Microsoft Office : des macros infectieuses très furtives

Reynald Fléchaux,

Les équipes de recherche de Microsoft ont détectées une nouvelle technique permettant à des cybercriminels de dissimuler le caractère infectieux d’une macro Office.

Quand on connaît la propension des cybercriminels à exploiter les macros de Microsoft Office – ces petits bouts de programmes écrits en VBA permettant d’automatiser des tâches dans Word ou Excel -, la dernière alerte du premier éditeur mondial sur le sujet ne peut qu’inquiéter. Redmond affirme en effet avoir mis au jour une nouvelle technique permettant aux macros malicieuses d’échapper aux antivirus.

Le code découvert par les chercheurs du centre de protection contre les malwares de Microsoft renferme une souche bien connue, TrojanDownloader:O97M/Donoff, une (grande) famille de malwares ciblant Office. Des malwares habituellement détectés par les outils antivirus. Sauf que, cette fois, les assaillants ont utilisé des techniques de dissimulation nouvelles. « Réaliser que la macro était infectieuse n’était pas immédiat, écrivent Marianne Mallen et Wei Li, auteurs d’un billet de blog sur le sujet. Il s’agissait d’un fichier Word renfermant sept modules VBA et un formulaire VBA doté de quelques boutons (utilisant les éléments CommandButton). Les modules VBA ressemblaient à des programmes SQL légitimes exploitant des macros. »

Se méfier de presque toutes les macros

macro-formCe n’est qu’après une inspection plus poussée du code que les équipes de l’éditeur ont remarqué « une étrange chaîne de caractères dans le champ Caption de CommandButton3 (soit la légende d’un bouton, NDLR) dans le formulaire utilisateur ». Autrement dit, les assaillants stockent des commandes directement dans le nom d’un bouton présent dans une macro. Ici, une URL depuis laquelle un malware – dans le cas présent, le ransomware Locky – pourra être téléchargé sur le poste ciblé. Un cheminement particulièrement discret, puisque c’est la macro elle-même qui, une fois installée, extrait le nom du bouton et le déchiffre. « Le projet VBA, et donc la macro, fonctionnera automatiquement chez les utilisateurs autorisant les macros à l’ouverture d’un fichier, écrivent Marianne Mallen et Wei Li. Pour prévenir les attaques par macros Office, nous suggérons de n’autoriser le lancement de ces petits programmes que si vous les avez écrits vous-même, ou si vous faites une totale confiance et si vous connaissez la personne qui les a codés. » On ne saurait être plus clair.

Dridex, Locky, le blackout ukrainien…

Pour la société Palo Alto, on assiste actuellement à une résurgence des attaques par macro, poussée par le fait que toute une nouvelle génération d’utilisateurs a oublié les dangers que pouvaient recéler ces petits programmes. La récente campagne ciblant des terminaux points de vente d’une centaine d’organisations dans l’hôtellerie, la restauration et la distribution exploitait ce vecteur. Tout comme le malware bancaire Dridex, qui repose lui aussi sur des macros infectieuses pour assurer sa propagation. Ou comme le ransomware Locky qui a largement utilisé cette technique pour infecter nombre d’entreprises en France. Ou encore comme les assaillants qui sont parvenus à provoquer, via une cyberattaque, un blackout électrique en Ukraine, les macros ayant dans ce cas servi à prendre le contrôle du poste de certains utilisateurs. Selon McAfee, l’éditeur d’outils de sécurité appartenant à Intel, au cours du 3ème trimestre 2015, 45 000 cas de malwares se diffusant via des macros ont été isolés, contre seulement 10 000 un an plus tôt.

Face à cette recrudescence des attaques, Microsoft a décidé d’inclure dans Office 2016 une fonctionnalité permettant de neutraliser les menaces arrivant par les macros, en autorisant les administrateurs à imposer des règles bloquant strictement toute activation de ces petits programmes. Jusqu’à présent, les macros sont certes désactivées par défaut dans Office, mais les utilisateurs ont la possibilité de bypasser cette sécurité pour exécuter ces programmes. Et les cybercriminels exploitent la curiosité des utilisateurs pour les pousser à ouvrir leurs fichiers malicieux.

A lire aussi :

Pour contrer les menaces comme Locky, Microsoft bloque les macros d’Office 2016

Crédit photo : igor.stevanovic / shutterstock