Cette simple image de Super Mario cache un dangereux malware

BleepingComputer vient de dévoiler un nouveau ransomware particulièrement bien caché. Celui-ci est dissimulé au sein d’une image, qui est envoyée en tant que contenu caché d’un mail ciblant les personnes habitant en Italie. Le document ressemble à un avis de paiement et est livré avec une pièce jointe portant le nom « F.DOC.2019 A 259 SPA.xls » ou […]

BleepingComputer vient de dévoiler un nouveau ransomware particulièrement bien caché. Celui-ci est dissimulé au sein d’une image, qui est envoyée en tant que contenu caché d’un mail ciblant les personnes habitant en Italie. Le document ressemble à un avis de paiement et est livré avec une pièce jointe portant le nom « F.DOC.2019 A 259 SPA.xls » ou une déclinaison similaire.

Lorsque le destinataire ouvre son courrier, il est invité à activer les macros afin de mieux visualiser le tableau. Le programme vérifie si l’ordinateur se trouve en Italie ou non. Les personnes habitant dans un autre pays n’ont rien à craindre. En revanche, si elles habitent en Italie, l’image de SuperMario est téléchargée. Le script met en place une commande PowerShell et l’exécut, et des malwares sont finalement téléchargés à partir d’un autre site.

La prudence reste de mise

Les attaques stéganographiques ne sont pas nouvelles. Les pirates les utilisent pour éviter que leur script soit découvert par les programmes de sécurité. Tout récemment, Malwarebytes a débusqué une campagne de publicité malveillante basée sur cette technique. Les pirates ont caché les charges utiles à l’intérieur des images.

Face aux risques, il est indispensable de toujours scanner les pièces jointes reçues. Par ailleurs, il faut redoubler de vigilance si elles contiennent des macros sensés contribuer à une meilleure visualisation du document.

>>> Lire aussi : 773 millions de comptes email piratés, une des plus grosses fuites informatiques de l’histoire