Le malware Zyklon se propage au moyen de l'exploitation de failles dans MS Office

Le malware Zyklon, qui existe depuis début 2016, se propage en exploitant des vulnérabilités récentes dans Microsoft Office. Il cible les entreprises des secteurs des télécommunications, de l'assurance et des services financiers. 

Zyklon est un Botnet HTTP qui communique avec son serveur de commande et de contrôle via le réseau anonyme TOR et permet aux attaquants de mener plusieurs types d'activités malveillantes telles que des dénis de service distribués (DDoS), des vols des mots de passe stockés dans les navigateurs internet ainsi que le minage de crypto-monnaie.

Le malware se propage sous la forme d'une archive ZIP jointe à des spams. Le fichier ZIP contient un document Word spécialement conçu qui exploite des vulnérabilités dans Microsoft Office pour exécuter un script PowerShell qui télécharge le malware Zyklon à partir d'un serveur distant.

Selon un rapport récemment publié par FireEye, les vulnérabilités exploitées dans Microsoft Office sont les suivantes :

  • Vulnérabilité RCE .NET Framework (CVE-2017-8759) : vulnérabilité d'exécution de code à distance lorsque Microsoft .NET Framework traite une entrée non fiable. L'exploitation de cette faille permet aux attaquants de prendre le contrôle d'un système affecté. Pour l'exploiter, les attaquants doivent inciter les victimes à ouvrir un document ou une application malveillante spécialement conçue. Microsoft a déjà publié un correctif de sécurité pour cette faille dans les mises à jour de septembre.
  • Vulnérabilité Microsoft Office RCE (CVE-2017-11882) : faille de corruption de mémoire permettant à un attaquant distant d'exécuter du code malveillant sur les systèmes ciblés dans le contexte de l'utilisateur courant. Microsoft a publié un correctif de sécurité pour cette faille dans les mises à jour de novembre.
  • Dynamic Data Exchange Protocol (Exploitation DDE) : cette technique consiste à exploiter une fonction intégrée de Microsoft Office, appelée DDE, pour exécuter du code sur le périphérique ciblé ne nécessitant ni l'activation des macros ni la corruption de la mémoire.

Zyklon présente différents plugins qui peuvent être chargés pour ajouter des fonctionnalités supplémentaires. Par ailleurs, le malware peut également établir un proxy Socks5 sur la machine infectée et il détourner le presse-papiers afin de remplacer les adresses Bitcoin copiées par la victime par des adresses appartenant à l'attaquant.

Face à cette menace, une application assidue des correctifs publiés par les éditeurs est efficace puisque les vulnérabilités exploitées par Zyklon ont déjà toutes été corrigées.