Quand on connaît la propension des cybercriminels à exploiter les macros de Microsoft Office – ces petits bouts de programmes écrits en VBA permettant d’automatiser des tâches dans Word ou Excel -, la dernière alerte du premier éditeur mondial sur le sujet ne peut qu’inquiéter. Redmond affirme en effet avoir mis au jour une nouvelle technique permettant aux macros malicieuses d’échapper aux antivirus.
Le code découvert par les chercheurs du centre de protection contre les malwares de Microsoft renferme une souche bien connue, TrojanDownloader:O97M/Donoff, une (grande) famille de malwares ciblant Office. Des malwares habituellement détectés par les outils antivirus. Sauf que, cette fois, les assaillants ont utilisé des techniques de dissimulation nouvelles. « Réaliser que la macro était infectieuse n’était pas immédiat, écrivent Marianne Mallen et Wei Li, auteurs d’un billet de blog sur le sujet. Il s’agissait d’un fichier Word renfermant sept modules VBA et un formulaire VBA doté de quelques boutons (utilisant les éléments CommandButton). Les modules VBA ressemblaient à des programmes SQL légitimes exploitant des macros. »
Pour la société Palo Alto, on assiste actuellement à une résurgence des attaques par macro, poussée par le fait que toute une nouvelle génération d’utilisateurs a oublié les dangers que pouvaient recéler ces petits programmes. La récente campagne ciblant des terminaux points de vente d’une centaine d’organisations dans l’hôtellerie, la restauration et la distribution exploitait ce vecteur. Tout comme le malware bancaire Dridex, qui repose lui aussi sur des macros infectieuses pour assurer sa propagation. Ou comme le ransomware Locky qui a largement utilisé cette technique pour infecter nombre d’entreprises en France. Ou encore comme les assaillants qui sont parvenus à provoquer, via une cyberattaque, un blackout électrique en Ukraine, les macros ayant dans ce cas servi à prendre le contrôle du poste de certains utilisateurs. Selon McAfee, l’éditeur d’outils de sécurité appartenant à Intel, au cours du 3ème trimestre 2015, 45 000 cas de malwares se diffusant via des macros ont été isolés, contre seulement 10 000 un an plus tôt.
Face à cette recrudescence des attaques, Microsoft a décidé d’inclure dans Office 2016 une fonctionnalité permettant de neutraliser les menaces arrivant par les macros, en autorisant les administrateurs à imposer des règles bloquant strictement toute activation de ces petits programmes. Jusqu’à présent, les macros sont certes désactivées par défaut dans Office, mais les utilisateurs ont la possibilité de bypasser cette sécurité pour exécuter ces programmes. Et les cybercriminels exploitent la curiosité des utilisateurs pour les pousser à ouvrir leurs fichiers malicieux.
A lire aussi :
Pour contrer les menaces comme Locky, Microsoft bloque les macros d’Office 2016
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…