Le nouveau rapport du HP Wolf Security note une sensible augmentation ciblant les add-ins Excel et PowerPoint au troisième trimestre 2023 et s’inquiète d’une nouvelle tendance, les « Meal Kits » infectés, une nouvelle forme de bizutage des hackers en herbe.
L’annonce de Microsoft de retirer VBScript des futures versions de Windows n’est pas un hasard. Comme le révèle le nouveau rapport trimestriel du HP Wolf Security, le troisième trimestre 2023 a été marqué par des campagnes d’attaques utilisant des scripts JavaScript et VBScript et leurs moteurs d’exécution intégrés au cœur des systèmes d’exploitation.
Comme le dévoile le nouveau rapport, de tels scripts ont massivement été utilisés par un gang se faisant passer pour une entreprise de livraison afin de diffuser les malwares Vjw0rm et Houdini. L’attaque démarrait par l’envoi de pièces attachées contenant un code JavaScript caché. Ce dernier générait non seulement un script JavaScript de chargement d’un malware dénommé Vjw0rm (installé ensuite dans les clés RUN de lancement automatique de Windows) et un script VBScript installant l’ancestral RAT « Houdini » ! Preuve que les vieilles menaces peuvent toujours servir…
L’email, perpétuelle voie d’entrée
Sans surprise, 80% des menaces identifiées par HP Wolf Security ont été envoyées par email durant ce troisième trimestre 2023. Le reste vient de téléchargements réalisés depuis les navigateurs Web (11%) et d’autres vecteurs comme les clés USB (9%).
Mais le chiffre inquiétant est ailleurs. Les experts ont mesuré que 12% de ces menaces étaient parvenues à échapper aux scanners d’email des fournisseurs de passerelles. Un chiffre qui reste relativement stable de trimestre en trimestre.
On notera au passage un autre chiffre : les archives (ZIP, RAR, ARC, etc.) représentent le type de diffusion de logiciels malveillants le plus populaire. Elles sont utilisées dans 36% des attaques.
Mais ce que cette édition du rapport révèle, c’est surtout une résurgence des attaques Office.
Microsoft Office toujours ciblé
Par leur omniprésence sur les postes des entreprises et leur extensibilité parfois fragile, les composantes de la suite Office restent encore et toujours ciblées par les cybercriminels qui exploitent le manque de formation des utilisateurs et les possibilités d’extension de ces outils pour s’ouvrir des portes et infecter les machines bureautiques. La pratique n’est pas nouvelle mais semble avoir reçu un regain d’intérêt chez les attaquants au troisième trimestre.
Ainsi, les attaques s’appuyant sur les fichiers Excel ont augmenté de 91% sur ce trimestre. L’utilisation de fichiers Excel Add-In (XLL) pour mener une attaque est passée de 46ème à la 7ème position dans le classement des extensions les plus utilisées par les cyberattaques.
Les fichiers Excel Add-in (XLL), qui sont conçus pour ajouter des fonctionnalités supplémentaires à Excel, sont maintenant exploités par les cybercriminels. Une technique répandue implique le déguisement de ces add-ins en factures scannées ou en documents officiels. Une fois ouverts, ces fichiers peuvent déclencher le téléchargement de logiciels malveillants tels que le RAT Parallax, offrant aux attaquants un contrôle total sur les systèmes infectés.
On notera que les cyberattaquants savent désormais se passer des macros : 91% des menaces liées aux fichiers Excel (comme XLS, XLSM, XLSX) dépendaient de l’exploitation de vulnérabilités pour exécuter du code plutôt que de l’utilisation de macros.
Parallèlement, PowerPoint n’est pas en reste. Des attaques récentes en Amérique latine ont vu des présentations PowerPoint servir de cheval de Troie pour infiltrer des systèmes informatiques d’hôtels. Ces présentations, souvent envoyées par email, contiennent des macros malveillantes qui, une fois activées, installent discrètement des malwares comme XWorm.
Quand les cybercriminels s’en prennent aux attaquants novices…
Alex Holland, Senior Malware Analyst au sein de l’équipe de recherche HP Wolf Security, rappelle que des kits permettent aisément aux novices d’expérimenter des attaques et d’en mener contre leurs premières cibles : « Aujourd’hui, les cyber-malfaiteurs peuvent facilement acheter des « Meal Kits » de logiciels malveillants prêts à l’emploi et accessibles, qui infectent les systèmes en un seul clic. Ce qui leur évite de créer leurs propres outils ».
Mais HP note une nouvelle tendance… Celle du « bizutage » ! Certains gangs y ont trouvé un nouveau Business. Ils développent de faux « Meal Kits », de faux kits de construction de logiciels malveillants, et les diffusent sur des sites de développement comme GitHub. Ces dépôts de codes malveillants conduisent en réalité les cyberattaquants novices à infecter leurs propres machines qui sont ensuite espionnées et parfois transformées en Bots. HP Wolf Security donne l’exemple d’un des malwares les plus populaires XWorm. Son coût qui dépasse allègrement les 500$ est considéré comme trop élevé par les novices qui cherchent alors des alternatives pirates ou « gratuites ». Des alternatives vérolées par défaut qui embarquent ce qu’il faut pour infecter la machine de l’apprenti hacker.
Preuve qu’il se passe toujours autant de choses dans l’univers des cyberattaquants et des cyberattaques.