Yahoo FinanceUn cheval de Troie bancaire utilise une faille critique dans Windows
La faille « zero day » Follina prend de l’ampleur. Signalée fin mai, cette faille, sous la référence CVE-2022-30190, permet d’utiliser un document Word pour lancer des commandes PowerShell, et ce même si les macros sont désactivées.
Désormais, un groupe de hackers connu sous la désignation TA570 profite de la faille pour propager le cheval de Troie bancaire Qbot. Celui-ci est spécialisé dans le vol de données personnelles et bancaires. Les victimes reçoivent un e-mail avec un fichier HTML en pièce jointe. Celui-ci télécharge un dossier compressé ZIP contenant une image de disque (fichier IMG) qui inclut enfin un fichier Word, un fichier DLL et un raccourci. C’est ce document Word qui installe le malware Qbot.
Des attaques sur le gouvernement et la diaspora tibétaine
Ce n’est pas la seule attaque à exploiter la faille Follina. La semaine dernière, l’entreprise Proofpoint a détecté des attaques de type phishing visant plusieurs membres de gouvernements en Europe et aux États-Unis. Ils ont reçu un e-mail leur promettant une hausse de salaire avec en pièce jointe un fichier RTF qui installe un malware capable de voler des données dans les navigateurs et logiciels de messagerie. Selon Proofpoint, le groupe de hackers chinois TA413 APT utiliserait également la faille pour viser la diaspora tibétaine avec des méthodes similaires.
À l’heure actuelle, Microsoft n’a toujours pas sorti de correctif. Sur son site, Microsoft recommande de désactiver le protocole MSDT afin d’empêcher le lancement de l’outil de diagnostic utilisé dans la faille Follina. Pour cela, la firme indique qu’il faut d’abord sauvegarder, puis supprimer toute la clé HKEY_CLASSES_ROOT\ms-msdt dans le registre de Windows.
À lire aussi sur Futura
