Un module complémentaire PowerPoint utilisé pour diffuser des fichiers malveillants

Selon les conclusions de la société de sécurité Avanan, un module complémentaire de PowerPoint est utilisé pour diffuser des fichiers malveillants. Pour Jeremy Fuchs, d’Avanan, le fichier .ppam, qui contient des commandes bonus et des macros personnalisées, est utilisé par des pirates « pour envelopper des fichiers exécutables ». La société a commencé à voir ce vecteur d’attaque en janvier, et note que les fichiers .ppam sont utilisés pour envelopper des fichiers exécutables d’une manière qui permet aux pirates de « prendre le contrôle de l’ordinateur de l’utilisateur final ». La plupart des attaques se font par courrier électronique.

« Dans cette attaque, les pirates montrent un e-mail de bon de commande générique, un message de phishing assez standard. Le fichier joint à l’e-mail est un fichier .ppam. Un fichier .ppam est un module complémentaire de PowerPoint, qui étend et ajoute certaines fonctionnalités. Cependant, ce fichier embarque en fait un processus malveillant qui écrase les paramètres du registre », explique le chercheur en sécurité.

« En utilisant les fichiers .ppam, les pirates peuvent envelopper, et donc cacher, des fichiers malveillants. Dans ce cas, le fichier écrasera les paramètres du registre de Windows, permettant à l’attaquant de prendre le contrôle de l’ordinateur et de rester actif en résidant de manière persistante dans la mémoire de l’ordinateur. » Les cybercriminels ont trouvé un moyen de contourner les outils de sécurité en raison de la rareté de l’utilisation du fichier .ppam. Le chercheur ajoute que cette méthode d’attaque pourrait être utilisée pour diffuser des ransomwares, rappelant un incident survenu en octobre, au cours duquel un groupe de ransomwares a utilisé ce type de fichier lors d’une attaque.

Une plaie pour Microsoft

Pour Aaron Turner, vice-président de SaaS posture chez Vectra, l’omniprésence de la suite collaborative de Microsoft en fait la favorite des attaquants, et la dernière attaque PowerPoint est l’exemple le plus récent de plus de 20 ans d’exploits astucieux de diffusion de documents Microsoft Office.

« Pour les organisations qui dépendent d’Exchange Online pour leur courrier électronique, elles devraient revoir leurs politiques anti-malware configurées dans leur portail Microsoft 365 Defender. Par ailleurs, s’il existe un risque élevé d’attaque qui doit être traité en dehors des politiques Defender, des types de fichiers joints spécifiques peuvent être bloqués dans une politique de blocage .ppam dédiée en tant que politique de flux de courrier Exchange Online », fait valoir le dirigeant.

« Lorsque nous exécutons notre analyse d’évaluation de la posture contre Exchange Online, nous vérifions la politique configurée et la comparons à notre recommandation de bloquer plus de 100 types de fichiers différents. A la suite de cette recherche, nous ajouterons .ppam à notre liste d’extensions de fichiers à bloquer en raison de l’obscurité relative et de la faible utilisation de cette extension de fichier PowerPoint particulière. »

Source : ZDNet.com