Perspectives IT

Zyklon, un malware qui exploite des vulnérabilités dans Microsoft Office

Une découverte récente de chercheurs de FireEye a semé le trouble sur Microsoft Office. En effet, ces chercheurs ont découvert que des cyberattaquants ont exploité des failles pour propager le malware Zyklon.
Quelles sont ses fonctionnalités ? Enregistrement de frappe, récupération de mots de passe, DDoS, auto-désinstallation… Autant de fonctionnalités plus néfastes les unes que les autres.

La propagation

Cette vague d’infection se propage par des emails spam : l’email type est un envoi de fichier ZIP concernant un fichier DOC. Le fichier exploite trois vulnérabilités de Microsoft Office, puis un script PowerShell se lance lorsqu’un fichier est ouvert dans un environnement vulnérable.
Une fois éxcuté, le fichier place une copie de lui-même dans %AppData%\svchost.exe\svchost.exe et dépose un fichier XML contenant des informations de configuration pour le Planificateur de tâches. Il décompresse ensuite le code en mémoire, puis recourt au Process Hollowing pour remplacer un processus légitime par du code malveillant. Le fichier MSIL contient le payload principal compressé dans sa section ressources .Net. La décompression de ce code libère Zyklon.
Le fichier exécutable Zyklon contient un fichier chiffré baptisé tor dans sa section ressources .Net. Le fichier est décrypté et injecté dans une instance InstallUtiil.exe. Il joue alors le rôle d’anonymiseur pour Tor.
Les secteurs les plus touchés sont la télécommunication, les assurances et les services financiers.

 

Pour comprendre plus en détail comment fonctionne ce malware, consultez l’article entier sur le blog de FireEye.

Alessia Gaboriau

Commenter