Campagne d’Attaque du Cheval de Troie Orcinius

Broadcom Alerte sur une Campagne d’Attaque du Cheval de Troie Orcinius exploitant Dropbox et Google Doc.

Le 7 juillet 2024, les chercheurs en sécurité de Symantec Broadcom ont émis une alerte concernant une campagne d’attaque utilisant le Cheval de Troie Orcinius.

Ce malware exploite Dropbox et Google Docs pour télécharger des charges utiles secondaires. La technique utilisée est connue sous le nom de « VBA stomping », qui consiste en l’insertion d’un script VBA malveillant dans une feuille de calcul Microsoft Excel. Ce script permet de se connecter au système d’exploitation Windows, surveiller et capturer les frappes au clavier (keylogging) et les fenêtres actives.

Dropbox : Service de stockage et de partage de fichiers en ligne permettant aux utilisateurs de sauvegarder et de synchroniser leurs fichiers sur plusieurs appareils. Il offre des fonctionnalités de collaboration en ligne.

Google Docs : Suite bureautique en ligne permettant la création, l’édition et le partage de documents, feuilles de calcul et présentations en temps réel. Elle favorise la collaboration grâce à ses fonctionnalités de partage et d’édition simultanée.

Historique des Attaques Utilisant la Technique « VBA Stomping »

De nombreux acteurs malveillants utilisent  des campagnes de phishing pour télécharger des charges utiles secondaires, les plus connus sont Dridex, Emotet et TrickBot.

  • Mai 2017 : Campagne de phishing avec macros VBA dans des fichiers Excel pour distribuer le malware Dridex.  Vol de données bancaires et financières.
  • Novembre 2019 : Attaque ciblée contre des entreprises avec macros VBA pour déployer le ransomware Emotet. Chiffrement des données, demande de rançon.
  • Mars 2021 : Campagne de spear-phishing visant des institutions gouvernementales avec macros VBA dans des fichiers Excel, diffusant le malware TrickBot. Compromission des réseaux et vol de données sensibles.

Symantec protège ses utilisateurs contre la menace Orcinius en bloquant et détectant les indicateurs malveillants associés grâce à ses produits VMware Carbon Black. Pour plus d’informations, consultez le bulletin de protection de Symantec Broadcom.

A propos de l'auteur

Retour en haut