou la corruption de la mémoire.

Le mode opératoire

Comme expliqué par les chercheurs, les pirates exploitent activement ces trois vulnérabilités pour fournir des logiciels malveillants Zyklon en utilisant des courriels de spear phishing, qui arrivent généralement avec un fichier ZIP attaché contenant un fichier doc Office malveillant.

Une fois ouvert, le fichier doc malveillant équipé de l’une de ces vulnérabilités exécute immédiatement un script PowerShell, qui télécharge finalement la charge utile finale, c’est-à-dire, le malware HTTP Zyklon, sur l’ordinateur infecté.

Comment se protéger ?

Le meilleur moyen de protéger votre organisation contre de telles attaques malveillantes est de :

• Ne pas autoriser les messages entrant avec des pièces jointes de type Office (si possible)
• Mettre en place sur le Firewall un filtre interdisant l’usage d’Anomyzer (possible uniquement avec Webfiltering) 
• Mettre en place sur le Firewall une règle de filtrage pour bloquer les connexions sur les sites C&C (toujours possible) 

Surtout, gardez toujours vos logiciels et systèmes à jour, car les acteurs de la menace intègrent des vulnérabilités récemment découvertes, mais corrigées, dans des logiciels populaires : Microsoft Office dans le cas présent, pour augmenter le potentiel de succès des infections.