Posté le septembre 7, 2020 à 18:55
UN GROUPE DE HACKERS GÉNÈRE DE FAUX DOCUMENTS EXCEL POUR TROMPER LES EXPERTS EN SÉCURITÉ
Un groupe de hackers vient d’être démasqué pour avoir créé un moyen illégal de passer les contrôles de sécurité. Ils utilisent une astuce malveillante mais brillante pour générer des fichiers Excel malveillants. Ces fichiers sont assez difficiles à voir lors des contrôles de sécurité et peuvent facilement échapper à la sécurité.
Le groupe de hackers Epic Manchego est derrière les attaques
Les chercheurs en sécurité des laboratoires NVISO sont à l’origine de cette découverte révolutionnaire. Baptisé Epic Manchego, ce groupe de hackers a été créé en juin et est toujours actif depuis. Ils se spécialisent dans le ciblage d’entreprises du monde entier en envoyant des e-mails de phishing accompagnés d’un document Excel infecté.
Cependant, des rapports officiels de NVISO ont indiqué que ces documents ne sont pas des feuilles de calcul Excel typiques. Ces fichiers Excel nocifs peuvent contourner les scanners de sécurité. De plus, ils ont également un faible taux de détection. Les fichiers ont été créés à l’aide d’EPPlus.
Selon une déclaration officielle de NVISO, cela a été possible car les documents n’ont jamais été générés avec la version traditionnelle de la suite Microsoft Office. Ils ont plutôt été créés avec la bibliothèque .NET connue sous le nom d’EPPlus.
Les développeurs utilisent naturellement cette fonction de bibliothèque depuis leur application système pour ajouter des fonctions spécifiques comme « Enregistrer sous forme de feuille de calcul » ou « Exporter sous Excel ». Cette bibliothèque est utile pour générer des fichiers dans différentes catégories de tableurs.
Elle prend également en charge la version 2019 d’Excel. NVISO a par ailleurs déclaré qu’il semble que la tristement célèbre bande ait créé des fichiers de tableur avec EPPlus en utilisant le format OOXML (Office Open XML).
Il se trouve que ces fichiers OOXML ne comportent pas certaines parties du code VBA compilé, qui sont exclusives aux fichiers Excel créés avec la suite Microsoft Office.
Des outils antivirus spécifiques et des scanners de courrier électronique se contentent d’observer cette partie du code VBA pour détecter les signes probables de fichiers Excel nocifs. Ce scénario explique pourquoi les fichiers Excel créés par les hackers n’ont pas pu être facilement découverts par rapport à d’autres fichiers Excel malveillants.
Le code VBA compilé contient des segments spécifiques où le code malveillant des pirates est stocké. Mais cela n’indique pas que les fichiers n’étaient pas nuisibles.
NVISO a signalé que le gang avait créé un format de code VBA exclusif et y avait stocké son code malveillant. Il a également déclaré que le format de code VBA est protégé par un mot de passe pour éviter que le contenu ne soit analysé par les chercheurs et les systèmes de sécurité.
Cependant, même si le gang avait utilisé une autre méthode pour créer ce fichier Excel malveillant, le tableur créé par EPPlus fonctionnait toujours comme un fichier Excel standard.
Créé en juin et actif depuis lors
Ces fichiers malveillants, également connus sous le nom de maldocs, contenaient également un script de macro malveillante. Lorsque des utilisateurs peu méfiants qui ouvrent les fichiers Excel permettent l’exécution du script (lorsqu’ils cliquent sur la touche « Activer la modification »), les macros du système téléchargent des logiciels malveillants et les installent sur les systèmes des victimes.
Enfin, vous obtenez les charges utiles finales : des voleurs d’informations naturelles comme AgentTesla, njRat, Matiex, Formbook et Azorult. Ces voleurs d’informations récupèrent les mots de passe des e-mails, des clients FTP et des e-mails des victimes et les envoient à des serveurs appartenant à Epic Machengo.
Alors que le choix de générer leurs documents Excel malveillants avec EPPlus a pu initialement apporter certains avantages au groupe de malfaiteurs, cette décision a également fini par nuire au groupe sur le long terme. Grâce à EPPlus, NVISO a pu retrouver sans effort toutes les opérations de piratage précédentes en trouvant des documents Excel qui avaient l’air bizarres.
A la fin de la recherche, NVISO a déclaré avoir trouvé plus de 200 fichiers Excel malveillants liés au groupe de malfaiteurs, tandis que le premier fichier remontait au 22 juin 2020.
Les documents Excel générés par EPPlus sont-ils une nouvelle menace pour la cybersécurité ?
Il est possible qu’Epic Manchego en soit encore au stade de l’expérimentation de sa nouvelle technique. Depuis qu’ils ont commencé à l’utiliser, leur activité a augmenté et la méthode d’attaque a sans aucun doute évolué. Cela indique qu’elle pourrait être largement utilisée à l’avenir pour commettre des cybercrimes encore plus importants.
Lors de la dernière série d’événements, NVISO a finalement admis qu’elle connaissait l’outil EPPlus. Ils ont déclaré qu’ils étaient également utilisés pour créer des fichiers nocifs (maldocs) pour leurs testeurs de pénétration et l’équipe rouge.
Ce qui est drôle ici, c’est qu’ils ressemblaient à des documents Excel. Cependant, ce ne sont pas des documents Excel ordinaires. Ils semblent pourtant assez réels pour tromper les systèmes de sécurité.
Ce qui semble être un événement inattendu est maintenant utilisé par des personnes malveillantes pour contourner les systèmes de sécurité et obtenir un accès illégal.