Posté le juin 25, 2019 à 21:53
MICROSOFT MET EN GARDE LES UTILISATEURS DE NE PAS ACTIVER LES MACROS OU ILS SERONT INFECTÉS PAR UN LOGICIEL MALVEILLANT
Les menaces des logiciels malveillants deviennent de plus en plus inquiétantes d’année en année. La menace semble évoluer à un rythme rapide, les hackers développant sans cesse de nouvelles formes plus avancées de logiciels malveillants qui se propagent de toutes les manières possibles. Les moyens novateurs de propager et d’infecter les utilisateurs d’Internet sont finalement découverts, mais le manque de sensibilisation peut amener de nombreuses personnes à être infectées, même si leurs appareils sont entièrement mis à jour.
Selon Microsoft, il existe actuellement un nouveau programme malveillant Windows qui se propage via Excel dans des e-mails contenant une macro malveillante. À cause de cela, Microsoft a averti les utilisateurs, les exhortant à ne pas activer les macros tant que la nouvelle cyber-campagne reposant sur les fonctionnalités Office n’aurait pas été traitée.
Un logiciel malveillant utilise à mauvais escient les fonctionnalités intégrées pour se propager
Compte tenu de la popularité des applications Microsoft Office dans le monde entier, il est clair que les hackers ont concentré leurs efforts sur la création de logiciels malveillants qui peut utiliser à mauvais escient ces fonctionnalités pour se propager. Malheureusement, certains des outils les plus préférés sont maintenant compromis et pourraient infecter des quantités énormes de PC Windows, bien qu’ils puissent être entièrement protégés.
Le seul moyen pour Microsoft de protéger ses utilisateurs a été de sensibiliser et de les avertir de la nouvelle menace. La société a donc mis en garde ses clients sur l’utilisation d’Office. Plus tôt ce mois-ci, le géant de la technologie a déclaré que des hackers envoyaient du spam qui exploitait une faille d’Office, ce qui entraînait l’installation d’un cheval de Troie. Il a également été découvert que la présence de la faille signifie qu’il n’est pas nécessaire pour les attaquants que les utilisateurs activent les macros.
Mais, selon les nouvelles informations, il existe maintenant une nouvelle campagne de programmes malveillants qui adopte l’approche inverse et utilise la fonction macro d’Excel pour compromettre les appareils. En d’autres termes, il n’y a pas de vulnérabilité spécifique pouvant être corrigée — elle exploite une fonctionnalité légitime dans une pièce jointe Excel.
Comment se déroule l’attaque ?
Selon les informations communiquées par l’équipe de renseignement de sécurité de l’entreprise, cette nouvelle campagne utilise une chaîne d’infection complexe afin de télécharger et d’exécuter le cheval de Troie nommé FlawedAmmyy. Il s’agit d’un cheval de Troie d’accès à distance, ou RAT, qui est envoyé directement dans la mémoire du PC infecté. Ce n’est pas un nouveau RAT et il a été utilisé à plusieurs reprises dans le passé, principalement contre des entreprises des secteurs de la vente au détail et de la finance.
Selon Proofpoint, une société de sécurité bien connue, il est probable que le groupe de piratage responsable de l’attaque soit TA505. C’est un groupe qui utilise souvent des pièces jointes de Microsoft ainsi que sur l’ingénierie sociale pour infecter les systèmes des autres.
Les experts ont également expliqué l’attaque, en notant qu’elle commence par un e-mail et une pièce jointe Excel ou .xls. C’est le genre de pièce jointe que Microsoft met en garde les utilisateurs de ne pas ouvrir en aucune circonstance. Toutefois, dans les cas où la pièce jointe est ouverte, le fichier commencera à exécuter une fonction macro qui exécutera msiexec.exe, qui téléchargera ensuite une archive MSI.
Après cela, l’archive MSI extrait un exécutable signé numériquement contenu dans celui-ci et l’exécute. Cet exécutable décrypte et exécute un autre exécutable dans la mémoire de l’appareil. Tout cela permet au logiciel malveillant d’éviter d’être détecté même si les utilisateurs disposent d’un antivirus entièrement à jour. Mais ce n’est pas la fin du processus non plus, car le programme malveillant télécharge alors un fichier appelé wsus.exe qui est ensuite déchiffré.
Ce fichier est conçu pour ressembler au service de mise à jour de service Microsoft Windows ou WSUS. Le fichier décrypte ensuite la charge utile en RAM et la charge utile de FlawedAmmyy est livrée.
Logiciels malveillants ciblant les utilisateurs coréens
Jusqu’à présent, il semble que l’attaque vise principalement les coréens, ce qui a été déduit du fait que la pièce jointe contient des caractères de langue coréenne. Pendant ce temps, Microsoft investit dans l’infrastructure de Windows Defender, dans l’espoir d’améliorer l’antivirus intégré et d’en faire un meilleur obstacle aux logiciels malveillants.
Une autre société de sécurité, TrendMicro, a récemment signalé que TA505 semblait cibler les utilisateurs de Windows dans certains endroits précis, notamment en Chine, à Taiwan, au Chili, au Mexique et en Corée du Sud, ce qui confirme que le logiciel malveillant ne soit pas seulement destiné à attaquer les Sud-Coréens. Toutefois, si TrendMicro a raison, il est possible que les utilisateurs Windows situés dans d’autres zones spécifiées puissent commencer à connaître des problèmes similaires dans un proche avenir.