Les pirates informatiques utilisent des PDF pour affecter des ordinateurs
Côté ingéniosité, la cybercriminalité a toujours su s’illustrer d’une manière ou d’une autre.
En particulier s’il faut trouver de nouvelles méthodes pour s’infiltrer dans les terminaux informatiques de leur cible. Pour propager les programmes informatiques, on apprend toujours la découverte de nouvelles pratiques que les pirates informatiques mettent en œuvre pour contourner les mesures de sécurité. Aujourd’hui nous allons parler d’une qui a été découverte récemment par la société de sécurité informatique HP Wolf security.
Cet article va aussi vous intéresser : Et si le PDF crypté n’était pas si sécurisé que cela ?
Les spécialistes de cette société ont découvert une nouvelle méthode qui utilise un programme malveillant particulier basé sur l’utilisation de fichiers PDF.
À ce niveau, il semblerait que ce n’est pas seulement les ordinateurs qui sont ciblés par cette nouvelle compagne. D’une certaine manière, elle peut aussi affecter directement les smartphones. À ce stade de l’imagination des pirates informatiques est assez impressionnante.
Dans notre cas par exemple, les cybercriminels ont décidé de s’attaquer à un espace qui n’est pas du tout habituel en tenant compte de pratique moderne de piratage informatique. Il cible le gestionnaire des événements du système d’exploitation de l’appareil ciblé.
Ce genre de pratique est assez exceptionnel quand on sait qu’il contourne toutes les mesures de sécurité qui ont été établies et qui n’ont pas changé pour vérifier ses détails. Cela est similaire dans le cadre de l’iPhone par exemple où il a été démontré qu’il est possible de le pirater lorsqu’il est éteint, notamment en exploitant le fameux « lower power mode ».
Le 23 mai 2022, les chercheurs en sécurité informatique de la société spécialisée HP Wolf security mettent en évidence la campagne qui utilise les PDF pour propager des logiciels malveillants.
La particularité des documents en format PDF c’est qu’il attire rarement l’attention au niveau de la sécurité. Lorsqu’il s’agit de ce format on se dit automatiquement que ce sont des textes. Par conséquent, on prend moins de précautions et on est même tenté de le partager ou de l’ouvrir immédiatement, en particulier lorsqu’on le reçoit par email.
Dans notre cas d’excès les pirates informatiques essaient d’usurper l’identité de certaines institutions comme des hôpitaux par exemple. Il prétexte le remboursement de certains frais médicaux ou tout autre chose en rapport. Lorsque la victime croit qu’elle va toucher de l’argent, elle est bien évidemment tentée d’ouvrir le fichier PDF pour comprendre le contenu.
Le plus souvent ce sont les fichiers Word ou Excel qui sont jugés comme étant suspects lorsqu’on les reçoit par email. Mais pas pour le PDF. Les gens ont tendance à ne pas véritablement être suspicieux à ce niveau. Mais dans le PDF envoyé par les cyber criminels il est contenu un autre document Word. Dès l’instant que le fichier PDF s’ouvre, la personne ciblée est automatiquement invitée à ouvrir le document Word concerné.
« Le message indique que le fichier a été vérifié. Toutefois, les fichiers PDF, jpeg, xlsx, docx peuvent contenir des programmes, des macros ou des virus », soulignent les experts de HP Wolf Security.
Le fichier Word suivant contient un script malveillant. Lorsqu’il est téléchargé, il déploie un fichier en format RTF depuis un emplacement distant. Les pirates peuvent alors exécuter le programme malveillant.
Cette pratique puise sa source dans l’exploitation d’une faille qui existe depuis 2017.
« Les pirates exploitent une faille de 2017. Le cadeau est plutôt empoisonné puisque ce fichier va alors télécharger à son tour Snake Keylogger, un malware particulièrement virulent connu comme étant un voleur d’informations modulaire doté de puissantes capacités de persistance, de contournement de défense, d’accès au informations d’identification, de collecte et exfiltration de données », expliquent le chercheur.
Évidemment, seuls les appareils informatiques touchés pas la faille de sécurité sont vulnérables à la cyberattaques. Cette faille détient la nomenclature de « CVE-2017-11882 ». Cette dernière a déjà été corrigée. Elle peut permettre d’exécuter à distance des scripts en utilisant les éditeurs d’équations. Un module qui aurait été supprimé il y a longtemps. Le problème, c’est que cette faille est toujours présente dans énormément d’ordinateurs en circulation.
Le conseil demeure alors le même : éviter d’ouvrir la pièce jointe lorsque vous recevez des emails de correspondances non habituelles. Ignorer tout simplement ses messages électroniques et passer à autre chose.
Accédez maintenant à un nombre illimité de mot de passe :