Lorsque Microsoft a restreint toutes les macros Excel 4.0 par défaut au début de 2022 pour empêcher les acteurs de la menace d'abuser de la fonctionnalité pour distribuer des logiciels malveillants, de nombreux experts en sécurité pensaient que les acteurs de la menace passeraient simplement à une autre verticale d'attaque.
Cependant, les chercheurs en sécurité de Netskope ont découvert que les fichiers Excel militarisés restent très populaires car les utilisateurs utilisent toujours d'anciennes versions non protégées du logiciel et, en tant que tels, sont toujours sensibles à ce type d'attaque.
Dans un article de blog (s'ouvre dans un nouvel onglet), l'ingénieur de recherche sur les menaces de Netskope, Gustavo Palazolo, a expliqué comment l'entreprise a récemment découvert des "centaines" de documents Office malveillants utilisés pour télécharger et exécuter Emotet.
menace unique
Emotet est un cheval de Troie capable de voler des informations et de lancer des charges utiles malveillantes supplémentaires sur l'appareil cible.
Après avoir effectué une recherche de fichiers similaires sur VirusTotal, l'équipe a découvert 776 feuilles de calcul malveillantes, envoyées en seulement une semaine et demie, en juin. La plupart des fichiers partagent les mêmes URL et certaines métadonnées, ce qui a amené les chercheurs à conclure qu'il s'agit probablement du travail d'un seul acteur de la menace.
Au total, l'équipe a extrait 18 URL, dont quatre étaient toujours actives et diffusaient la charge utile malveillante à l'époque.
Les fichiers sont distribués de manière traditionnelle : par email. La victime recevrait un e-mail prétendant être un formulaire de paiement pour un service, des factures ou des documents médicaux, ou tout ce qui peut inciter les gens à télécharger et à ouvrir la pièce jointe si rien n'est par curiosité.
Certains fichiers étaient même compressés et protégés par un mot de passe, ce qui pouvait être ignoré par la protection des e-mails ou les services antivirus.
Les utilisateurs exécutant le fichier le verront vide, à l'exception d'un message indiquant que le contenu du fichier est "archivé" jusqu'à ce qu'il active la modification, ce qui active également les macros.
Pour mieux se défendre contre ce type de phishing, les entreprises sont encouragées à former leurs employés à la détection du phishing, à maintenir leur matériel et leurs logiciels à jour et à exécuter des solutions antivirus, des pare-feu et des services d'authentification multifacteur appropriés.
- Emotet est moins une menace si vous avez l'une des meilleures solutions antivirus en cours d'exécution