Quand on connaît la propension des cybercriminels à exploiter les macros de Microsoft Office – ces petits bouts de programmes écrits en VBA permettant d’automatiser des tâches dans Word ou Excel -, la dernière alerte du premier éditeur mondial sur le sujet ne peut qu’inquiéter. Redmond affirme en effet avoir mis au jour une nouvelle technique permettant aux macros malicieuses d’échapper aux antivirus.
Le code découvert par les chercheurs du centre de protection contre les malwares de Microsoft renferme une souche bien connue, TrojanDownloader:O97M/Donoff, une (grande) famille de malwares ciblant Office. Des malwares habituellement détectés par les outils antivirus. Sauf que, cette fois, les assaillants ont utilisé des techniques de dissimulation nouvelles. « Réaliser que la macro était infectieuse n’était pas immédiat, écrivent Marianne Mallen et Wei Li, auteurs d’un billet de blog sur le sujet. Il s’agissait d’un fichier Word renfermant sept modules VBA et un formulaire VBA doté de quelques boutons (utilisant les éléments CommandButton). Les modules VBA ressemblaient à des programmes SQL légitimes exploitant des macros. »
Pour la société Palo Alto, on assiste actuellement à une résurgence des attaques par macro, poussée par le fait que toute une nouvelle génération d’utilisateurs a oublié les dangers que pouvaient recéler ces petits programmes. La récente campagne ciblant des terminaux points de vente d’une centaine d’organisations dans l’hôtellerie, la restauration et la distribution exploitait ce vecteur. Tout comme le malware bancaire Dridex, qui repose lui aussi sur des macros infectieuses pour assurer sa propagation. Ou comme le ransomware Locky qui a largement utilisé cette technique pour infecter nombre d’entreprises en France. Ou encore comme les assaillants qui sont parvenus à provoquer, via une cyberattaque, un blackout électrique en Ukraine, les macros ayant dans ce cas servi à prendre le contrôle du poste de certains utilisateurs. Selon McAfee, l’éditeur d’outils de sécurité appartenant à Intel, au cours du 3ème trimestre 2015, 45 000 cas de malwares se diffusant via des macros ont été isolés, contre seulement 10 000 un an plus tôt.
Face à cette recrudescence des attaques, Microsoft a décidé d’inclure dans Office 2016 une fonctionnalité permettant de neutraliser les menaces arrivant par les macros, en autorisant les administrateurs à imposer des règles bloquant strictement toute activation de ces petits programmes. Jusqu’à présent, les macros sont certes désactivées par défaut dans Office, mais les utilisateurs ont la possibilité de bypasser cette sécurité pour exécuter ces programmes. Et les cybercriminels exploitent la curiosité des utilisateurs pour les pousser à ouvrir leurs fichiers malicieux.
A lire aussi :
Pour contrer les menaces comme Locky, Microsoft bloque les macros d’Office 2016
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…