Actualités, informations sur les menaces

Ouvrez le mauvais fichier « PDF » et les pirates obtiennent un accès à distance à votre PC.

par Pieter Arntz | 5 février 2026
PDF et RAT

Les cybercriminels à l'origine d'une campagne baptisée DEAD#VAX poussent le phishing encore plus loin en diffusant des logiciels malveillants dans des disques durs virtuels qui se font passer pour des documents PDF ordinaires. Si vous ouvrez la mauvaise « facture » ou le mauvais « bon de commande », vous ne verrez aucun document. À la place, Windows un lecteur virtuel qui installe discrètement AsyncRAT, un cheval de Troie de type backdoor qui permet aux pirates de surveiller et de contrôler à distance votre ordinateur.

Il s'agit d'un outil d'accès à distance, ce qui signifie que les pirates obtiennent un contrôle à distance du clavier, tandis que les défenses traditionnelles basées sur les fichiers ne détectent pratiquement rien de suspect sur le disque.

D'un point de vue général, la chaîne d'infection est longue, mais chaque étape semble suffisamment légitime en soi pour échapper à des contrôles superficiels.

Les victimes reçoivent des courriels d'hameçonnage qui ressemblent à des messages commerciaux courants, faisant souvent référence à des bons de commande ou à des factures et parfois usurpant l'identité de véritables entreprises. Le courriel ne contient pas de document en pièce jointe. Il renvoie plutôt vers un fichier hébergé sur IPFS (InterPlanetary File System), un réseau de stockage décentralisé de plus en plus utilisé dans les campagnes d'hameçonnage, car son contenu est plus difficile à supprimer et accessible via des passerelles web normales.

Le fichier lié est nommé comme un fichier PDF et porte l'icône PDF, mais il s'agit en réalité d'un fichier de disque dur virtuel (VHD). Lorsque l'utilisateur double-clique dessus, Windows le Windows comme un nouveau lecteur (par exemple, le lecteur E:) au lieu d'ouvrir un visualiseur de documents. Le montage de disques VHD est Windows tout à fait légitime Windows , ce qui rend cette étape moins susceptible de déclencher l'alarme.

Le lecteur monté contient ce qui semble être le document attendu, mais il s'agit en réalité d'un fichierWindows (WSF). Lorsque l'utilisateur l'ouvre, Windows le code contenu dans le fichier au lieu d'afficher un PDF.

Après quelques vérifications visant à éviter l'analyse et la détection, le script injecte la charge utile (le shellcode AsyncRAT) dans des processus fiables signés par Microsoft, tels que RuntimeBroker.exe, OneDrive.exe, taskhostw.exeou sihost.exeLe logiciel malveillant n'écrit jamais de fichier exécutable réel sur le disque. Il réside et s'exécute entièrement en mémoire à l'intérieur de ces processus légitimes, ce qui rend sa détection et, à un stade ultérieur, son analyse beaucoup plus difficiles. Il évite également les pics soudains d'activité ou d'utilisation de la mémoire qui pourraient attirer l'attention.

Pour un utilisateur individuel, se laisser piéger par cet e-mail de phishing peut entraîner :

  • Theft mots de passe enregistrés et saisis, notamment pour les comptes de messagerie électronique, les services bancaires et les réseaux sociaux.
  • Divulgation de documents confidentiels, de photos ou d'autres fichiers sensibles provenant directement du système.
  • Surveillance via des captures d'écran périodiques ou, si configuré, via la webcam.
  • Utilisation de la machine comme point d'ancrage pour attaquer d'autres appareils sur le même réseau domestique ou professionnel.

Comment rester en sécurité

La détection pouvant s'avérer difficile, il est essentiel que les utilisateurs procèdent à certaines vérifications :

  • N'ouvrez pas les pièces jointes des e-mails avant d'avoir vérifié auprès d'une source fiable qu'elles sont légitimes.
  • Assurez-vous que vous pouvez voir le extensions de fichiersMalheureusement, Windows aux utilisateurs de les masquer. Ainsi, alors qu'en réalité le fichier s'appellerait invoice.pdf.vhd l'utilisateur ne verrait que invoice.pdfPour savoir comment procéder, voir ci-dessous.
  • Utilisez une solution anti-malware à jour et en temps réel capable de détecter les logiciels malveillants cachés dans la mémoire.

Afficher les extensions de fichiers sous Windows et 11

Pour afficher les extensions de fichiers dans Windows et 11 :

  • Ouvrir l'Explorateur (Windows + E)
  • Dans Windows , sélectionnezAffichageet cochez la caseExtensions denom de fichier.
  • Dans Windows , cette option se trouve sousAffichage > Afficher > Extensions de nom de fichier.

Vous pouvez également rechercher les options de l'Explorateur de fichiers pour décocher la case Masquer les extensions des types de fichiers connus.

Pour les versions antérieures de Windows, consultez cet article.

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

AI
Une main se tend pour saisir un astérisque d'un mot de passe écrit.

Les mots de passe générés par l'IA constituent un risque pour la sécurité.

Février 19, 2026

Les mots de passe générés par l'IA sont « hautement prévisibles » et ne sont pas véritablement aléatoires, ce qui les rend plus faciles à pirater pour les cybercriminels.

Actualités
Logo Tenga

Le fabricant de produits intimes Tenga a divulgué les données de ses clients

Février 19, 2026

Une attaque de phishing visant un employé de Tenga pourrait avoir exposé les données de clients américains. Les clients doivent être vigilants face aux tentatives de phishing ayant pour thème le chantage sexuel.

Violations de données
Logo Betterment

La violation des données de Betterment pourrait être plus grave que prévu

Février 18, 2026

Cette violation semble désormais beaucoup plus grave. Les données divulguées comprennent des informations personnelles et financières détaillées que les hameçonneurs pourraient utiliser.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries