FinalDraft : le vilain virus qui se cache dans les brouillons d'Outlook

FinalDraft : le vilain virus qui se cache dans les brouillons d'Outlook

Une campagne de cyber-espionnage cible actuellement les PC Windows. Les cybercriminels ont recours à un malware particulièrement discret, puisqu'il se cache dans les brouillons Outlook.

Attention si vous utilisez Outlook, le service de messagerie électronique de Microsoft ! Ses utilisateurs ont tendance à se croire à l'abri derrière des couches de sécurité sophistiquées de l'entreprise. Mais les cybercriminels ne manquent pas d'imagination et redoublent de créativité pour piéger leurs victimes. 

Un malware particulièrement discret, au cœur d'une campagne de cyberespionnage, cible en ce moment Outlook. Baptisé FinalDraft et identifié par les chercheurs d'Elastic Security Labs, il est conçu pour se fondre parfaitement dans l'environnement numérique de ses victimes. Son mode opératoire ? Exploiter les brouillons d'Outlook pour communiquer avec ses créateurs, échappant ainsi aux radars des systèmes de sécurité traditionnels.

FinalDraft : un malware discret et ingénieux

L'attaque débute généralement par l'infection de la machine cible via un programme malveillant nommé PathLoader. Une fois installé, ce dernier télécharge FinalDraft depuis un serveur distant. Le malware s'intègre alors discrètement et interagit avec Outlook sans éveiller de soupçons. Plutôt que d'envoyer des données directement sur Internet, ce qui pourrait être détecté, FinalDraft utilise les brouillons d'e-mails comme canal de communication. Une fois les instructions exécutées, les brouillons sont supprimés, ne laissant presque aucune trace de l'activité malveillante. Cette technique ingénieuse permet au malware de se dissimuler parmi le trafic légitime de Microsoft 365, rendant sa détection particulièrement ardue.

© Elastic Security Labs

Bien entendu, l'objectif principal du malware consiste à voler des données sensibles. Il vise surtout les fichiers stockés sur le PC, les informations d'identification, et les informations du système. Ces informations incluent "le nom de l'ordinateur, le nom d'utilisateur du compte, les adresses IP internes et externes, ainsi que des détails sur l'exécution des processus", indique le rapport. 

Pour cela, FinalDraft est capable d'exfiltrer des fichiers, d'injecter du code, de rediriger le trafic réseau, et même de dérober des identifiants sans les décrypter. Au total, les chercheurs ont identifié 37 commandes différentes que le malware peut exécuter.

FinalDraft : une campagne de cyber-espionnage mondiale

Les premières cibles identifiées se trouvent au sein de ministères en Amérique du Sud. Cependant, l'enquête a révélé des infrastructures liées à cette campagne en Asie du Sud-Est, suggérant une opération de cyberespionnage à l'échelle mondiale. Les attaquants ont même poussé la ruse jusqu'à enregistrer des domaines imitant des noms d'éditeurs de cybersécurité reconnus, tels que "checkponit.com" ou "fortineat.com", une technique de typosquatting destinée à brouiller les pistes.

Plus préoccupant encore, une variante de FinalDraft ciblant les systèmes Linux a été découverte, élargissant le spectre des potentielles victimes. Cette version partage bon nombre de fonctions avec son homologue Windows.

Face à cette menace, il est impératif pour les utilisateurs d'Outlook de redoubler de vigilance. Il est recommandé de surveiller activement ses brouillons Outlook, de manière à repérer des comportements suspects, comme la création et la suppression rapides de messages non envoyés. Et, bien évidemment, mieux vaut installer un bon antivirus, dont les bases de données virales et de signatures sont actualisées plusieurs fois par jour.