Comme bien souvent, tout commence avec du spam véhiculant un fichier. En l'occurrence, il s'agit d'un soi-disant document à l'extension .doc contenant un objet ActiveX qui accède automatiquement à un site contenant du code HTML malveillant identifié par l'éditeur de solutions de sécurité comme HTML_DLOADER.AS.
Ce code exploite une vulnérabilité de IE7 afin de rapatrier une backdoor qui aura pour mission d'installer un fichier DLL capable de dérober des informations confidentielles pour les envoyer à une URL via le port 443.
De l'intérêt d'appliquer les correctifs Microsoft
Une mécanique bien huilée qui peut pourtant être facilement contrecarrée. Le dernier Patch Tuesday de Microsoft qui date d'à peine une semaine, a en effet diffusé une mise à jour de sécurité cumulative intéressant IE7 avec dans ses bagages un correctif pour la présente vulnérabilité.
Ce n'est pas véritablement une surprise puisque l'on sait que les cybercriminels aiment à tenter d'exploiter des vulnérabilités découvertes dans des produits Microsoft et rendues publiques peu de temps après leur correction. Et pour ce faire, ils disposent parfois de plus de temps que nécessaire comme en témoigne le cas du ver Conficker qui continue de compromettre des millions de machines, alors même que Microsoft a pris soin de publier en urgence un correctif de sécurité dès le mois d'octobre 2008...
De quoi énerver passablement la firme de Redmond qui a décidé d'offrir 250 000 dollars à toute personne apportant une information susceptible de permettre l'arrestation de son auteur.
