Que ce soit pour du phishing ou pour introduire une menace sur la machine d’une victime au travers d’un document Office, l’email reste un des vecteurs d’attaque les plus récurrents. Ces cyberattaques ne sont pas nouvelles mais elles continuent de se diversifier et de faire mouche.
La grande majorité des cambrioleurs accèdent au domicile de leurs victimes par la porte d’entrée. Chaque foyer en est équipé et pourtant, elles ne sont pas toujours verrouillées.
Depuis de nombreuses années, les documents Microsoft Office sont des portes d’entrée numériques. Nous avons presque tous utilisé des documents Office à un moment ou à un autre, qu’il s’agisse de Word, PowerPoint ou Excel, et chaque jour, des milliers d’e-mails sont échangés avec ces types de documents en pièce jointe. La plupart du temps, nous les ouvrons sans même nous questionner quant à la source. Ce qui en fait un vecteur d’attaque.
En France, 72% des attaques des 30 derniers jours ont comme vecteur les e-mails contenant des liens de phishing ainsi que des documents de type MS Word. Les experts sont formels : ce type d’attaques ne fera que s’intensifier.
L’utilisation malveillante des documents Microsoft est un phénomène tellement fréquent qu’ils ont même leur propre nom : maldocs. L’une des principales techniques utilisées par les cybercriminels pour les créer consiste à faire un usage abusif des macros. Fort heureusement, Microsoft a créé un système visant à bloquer les macros par défaut, mais cela a pris un certain temps.
Voyons alors comment les chaînes d’infection par e-mail se diversifient en 2022.
Le problème récurrent des macros
Les macros-Office sont des programmes spéciaux dont se servent depuis des années les cybercriminels pour diffuser des logiciels malveillants dans les pièces jointes des e-mails. Les sociétés de sécurité luttent contre cette pratique depuis des années, mais il a toujours été clair que la clé de la prévention des abus de macro se trouvait entre les mains de Microsoft lui-même. En effet, en février de cette année, Microsoft a annoncé son intention de modifier les paramètres par défaut d’Office pour désactiver les macros, avant de revenir sur cette décision en juillet, puis d’annoncer que le processus se poursuivrait comme prévu.
Des PoC sont réalisés et des exploits actifs utilisant des macros VBA sont apparus dès 1995, ils n’avaient pas de fonctionnalité de vol d’informations et étaient surtout utilisés pour des canulars. Ces attaques ont disparu en 2010 lorsque Microsoft a introduit le « mode protégé » – un ruban jaune avertissant les utilisateurs de ne pas activer la fonctionnalité des macros. L’utilisation des macros a été réintroduite lorsque les acteurs de la menace ont réalisé qu’avec un peu d’ingénierie sociale, ils pouvaient convaincre les utilisateurs d’activer les macros, puis les utiliser pour télécharger et exécuter d’autres fichiers binaires.
Bien que Microsoft ait reconnu le problème à plusieurs reprises, l’utilisation malveillante des macros et des vulnérabilités d’Office a gagné en popularité au fil des ans. En janvier 2022, notre analyse a révélé que pas moins de 61 % de toutes les charges utiles malveillantes jointes aux e-mails envoyés à nos clients étaient des documents de types divers tels que xlsx, xlsm, docx, doc, ppt, etc. Les derniers chiffres de Check Point ThreatCloud montrent que les fichiers Excel représentent à eux seuls 49 % de tous les fichiers malveillants reçus par e-mail.
En règle générale, un e-mail soigneusement conçu par des spécialistes et contenant un fichier Excel avec une macro malveillante est l’arme de prédilection des acteurs non avertis et des meilleurs groupes APT.
Les cybercriminels font preuve d’imagination
Après avoir annoncé son intention de bloquer les macros VBA sur les documents Office en février, la situation a pris une tournure inattendue début juillet, lorsque Microsoft est revenu sur sa décision. En réponse à la plainte d’un utilisateur, un représentant de Microsoft a admis que l’entreprise était revenue sur sa décision « à la lumière des commentaires reçus »
Microsoft a dû faire face à un tollé de la part des utilisateurs et a depuis recommencé à bloquer les macros VBA, expliquant que le retrait de juillet n’était que temporaire.
