in

Comment Microsoft a scellé la technique d’infection clé des cybercriminels

Est-ce le crépuscule d’une des techniques les plus utilisées par les cybercriminels ? Selon la société de cybersécurité Proofpoint, entre octobre 2021 et juin 2022, les criminels ont réduit leur utilisation des macros VBA et XL4 de 66 %. Derrière ces noms techniques se cache un système de commandes intégré aux logiciels Microsoft Office (Word, Excel, Powerpoint…), qui permet aux utilisateurs d’automatiser certaines tâches, comme la mise à jour des chiffres d’une base de données ou la rédaction de rapports.

Les macros sont essentielles au fonctionnement des services RH et marketing de milliers d’entreprises et sont aussi massivement exploitées par les cybercriminels depuis les années 2010, au point qu’il devient le mécanisme le plus utilisé d’infection initiale des victimes. Après des années sans aborder directement le problème, Microsoft y travaille depuis octobre 2021, si réussi. Selon Proofpoint, c’est “l’un des plus grands changements de l’histoire récente de l’environnement des menaces par e-mailProblème : les criminels réorientent déjà leurs efforts vers d’autres techniques d’infection.

Comment les cybercriminels détournent Microsoft Excel pour installer des virus

L’écueil des macros Office enfin désarmé

En février 2022, Microsoft a discrètement annoncé qu’il modifierait le paramètre par défaut des macros sur les fichiers Office reçus sur Internet. Ce changement tant attendu a été salué par l’ensemble de la communauté de la cybersécurité. Concrètement, l’éditeur a adapté un bouton, permettant à chaque utilisateur d’activer les macros manuellement. Si le fichier contenait une macro malveillante, un simple clic sur la case “oui” du message s’affichait à l’ouverture du document et le mal était fait. Depuis le changement, cette interaction n’est plus possible. Désormais, l’utilisateur doit contacter l’administrateur de son réseau informatique pour activer les macros, ce qui réduit drastiquement les risques de tomber dans le piège et de lancer des logiciels malveillants.

Si les plus grands groupes cybercriminels comme Emotet ou Dridex ont tant exploité cette technique d’attaque, c’est parce qu’elle apportait de nombreux bénéfices. Tout d’abord, ils ont pu contourner les outils de détection antivirus des services de messagerie. Et pour cause : le fichier Excel ou Word malveillant ne contient pas la souche virale elle-même. La macro est juste une commande qui téléchargera et démarrera l’installation du logiciel malveillant lorsqu’elle sera activée. Cependant, la détection de l’intention de la macro nécessite un niveau d’analyse élevé, difficile à automatiser, d’autant plus que les cybercriminels disposent de méthodes pour entraver la compréhension de leurs macros.

Par la suite, cette méthode d’infection nécessite peu de compétences techniques, ce qui permet de mobiliser un grand nombre de criminels novices. Il suffit de quelques cerveaux pour créer les macros et mettre en place l’infrastructure de l’infection, après quoi n’importe qui peut lancer les attaques. Tout ce que vous avez à faire est d’écrire un e-mail persuasif (par exemple, prétendre être un collègue ou un client) qui encourage la cible à ouvrir la pièce jointe et à activer les macros. Plus cet e-mail est personnalisé pour la victime, plus il a de chances d’être un succès.

Les cybercriminels s’adaptent

Dès les premières annonces de Microsoft, en octobre, les cybercriminels ont commencé à modifier leurs méthodes. Selon les chercheurs de Proofpoint, ils sont passés à l’utilisation de “fichiers conteneurs” – tels que les fichiers ISO (.iso), RAR (.rar) ou ZIP (.zip) – qui peuvent inclure d’autres fichiers, pour implémenter la nouvelle macro bloqueur. Dans le détail, ces extensions empêchent les logiciels de la suite Office d’appliquer la balise “Mark of the Web” (MOTW) au fichier contenant la macro malveillante. Cependant, c’est cet attribut qui indique qu’un fichier a été téléchargé depuis Internet, ce qui déclenche le blocage par défaut des macros.

Concrètement, lorsque la victime télécharge un fichier ZIP ou ISO, ce dernier reçoit la marque MOTW. Cependant, si la victime extrait le fichier .zip, les documents qu’il contient n’auront pas la balise car ils ne sont pas considérés comme téléchargés depuis Internet. Les cybercriminels peuvent donc utiliser ce système de type cheval de Troie pour embarquer un fichier Excel avec des macros malveillantes, que la victime peut activer car la nouvelle protection n’est pas activée. Le conteneur peut également contenir des fichiers .lnk, .dll ou .exe, qui contiennent directement le virus.

Cependant, cette nouvelle méthode présente quelques inconvénients. Ils nécessitent un clic supplémentaire de la part de la victime, ce qui lui donne plus de temps pour se rendre compte que le fichier est suspect. Les utilisateurs se méfieront alors plus d’un fichier dont l’extension leur est inconnue que d’un fichier Word ou Excel, puisqu’ils en ouvrent plusieurs par jour. Autant dire que le changement opéré par Microsoft a rendu la tâche des cybercriminels plus difficile.