Un dangereux virus récolte les données bancaires sur PC
Il s’agit d’un cheval de Troie permettant aux pirates de voler des données personnelles et bancaires.
Décidément, le web regorge de dangers, en atteste ce dangereux virus qui circule depuis des semaines sur les ordinateurs Windows. Une faille “zero day” (elle n’a pas encore subi de correctif) appelée Follina et sévissant sous la référence CVE-2022-30190 fait des ravages. En une semaine, trois attaques avec Follina ont été recensées.
Fin mai, plusieurs utilisateurs avaient alerté Windows quant à cette faille de Microsoft Word avec les macros (commandes natives d’un logiciel), en vain. Deux semaines plus tard, aucun correctif n’a été déployé par la firme américaine et les victimes commencent à se multiplier.
Le problème, c’est que cette faille est largement utilisée par les hackers pour faire des ravages. Il y a quelques jours, plusieurs membres de gouvernements américains et européens ont reçu un mail leur promettant une augmentation de salaire. Ce mail contenait en pièce jointe un fichier RTF qui, dès qu’on l’ouvre, installe un malware qui vole des données dans les logiciels de messagerie et navigateurs. Malware qui exploite cette faille. La diaspora tibétaine a, elle aussi, été visée avec une méthode similaire par le groupe de pirates chinois TA413 APT.
Un autre groupe de hackers chinois, TA570, tente de propager un cheval de Troie du nom de Qbot au moyen de cette faille. La méthodologie est encore une fois la même, avec un mail contenant un fichier HTML permettant de télécharger un dossier compressé. Dans ce dossier se situe un fichier Word, comprenant le fameux cheval de Troie. Celui-ci parvient à lancer les commandes PowerShell même si les macros sont désactivées.
Une seule solution actuellement connue
Si Microsoft n’a pas encore publié de correctif permettant de combler cette faille, son site internet répertorie heureusement une solution permettant de se protéger contre le virus. Une marche à suivre plutôt fastidieuse, qui consiste en gros à supprimer une clé de registre appelée “HKEY_CLASSES_ROOT\ms-msdt“. Il faut savoir que Word ouvre, par défaut, les fichiers DOCX en mode protégé. En revanche, les fichiers RTF désactivent cette protection.
Le virus fonctionne avec toutes les versions de Microsoft Word depuis celle de 2013. Office 2021 n’échappe pas au problème, et Microsoft ne semble pas prêt à prendre le problème à bras-le-corps. Si la firme a enregistré la faille sous la référence CVE-2022-30190, les utilisateurs restent vulnérables face à l’immobilisme du géant américain. En avril, un groupe d’étudiants chasseur de failles avait déjà alerté Microsoft, qui s’était contenté de répondre qu’il ne s’agissait pas d’un “problème de sécurité”. Inquiétant …
