Clé à emporter
- La décision de Microsoft de bloquer les macros privera les pirates de ce moyen populaire de distribution de logiciels malveillants.
- Cependant, les chercheurs notent que les cybercriminels ont déjà changé de stratégie et ont considérablement réduit l'utilisation de macros dans les récentes campagnes de logiciels malveillants.
- Bloquer les macros est un pas dans la bonne direction, mais en fin de compte, les gens doivent être plus vigilants pour éviter d'être infectés, suggèrent les experts.
Alors que Microsoft a mis du temps à décider de bloquer les macros par défaut dans Microsoft Office, les pirates ont rapidement contourné cette limitation et conçu de nouveaux vecteurs d'attaque.
Selon une nouvelle étude du fournisseur de sécurité Proofpoint, les macros ne sont plus le moyen préféré de distribution de logiciels malveillants. L'utilisation de macros courantes a diminué d'environ 66 % entre octobre 2021 et juin 2022. En revanche, l'utilisation de fichiers ISO (une image disque) a enregistré une augmentation de plus de 150 %, tandis que l'utilisation de LNK (Windows File Shortcut) les fichiers ont augmenté de 1 675 % dans le même laps de temps. Ces types de fichiers peuvent contourner les protections de blocage de macros de Microsoft.
"Les acteurs de la menace s'éloignent de la distribution directe de pièces jointes basées sur des macros dans les e-mails, ce qui représente un changement significatif dans le paysage des menaces", a déclaré Sherrod DeGrippo, vice-président, Threat Research and Detection chez Proofpoint, dans un communiqué de presse. "Les acteurs de la menace adoptent désormais de nouvelles tactiques pour diffuser des logiciels malveillants, et l'utilisation accrue de fichiers tels que ISO, LNK et RAR devrait se poursuivre."
Évoluer avec le temps
Dans un échange d'e-mails avec Lifewire, Harman Singh, directeur du fournisseur de services de cybersécurité Cyphere, a décrit les macros comme de petits programmes pouvant être utilisés pour automatiser des tâches dans Microsoft Office, les macros XL4 et VBA étant les macros les plus couramment utilisées par Utilisateurs d'Office.
Du point de vue de la cybercriminalité, Singh a déclaré que les acteurs de la menace peuvent utiliser des macros pour certaines campagnes d'attaque assez désagréables. Par exemple, les macros peuvent exécuter des lignes de code malveillantes sur l'ordinateur d'une victime avec les mêmes privilèges que la personne connectée. Les acteurs de la menace peuvent abuser de cet accès pour exfiltrer des données d'un ordinateur compromis ou même pour récupérer du contenu malveillant supplémentaire sur les serveurs du logiciel malveillant afin d'extraire des logiciels malveillants encore plus dommageables.
Cependant, Singh n'a pas tardé à ajouter qu'Office n'est pas le seul moyen d'infecter les systèmes informatiques, mais "c'est l'une des [cibles] les plus populaires en raison de l'utilisation des documents Office par presque tout le monde sur Internet."
Pour régner sur la menace, Microsoft a commencé à baliser certains documents provenant d'emplacements non fiables, comme Internet, avec l'attribut Mark of the Web (MOTW), une chaîne de code qui désigne les éléments de sécurité déclencheurs.
Dans ses recherches, Proofpoint affirme que la diminution de l'utilisation des macros est une réponse directe à la décision de Microsoft de marquer l'attribut MOTW sur les fichiers.
Singh n'est pas surpris. Il a expliqué que les archives compressées telles que les fichiers ISO et RAR ne dépendent pas d'Office et peuvent exécuter du code malveillant par elles-mêmes. "Il est évident que le changement de tactique fait partie de la stratégie des cybercriminels pour s'assurer qu'ils concentrent leurs efforts sur la meilleure méthode d'attaque qui a la plus grande probabilité de [infecter des personnes]."
Contenant des logiciels malveillants
L'intégration de logiciels malveillants dans des fichiers compressés tels que les fichiers ISO et RAR permet également d'échapper aux techniques de détection qui se concentrent sur l'analyse de la structure ou du format des fichiers, a expliqué Singh. "Par exemple, de nombreuses détections de fichiers ISO et RAR sont basées sur des signatures de fichiers, qui peuvent être facilement supprimées en compressant un fichier ISO ou RAR avec une autre méthode de compression."
Selon Proofpoint, tout comme les macros malveillantes avant elles, le moyen le plus populaire de transporter ces archives chargées de logiciels malveillants est le courrier électronique.
Les recherches de Proofpoint sont basées sur le suivi des activités de divers acteurs notoires de la menace. Il a observé l'utilisation des nouveaux mécanismes d'accès initial utilisés par les groupes qui distribuent Bumblebee et le logiciel malveillant Emotet, ainsi que par plusieurs autres cybercriminels, pour toutes sortes de logiciels malveillants.
"Plus de la moitié des 15 pirates suivis qui ont utilisé des fichiers ISO [entre octobre 2021 et juin 2022] ont commencé à les utiliser dans des campagnes après janvier 2022", a souligné Proofpoint.
Afin de renforcer votre défense contre ces changements de tactiques par les acteurs de la menace, Singh suggère aux gens de se méfier des e-mails non sollicités. Il met également en garde les utilisateurs contre le fait de cliquer sur des liens et d'ouvrir des pièces jointes à moins qu'ils ne soient convaincus sans aucun doute que ces fichiers sont sûrs.
"Ne faites confiance à aucune source à moins que vous n'attendiez un message avec une pièce jointe", a réitéré Singh. "Faites confiance, mais vérifiez, par exemple, appelez le contact avant [d'ouvrir une pièce jointe] pour voir s'il s'agit vraiment d'un e-mail important de votre ami ou d'un e-mail malveillant provenant de ses comptes compromis."
