Une attaque Excel remise à l’ordre du jour

Des pirates informatiques ont mis à jour une ancienne technique d’attaque de malware Excel. Des chercheurs en sécurité informatiques ont identifié une nouvelle méthode qui n’exige plus que les victimes entrent un mot de passe pour ouvrir un document dangereux, ce qui rend les choses plus faciles pour infecter les usagers.

Les chercheurs de la société de sécurité Trustwave ont déclaré avoir découvert une nouvelle campagne de spam qui envoie des fichiers Excel 4.0 xls 97-2003 avec une macro compromise par messages électroniques. Le stratagème est prévisible et tente de duper les utilisateurs avec des thèmes allant de fausses factures à des leurres liés au COVID-19.

excel

Dans les campagnes précédentes, ce type d’attaque utilisait un document Excel 4.0 protégé par un mot de passe. Le corps du message contenait un mot de passe que les pirates utilisaient pour pousser les cibles à ouvrir le document Excel. L’idée est qu’un document Excel protégé par mot de passe est envoyé chiffré à l’aide de Microsoft Enhanced Cryptographic Provider v1.0. La couche de chiffrement permet souvent au courrier électronique malveillant de passer les défenses mises en place sur les serveurs de courrier électronique. Le document lui-même contient des feuilles de macro Excel 4.0 – dont l’une contient une macro malveillante.

La nouvelle technique utilise toujours un document Excel chiffré. Elle nécessite également une interaction de l’utilisateur, les utilisateurs doivent toujours être incités à ouvrir le document à partir de l’e-mail d’hameçonnage. La différence est que lorsqu’une victime ouvre le document protégé par mot de passe, les pirates informatiques ont trouvé une solution pour ouvrir le document chiffré et protégé par mot de passe sans nécessiter la saisie physique d’un mot de passe.

excel

Selon la chercheuse de Trustwave, Diana Lopera, dans un article de blog décrivant la découverte, “Un mot de passe a été appliqué aux fichiers Excel, qui utilisaient l’algorithme Microsoft Enhanced Cryptographic Provider v1.0 pour chiffrer les pièces jointes.”

Ensuite, elle explique: «Les documents protégés par mot de passe ne peuvent être ouverts qu’avec le mot de passe car c’est la clé nécessaire dans le processus de déchiffrement… Excel essaie d’abord d’ouvrir un fichier Excel protégé par mot de passe en utilisant [un] mot de passe par défaut «VelvetSweatshop» en mode lecture-seul. “

En arrière-plan, selon les chercheurs, le document Excel est ouvert à l’aide du mot de passe par défaut prédéterminé. «Par conséquent, aucune saisie de mot de passe n’a été requise de la part de l’utilisateur et aucun avertissement de l’application n’a été affiché. Le contenu des fichiers XLS a été immédiatement affiché. »

Cela permet au document Excel 4.0 malveillant de suivre une routine d’infection familière.

Les pirates ont intégré une activité malveillante dans des feuilles de macro avec des noms aléatoires.

“La macro va télécharger un fichier binaire à partir d’un site compromis, l’enregistrer sur le disque sous le lecteur C et les exécuter”, a-t-elle déclaré.

La macro est liée à un site compromis qui héberge Gozi, un cheval de Troie bancaire qui peut suivre les transactions bancaires d’une victime, volant les informations d’identification utilisées pour transférer des fonds depuis le compte d’une victime.

Un bug d’Excel connu depuis un moment

En effet, la façon dont Excel traite le fichier lorsqu’un utilisateur clique dessus est un bug en lecture seule connu depuis plus de 10 ans, ont noté les chercheurs de Trustwave. Des chercheurs du Mimecast Threat Center ont également découvert une campagne de diffusion récente du malware LimeRAT qui profite d’une vulnérabilité concernant cette fonctionnalité en lecture seule connue depuis 2013.

Les chercheurs de Trustwave ont déclaré que la menace faisait partie d’une série de nouvelles campagnes de spam exploitant la macro Excel 4.0 protégée par mot de passe.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x