Si Microsoft a pris son temps pour décider de bloquer les macros par défaut dans Microsoft Office, les acteurs de la menace n’ont pas tardé à contourner cette limitation et à concevoir de nouveaux vecteurs d’attaque.
Selon une nouvelle étude de l’éditeur de solutions de sécurité Proofpoint, les macros ne sont plus le moyen préféré de diffusion des logiciels malveillants. L’utilisation de macros courantes a diminué d’environ 66 % entre octobre 2021 et juin 2022. En revanche, l’utilisation de fichiers ISO (image disque) a enregistré une augmentation de plus de 150 %, tandis que l’utilisation de fichiers LNK (Windows File Shortcut) a connu une hausse vertigineuse de 1 675 % dans le même laps de temps. Ces types de fichiers peuvent contourner les protections de Microsoft contre les macros.
« Le fait que les acteurs de la menace s’éloignent de la distribution directe de pièces jointes à base de macros dans les courriels représente un changement important dans le paysage des menaces « , a déclaré Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint, dans un communiqué de presse. « Les acteurs de la menace adoptent désormais de nouvelles tactiques pour diffuser des logiciels malveillants, et l’utilisation accrue de fichiers tels que ISO, LNK et RAR devrait se poursuivre. »
Comment désactiver la protection contre les logiciels malveillants de Google ?
Évoluer avec le temps
Dans un échange de courriels, Harman Singh, directeur chez le fournisseur de services de cybersécurité Cyphere, a décrit les macros comme de petits programmes qui peuvent être utilisés pour automatiser des tâches dans Microsoft Office, les macros XL4 et VBA étant les macros les plus utilisées par les utilisateurs d’Office.
Du point de vue de la cybercriminalité, M. Singh a déclaré que les acteurs de la menace peuvent utiliser les macros pour des campagnes d’attaque plutôt méchantes. Par exemple, les macros peuvent exécuter des lignes de code malveillantes sur l’ordinateur d’une victime avec les mêmes privilèges que la personne connectée. Les acteurs de la menace peuvent abuser de cet accès pour exfiltrer des données d’un ordinateur compromis ou même pour s’emparer de contenus malveillants supplémentaires sur les serveurs du malware afin d’y introduire des logiciels malveillants encore plus nuisibles.
Toutefois, M. Singh s’empresse d’ajouter qu’Office n’est pas le seul moyen d’infecter les systèmes informatiques, mais « c’est l’une des [cibles] les plus populaires en raison de l’utilisation de documents Office par presque tout le monde sur Internet ».
Afin d’endiguer la menace, Microsoft a commencé à marquer certains documents provenant d’endroits non fiables, comme Internet, avec l’attribut Mark of the Web (MOTW), une chaîne de code qui désigne les fonctions de sécurité de déclenchement.
Dans ses recherches, Proofpoint affirme que la diminution de l’utilisation des macros est une réponse directe à la décision de Microsoft de marquer les fichiers de l’attribut MOTW.
Singh n’est pas surpris. Il explique que les archives compressées comme les fichiers ISO et RAR ne dépendent pas d’Office et peuvent exécuter du code malveillant par elles-mêmes. « Il est évident que le changement de tactique fait partie de la stratégie des cybercriminels pour s’assurer qu’ils mettent leurs efforts sur la meilleure méthode d’attaque qui a la plus grande probabilité [d’infecter les gens]. »
Contenir les logiciels malveillants
L’intégration des logiciels malveillants dans des fichiers compressés comme les fichiers ISO et RAR permet également d’échapper aux techniques de détection qui se concentrent sur l’analyse de la structure ou du format des fichiers, a expliqué Singh. « Par exemple, de nombreuses détections de fichiers ISO et RAR sont basées sur les signatures de fichiers, qui peuvent être facilement supprimées en compressant un fichier ISO ou RAR avec une autre méthode de compression. »
Selon Proofpoint, tout comme les macros malveillantes avant elles, le moyen le plus populaire d’acheminer ces archives chargées de malwares est le courrier électronique.
Les recherches de Proofpoint sont basées sur le suivi des activités de divers acteurs de menaces notoires. Elle a observé l’utilisation des nouveaux mécanismes d’accès initial par les groupes qui distribuent Bumblebee, et le malware Emotet, ainsi que par plusieurs autres cybercriminels, pour toutes sortes de malware.
« Plus de la moitié des 15 acteurs de la menace suivis qui ont utilisé des fichiers ISO [entre octobre 2021 et juin 2022] ont commencé à les utiliser dans des campagnes après janvier 2022 », a souligné Proofpoint.
Afin de renforcer votre défense contre ces changements de tactiques de la part des acteurs de la menace, M. Singh suggère de se méfier des courriels non sollicités. Il met également en garde contre le fait de cliquer sur des liens et d’ouvrir des pièces jointes, à moins d’être certain que ces fichiers sont sûrs.
« Ne faites confiance à aucune source, sauf si vous vous attendez à recevoir un message avec une pièce jointe », a réitéré Singh. « Faites confiance, mais vérifiez, par exemple, appelez le contact avant [d’ouvrir une pièce jointe] pour savoir s’il s’agit vraiment d’un courriel important de votre ami ou d’un courriel malveillant provenant de ses comptes compromis. »