Il se propage à travers les notes. Un virus dangereux ouvre une porte dérobée à Windows

Les codes malveillants sont le plus souvent diffusés sous forme de pièces jointes à des spams. Les utilisateurs plus attentifs peuvent souvent dire au premier coup d’œil qu’il s’agit d’un logiciel malveillant, car le fichier joint a une fin exécutable de .exe ou .bat, il s’agit donc d’un programme pour Windows.

Les experts en sécurité avertissent les utilisateurs de ne jamais exécuter de tels programmes à moins d’être sûrs de leur origine, de leur contenu et de leur fonctionnalité.

Dans le cas du virus malveillant Agent.PLI, cependant, c’est différent, il a une extension complètement différente. Ainsi, les utilisateurs n’ont même pas à reconnaître qu’il s’agit de code malveillant au premier coup d’œil. “Nous voyons ici une nouvelle tendance dans les campagnes d’attaque – l’envoi de documents de note OneNote contenant des scripts malveillants”, a averti Martin Jirkal, responsable de l’équipe d’analyse de la succursale d’Eset à Prague.

« Agent.PLI apparaissait le plus souvent sous la forme d’un document partagé nommé Facture 575367.bat. Les attaquants essaient cette méthode probablement à cause des règles plus strictes pour l’envoi de pièces jointes aux e-mails, et ils cherchent des moyens de contourner cette restriction », a déclaré Jirkal.

Dans l’ensemble, l’attaque était très simple. « Un document de note avec une extension .one intégrait plusieurs scripts .bat malveillants qui étaient recouverts d’une image. L’image invitait l’utilisateur à cliquer et à ouvrir le document. En cliquant sur cette image, l’un des scripts malveillants a été lancé, qui a commencé à télécharger des logiciels malveillants supplémentaires sur l’appareil, le plus souvent des familles Qbot, IceId, AgentTesla ou RedLine”, a décrit l’expert en sécurité au cours de l’attaque.

Selon lui, il est évident que cette année, les cybercriminels seront très intéressés à réévaluer les stratégies actuelles et à investir dans de nouveaux types d’attaques. “Bien que les attaques utilisant OneNote soient actuellement en déclin et ne semblent donc pas avoir réussi, le principe de cette stratégie peut certainement refaire surface”, a noté Jirkal.

D’après les lignes ci-dessus, il est clair que les utilisateurs doivent se méfier des différents types de fichiers lorsqu’il s’agit de spams. Des codes malveillants peuvent être cachés dans des pièces jointes autres que celles qui se terminent par .exe ou .bat.