Une vulnérabilité de type "zero-day" du navigateur Internet Explorer, appelée CVE-2021-26411 et corrigée à présent, a été exploitée par un utilisateur anonyme pour introduire un cheval de Troie d'accès à distance (RAT) basé sur VBA, capable d'accéder aux fichiers stockés dans les systèmes Windows compromis, de télécharger et d'exécuter des charges utiles malveillantes.

La porte dérobée est distribuée via un document piégé appelé "Manifest.docx" qui charge le code d'exploitation de la vulnérabilité à partir d'un modèle intégré, qui à son tour exécute un shellcode pour déployer le RAT, selon la société de cybersécurité Malwarebytes, qui a repéré le fichier Word suspect le 21 juillet 2021. Microsoft a résolu le problème dans le cadre de ses mises à jour Patch Tuesday de mars.

Outre la collecte de métadonnées système, le RAT VBA est conçu pour identifier les produits antivirus exécutés sur l'hôte infecté et exécuter les commandes qu'il reçoit d'un serveur contrôlé par l'attaquant, notamment la lecture, la suppression et le téléchargement de fichiers arbitraires, et exfiltrer les résultats de ces commandes vers le serveur.

Pour cela, il est instamment recommandé d'appliquer le correctif pour cette vulnérabilité afin de s'assurer que vos informations sont protégées.