Les disques durs virtuels se faisant passer pour des fichiers PDF permettent aux pirates informatiques de faufiler les logiciels d’accès à distance à travers les défenses de l’entreprise.
Une campagne de phishing particulièrement insidieuse consiste à dissimuler des logiciels malveillants se faisant passer pour de simples documents PDF derrière des liens vers des disques durs virtuels. Les employés étant habitués à recevoir des bons de commande ou des factures au format PDF, ils sont susceptibles d’ouvrir les fichiers malveillants sans y penser, permettant ainsi au malware qu’ils contiennent – en l’occurrence AsyncRAT, un cheval de Troie d’accès à distance – de prendre le contrôle des ordinateurs de l’entreprise.
Les e-mails de cette campagne de phishing ne joignent pas directement de document mais incluent des liens vers un fichier hébergé sur IPFS (InterPlanetary File System), un réseau de stockage décentralisé de plus en plus utilisé par les cybercriminels car accessible via des passerelles Web normales. Ces fichiers sont des disques durs virtuels qui, une fois ouverts, sont montés en tant que disque local, contournant ainsi certaines fonctionnalités de sécurité de Windows. À l’intérieur du disque se trouve un fichier de script Windows (WSF) censé être le PDF attendu : lorsque l’utilisateur l’ouvre, Windows exécute le code du fichier, laissant ainsi l’ordinateur ouvert à l’exploitation par des utilisateurs distants.
Pour se protéger, les organisations et les utilisateurs de PC doivent configurer Windows pour afficher les extensions de fichiers, a conseillé MalwareBytes Labs dans un article de blog, attribuant à Securonix la découverte de la campagne de malware Dead#Vax.
Cet article a été publié pour la première fois sur Computerworld.