Dans ce contexte, les acteurs de la menace ont commencé à explorer des alternatives aux chaînes d’e-mails malveillants non exécutables, qui commencent généralement par différents types de fichiers d’archive tels que .ZIP et RAR. Dans de nombreux cas, ces fichiers d’archives sont protégés par un mot de passe, qui figure dans le corps de l’e-mail. Ces fichiers d’archives contiennent le plus souvent le fichier malveillant ou, dans certains cas, un autre fichier anodin qui mène au fichier malveillant.
En avril, il a été signalé qu’Emotet envoyait par e-mail à OneDrive des liens URL de fichiers zip contenant des fichiers xll malveillants. Ces fichiers xll sont des bibliothèques .dll conçues pour Excel, et les acteurs de la menace utilisent généralement une fonction xlAutoOpen exportée pour télécharger et exécuter des charges utiles malveillantes. Plusieurs outils et services existants, comme Excel-DNA, sont déjà disponibles pour construire des téléchargeurs .xll.
Un autre type de fichiers d’archives utilisé couramment comme alternative aux maldocs consiste à utiliser des archives ISO, qui contournent le mécanisme de sécurité Mark-of-the-Web. Associés à une combinaison de charges utiles .hta, ils peuvent ressembler à des documents légitimes mais exécuter un code malveillant en arrière-plan. Bumblebee, un chargeur de logiciels malveillants détecté en février, fournit diverses charges utiles qui donnent souvent lieu à des attaques de ransomware. Il s’agit initialement de fichiers .iso transmis par e-mail.
En juin, nous avons également signalé que le malware Snake Keylogger était revenu dans notre classement mensuel des menaces mondiales après une longue absence. Jusqu’à présent, le malware se propageait généralement par le biais d’e-mails contenant des pièces jointes en format docx ou xlsx avec des macros malveillantes, mais son retour dans le classement est dû au fait qu’il est diffusé par le biais de fichiers PDF, ce qui pourrait être dû en partie à l’annonce de Microsoft.
Ainsi, bien que les macros Internet soient désormais bloquées par défaut, les cybercriminels continuent à faire évoluer leurs tactiques, et deviennent plus créatifs grâce à de nouveaux types de fichiers, comme nous l’avons constaté avec Emotet, Bumblebee et Snake. L’utilisation de différents fichiers d’archives représente un véritable succès pour les cybercriminels, car la plupart des gens ne considèrent pas ces fichiers comme potentiellement malveillants et font confiance aux fichiers qui se trouvent dans les archives, car ils ne proviennent pas directement du Web. À l’avenir, il faut s’attendre à ce que des familles de logiciels malveillants plus sophistiquées accélèrent le développement de nouvelles chaînes d’infection, avec différents types de fichiers protégés par des mots de passe pour éviter la détection, alors que les attaques d’ingénierie sociale avancées se multiplient.
Il est essentiel que vos employés comprennent les risques de l’ingénierie sociale et sachent comment identifier une attaque. Les cybercriminels envoient souvent un simple e-mail qui ne contient aucun logiciel malveillant, mais qui se fait passer pour une personne que vous connaissez afin d’engager la conversation. Ensuite, après avoir gagné votre confiance, il envoie le fichier malveillant. Et n’oubliez pas qu’il peut ne plus s’agir d’un document Office ou d’un fichier .exe, mais d’un autre type de fichier, tel qu’un .iso ou un PDF, ou encore de chaînes d’infection qui combinent différents types de fichiers.
Un bon niveau de formation des utilisateurs est ainsi un des éléments les plus importants d’une stratégie de cybersécurité efficace. Il peut également être judicieux de mettre en place un système efficace de sécurité des e-mails, qui met en quarantaine et inspecte les pièces jointes, empêchant ainsi tout type de fichier malveillant de pénétrer sur le réseau.
Pour se protéger, les organisations devraient également envisager de bloquer ces macros grâce à une politique de sécurité à l’échelle du site qui combine l’assainissement des fichiers et l’usage de Sandbox. Il s’agit notamment d’un excellent outil de détection précoce de ces macro-documents de type download-and-exécute. Alternativement, un autre moyen de défense pourrait consister à examiner les documents entrants et à supprimer les macros avant qu’elles n’atteignent l’utilisateur ciblé. Toutes ces fonctionnalités, dont la protection contre la majorité des types de fichiers reçus en plus des fichiers bureautiques, sont indispensables pour lutter contre la menace, réelle, qui existe.
___________________
Par Xavier Duros, expert cybersécurité chez Check Point Software
puis