Libraesva, société spécialisée dans la sécurité des e-mails, tire la sonnette d’alarme sur une nouvelle tendance d’attaques informatiques qui s’enclenchent sur les PC des utilisateurs avec l’activation des macros Excel.qui s’enclenchent sur les PC des utilisateurs avec l’activation des macros Excel.
Libraesva, société spécialisée dans la sécurité des e-mails, alerte sur une nouvelle tendance d’attaques informatiquesalerte sur une nouvelle tendance d’attaques informatiquesqui s’enclenchent sur les PC des utilisateurs avec l’activation des macros Excel. “Il n’est pas nouveau de voir les fonctionnalités du paquet Office utilisées comme vecteurs d’accès pour les malveillants, mais nos analyses récentes rencontrent une tendance croissante des pirates à insérer du code malveillant en correspondance spécifique avec l’une des plusanciennes fonctionnalités d’Excel – la Macro-Formule également connue sous le nom de Macro XLM. Il est également préoccupant que cecode malveillant ne soit pas intercepté par 90 % des antivirus” déclareRodolfo Saccani, R&D Security Managerde l’entreprise.
Excel est un outil du paquet Office connu de tous, largement utilisé dans la sphère privée et surtout professionnelle, par exemple pour les calculs, les prévisions et les budgets. Avec l’amélioration au fil du temps des solutions de Microsoft, certaines fonctionnalités des versions initiales ont été maintenues valides et donc encore prises en charge aujourd’hui. Celles-ci font désormais l’objet d’un intérêt de la part des attaquants qui les utilisent commevecteurs d’accèsaux systèmes informatiques des utilisateurs et donc de propagation de campagnes malveillantes.
La fonctionnalité Macro-Formule présente dans tous les Excel est utilisée pour véhiculer un droppercapable d’accueillir diverses formes de malware, y compris des chevaux de Troie bancaires, des virus, etc., s’adaptant ainsi à la réalisation d’intentions malveillantes toujours différentes. D’un point de vue technique,au moment où l’utilisateur active la fenêtre « ACTIVER LES MACROS », le code malveillant crée une formule en collectant des données de nombreuses cellules différentes et en effectuant des transformations dans l’écriture du code qui sont difficiles à identifier. Il applique ensuite la formule en utilisant la déclaration FORMULA.FILL.
Plus que le type spécifique de malware, c’est le modèle d’attaque que Libraesva enquête, en supposant qu’aucun type d’exécution ne devrait jamais être autorisé pour les documents livrés par e-mail, et en bloquant tout suspect dans le sandbox QuickSand pour analyse.
Ce phénomène d’attaque via Excela commencé à se présenterdébut maiet continue de se manifester sans relâche depuis. “Dans les EsvaLabs, nous avons constaté un changement dans les méthodes d’attaque entre avril et mai : au cours du premier mois, les pirates préféraient insérer dans les droppers du code plus facilement reconnaissable par les filtres antivirus. Au cours de ce mois de mai, le contenu de ces « chevaux de Troie » présente des formes d’attaques toujours nouvelles et diversifiées” précise le manager. Étant donné quele code malveillant est déclenché par l’utilisateur lui-mêmeau moment où il autorise l’activation des macros dans Excel, il est facile de comprendre pourquoi même les filtres de sécurité les plus répandus ne parviennent pas à intercepter immédiatement la menace potentielle, laissant passer et arriver ainsi les e-mails qui la contiennent jusqu’à la boîte de réception de l’utilisateur final.
“Les e-mails restent le vecteur privilégié par les cybercriminels pour saper la sécurité et la réputation des entreprises, des institutions financières et bancaires, ainsi que des particuliers. En témoignent les nombreuses campagnes que nous interceptons quotidiennement dans les EsvaLabs, dont la dernière en date est lacampagne de phishing massivequi a touché les utilisateurs italiens durant ces mois deconfinement lié au Covid-19, où ce sujet a été utilisé par les attaquants pour inciter les utilisateurs à ouvrir des pièces jointes ou des liens dans des e-mails apparemment inoffensifs, et, comme on peut l’imaginer, d’un grand intérêt informatif, afin de réaliser des intentions de vol d’identifiants et de données personnelles”commentezPaolo Frizzi, PDG de Libraesva. « Il est important de renouveler une fois de plus l’invitation à porter la plus grande attentionaux communications qui arrivent par e-mail, à leur forme et à leur contenu, en particulier aux pièces jointes, même lorsqu’elles proviennent de destinataires connus. Les preuves montrent en effet comment, malheureusement, les premiers « partenaires » des attaquants, ce sont nous-mêmes, simples utilisateurs de la messagerie électronique, qui, par un simple clic — activant dans ce cas une Macro-Formule dans Excel — déclenchons la bombe contre nos propres systèmes sans le savoir».
Pubblicato in Guides & tutoriels
Soyez le premier à commenter