Lorsque Microsoft a restreint toutes les macros Excel 4.0 par défaut plus tôt en 2022 pour empêcher les acteurs de la menace d’abuser de la fonctionnalité pour distribuer des logiciels malveillants, de nombreux experts en sécurité pensaient que les acteurs de la menace passeraient simplement à une autre verticale d’attaque.
Cependant, des chercheurs en sécurité de Netskope ont trouvé des Exceller Les fichiers sont toujours très populaires car les utilisateurs utilisent toujours des versions anciennes et non protégées du logiciel et sont, en tant que tels, toujours sensibles à ce type d’attaque.
Dans un article de blog (s’ouvre dans un nouvel onglet)l’ingénieur de recherche sur les menaces du personnel de Netskope, Gustavo Palazolo, a expliqué comment l’entreprise a récemment découvert des « centaines » de documents Office malveillants utilisés pour télécharger et exécuter Emotet.
Menace unique
Emotet est un cheval de Troie capable de voler des informations et de déposer des charges utiles malveillantes supplémentaires sur la cible point final.
Après avoir effectué une recherche de fichiers similaires sur VirusTotal, l’équipe a découvert 776 feuilles de calcul malveillantes, soumises en seulement une semaine et demie, en juin. La plupart des fichiers partagent les mêmes URL et certaines métadonnées, ce qui amène les chercheurs à conclure qu’il s’agit probablement du travail d’un seul acteur de la menace.
Au total, l’équipe a extrait 18 URL, dont quatre étaient toujours en ligne et livraient la charge utile malveillante à l’époque.
Les fichiers sont distribués de manière traditionnelle – par e-mail. La victime recevrait un e-mail prétendant être un formulaire de paiement pour un service, des factures médicales ou des documents, ou tout ce qui pourrait inciter les gens à télécharger et à ouvrir la pièce jointe si rien n’est alors par curiosité.
Certains fichiers étaient même compressés et protégés par un mot de passe, susceptibles d’échapper aux services antivirus ou de protection des e-mails.
Les utilisateurs exécutant le fichier le verraient vide, à l’exception d’un message indiquant que le contenu du fichier est « protégé » jusqu’à ce qu’il active l’édition, ce qui active également les macros.
Pour mieux se défendre contre ce type de phishing, les entreprises sont encouragées à former leurs employés sur la façon de détecter le phishing, de maintenir leur matériel et leurs logiciels à jour et d’exécuter des solutions antivirus appropriées, pare-feuet des services d’authentification multifacteur.
- Emotet est moins une menace si vous avez l’une des meilleures solutions antivirus en cours d’exécution