Microsoft Office: un nouveau contournement de la protection a été observé

0

Les utilisateurs de Microsoft Excel sont ciblés dans une campagne de logiciels malveillants qui utilise une nouvelle technique d’obscurcissement des logiciels malveillants pour désactiver les défenses d’Office et diffuser le cheval de Troie Zloader.

L’attaque, selon une étude publiée par McAfee, associe des fonctions de Microsoft Office Word et Excel pour travailler ensemble pour télécharger la charge utile Zloader, sans déclencher d’avertissement de l’attaque malveillante pour les utilisateurs finaux.

Zloader est un cheval de Troie bancaire conçu pour voler les identifiants et autres informations privées des utilisateurs des institutions financières ciblées.

Le vecteur d’attaque initial est constitué de messages d’hameçonnage sur la boite de réception électronique avec des pièces jointes de documents Word qui ne contiennent aucun code malveillant. Ainsi, il ne déclencherait généralement pas une passerelle de messagerie ou un logiciel antivirus côté client pour bloquer l’attaque.

zloader

La technique de macro-obscurcissement exploite à la fois les champs d’échange de données dynamiques (DDE) Excel de Microsoft Office et Visual Basic for Applications (VBA) sur Windows pour lancer des attaques contre les systèmes prenant en charge les formats XLS hérités.

Chaîne d’infection initiale

« Le malware arrive via un e-mail d’hameçonnage contenant un document Microsoft Word en pièce jointe. Lorsque le document est ouvert et que les macros sont activées, le document Word, à son tour, télécharge et ouvre un autre document Microsoft Excel protégé par mot de passe », ont écrit les chercheurs.

Ensuite, une instruction basée sur VBA intégrée dans le document Word lit une cellule de feuille de calcul Excel spécialement conçue pour créer une macro. Cette macro remplit une cellule supplémentaire dans le même document XLS avec une macro VBA supplémentaire, ce qui désactive les défenses d’Office.

« Une fois les macros écrites et prêtes, le document Word définit la politique du registre sur « Désactiver l’avertissement de macro Excel » et appelle la fonction de macro malveillante à partir du fichier Excel. Le fichier Excel télécharge maintenant la charge utile Zloader. La charge utile Zloader est ensuite exécutée à l’aide de rundll32.exe », ont déclaré les chercheurs.

Comment fonctionne l’obscurcissement?

Étant donné que Microsoft Office désactive automatiquement les macros, les attaquants tentent de tromper les destinataires de l’e-mail pour les activer avec un message apparaissant dans le document Word.

“Ce document est créé dans la version précédente de Microsoft Office Word. Pour afficher ou modifier ce document, veuillez cliquer sur le bouton « Activer la modification » dans la barre supérieure, puis cliquez sur « Activer le contenu », indique le message.

C’est à ce moment que les auteurs de logiciels malveillants exploitent DDE et VBA, deux outils standard de Microsoft fournis avec Windows.

microsoft excel

DDE est une méthode de transfert de données entre des applications, telles qu’Excel et Word. Dans ce cas, le processus met à jour le contenu d’une cellule de feuille de calcul avec les informations de Word. Le document Word peut alors lire le contenu d’une cellule Excel spécifique du fichier .XLS téléchargé. Ensuite, le document Excel est rempli avec les instructions VBA basées sur Word.

VBA est le langage de programmation de Microsoft pour Excel, Word et d’autres programmes Office. VBA permet aux utilisateurs de créer des chaînes de commandes à l’aide d’un outil appelé Macro Recorder. Dans ce cas, comme pour d’autres abus de VBA, les auteurs de logiciels malveillants créent des scripts de macro malveillants.

« Excel enregistrera toutes les étapes effectuées par un utilisateur et les enregistrera en tant que ‘processus’ connu sous le nom de macro. Lorsque l’utilisateur termine l’enregistreur, cette macro est enregistrée et peut être affectée à un bouton qui exécutera à nouveau exactement le même processus lorsqu’il sera cliqué », selon une description de VBA.

Désactivation les avertissements de macro Excel

Les auteurs de logiciels malveillants parviennent à contourner les avertissements en incorporant des instructions dans le document Word pour extraire le contenu des cellules Excel, ont écrit les chercheurs. Ensuite, le fichier Word parent « crée un nouveau module VBA dans le fichier Excel téléchargé en écrivant le contenu récupéré ».

Une fois la macro Excel créée et prête à être exécutée, le script modifiera la RegKey de Windows pour désactiver l’accès de confiance pour VBA sur la machine de la victime. Cela permet au script d’exécuter la fonction de manière transparente sans aucun avertissement de Microsoft Office, ont écrit les chercheurs.

Après avoir désactivé l’accès de confiance, un nouveau VBA d’Excel est créé et exécuté, déclenchant le téléchargement de Zloader.

« Les documents malveillants ont été un point d’entrée pour la plupart des familles de logiciels malveillants et ces attaques ont fait évoluer leurs techniques d’infection et d’obscurcissement, ne se limitant pas seulement aux téléchargements directs de la charge utile à partir de VBA, mais créant des agents dynamiquement pour télécharger la charge utile comme nous en avons discuté dans ce blog » les chercheurs ont écrit. « Nous suggérons qu’il est sûr d’activer les macros uniquement lorsque le document reçu provient d’une source de confiance. »

Laisser un commentaire