Excel 4.0: les pirates abusent des macros pour distribuer des malwares

0

Les pirates informatique adoptent de plus en plus les documents Excel 4.0 comme vecteur initial de distribution de logiciels malveillants tels que ZLoader et Quakbot, selon une nouvelle recherche.

Les résultats proviennent d’une analyse de 160 000 documents Excel 4.0 entre Novembre 2020 et Mars 2021, dont plus de 90% ont été classés comme malveillants ou suspects.

« Le plus grand risque pour les entreprises ciblées et les individus est le fait que les solutions de sécurité ont encore beaucoup de problèmes avec la détection des documents Excel 4.0 malveillants, la plupart échappe aux détections conventionnelles basées sur la signature et les règles YARA écrites par les analystes, » ont déclaré les chercheurs de ReversingLabs dans un rapport.

hacking

Les macros Excel 4.0 (XLM), le précurseur de Visual Basic for Applications (VBA), est une fonctionnalité héritée incorporée dans Microsoft Excel pour des raisons de rétrocompatibilité. Microsoft avertit dans son document de support que l’activation de toutes les macros peut provoquer l’utilisation de « code potentiellement dangereux ».

Le Quakbot en constante évolution (alias QBOT), depuis sa découverte en 2007, est resté un cheval de Troie bancaire notoire capable de voler des informations d’identification bancaires et d’autres informations financières, tout en gagnant des fonctionnalités de propagation vermifuge. Généralement diffusées via des documents Office, les variantes de QakBot ont été en mesure de fournir d’autres charges utiles de malware, enregistrer les frappes des utilisateurs, et même créer une porte dérobée sur les machines compromises.

excel

Dans un document analysé par ReversingLabs, le malware a non seulement trompé les utilisateurs en activant des macros avec des leurres convaincants, mais est également venu avec des fichiers intégrés contenant des macros XLM qui téléchargent et exécutent une charge utile malveillante de deuxième étape récupérée à partir d’un serveur distant. Un autre échantillon contenait une charge utile encodée en Base64 dans l’une des feuilles, qui a ensuite tenté de télécharger des logiciels malveillants supplémentaires à partir d’une URL bizarre.

« Même si la rétrocompatibilité est très importante, certaines choses devraient avoir une espérance de vie et, du point de vue de la sécurité, il serait probablement préférable qu’elles soient dépréciées à un moment donné », ont noté les chercheurs. « Le coût de l’entretien des macros vieilles de 30 ans devrait être évalué face aux risques pour la sécurité liés à l’utilisation d’une technologie aussi dépassée. »

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.