Des ordinateurs sous Windows subissent actuellement une attaque via les composants de la suite Office de Microsoft.

Le malware exploite les macros potentiellement intégrées à un fichier Excel qui a été transmis par e-mail. La macro vient discrètement télécharger et exécuter en mémoire le cheval de Troie Flawed Ammyy.

Anomaly detection helped us uncover a new campaign that employs a complex infection chain to download and run the notorious FlawedAmmyy RAT directly in memory. The attack starts with an email and .xls attachment with content in the Korean language. pic.twitter.com/PQ2g7rvDQm

— Microsoft Security Intelligence (@MsftSecIntel) 21 juin 2019

Ce dernier n’est pas une nouveauté puisqu’il avait déjà été utilisé pour cibler précisément les entreprises du secteur de la finance et du commerce.

Selon la société de sécurité Proofpoint, c’est un groupe identifié comme TA505 qui l’aurait exploité via des pièces jointes adressées par e-mail à des entreprises équipées de logiciels provenant de l’univers Microsoft. 

Flawed Ammyy, un cheval de Troie déjà exploité

Si le destinataire ouvre le fichier Excel malgré le message de prévention, la macro va activer sa série de malwares directement en mémoire vive pour échapper à la détection de l’antivirus.

 L'attaque commence par un e-mail et une pièce jointe .xls avec un contenu en coréen. Microsoft explique que sa suite de sécurité est capable d’identifier cette nouvelle menace, mais qu’il vaut mieux désactiver les macros car leur exécution contamine quand même le PC.

Paradoxalement, un peu plus tôt dans le mois, Microsoft avait déjà annoncé qu’un autre cheval de Troie exploitait une faille d’Office. Dans ce cas, les macros n’étaient pas utilisées par le malware.