Macros Excel : méfiez-vous de cette campagne de phishing

Technologie : Des centaines de fichiers Excel différents ont été utilisés pour tromper les utilisateurs de PC et leur faire installer un outil d'accès à distance de leur machine.

by
https://d1fmx1rbmqrxrr.cloudfront.net/zdnet/optim/i/edit/ne/2017/09/explorer_610__w630.jpg

L'équipe de Microsoft chargée de la sécurité a averti suivre l'évolution d'une campagne de phishing "massive" qui tente d'installer un outil d'accès à distance sur les PC en incitant les utilisateurs à ouvrir les pièces jointes des courriels contenant des macros Excel 4.0 malveillantes.

Selon Microsoft, la campagne, dont la thématique est le COVID-19, a débuté le 12 mai et a utilisé jusqu'à présent plusieurs centaines de pièces jointes différentes.

Les courriels envoyés prétendent provenir du Johns Hopkins Center (un des organismes qui fournit des statistiques sur l'épidémie) et portent le titre "WHO COVID-19 SITUATION REPORT". Si le destinataire tente d'ouvrir le fichier Excel joint, il s'ouvrira avec un avertissement de sécurité et affichera un graphique des cas supposés de coronavirus aux États-Unis. Mais si la macro Excel 4.0 malveillante est autorisée à s'exécuter, elle télécharge et exécute également NetSupport Manager.

publicité

NetSupport Manager, un outil d'accès à distance tout à fait légitime

Bien que NetSupport Manager soit un outil d'accès à distance tout à fait légitime, il est connu pour être utilisé également par des attaquants pour accéder à distance à des machines compromises et y exécuter des commandes, a déclaré Microsoft. Il se connecte à un serveur de commande et de contrôle (C&C), ce qui permet aux attaquants d'envoyer les commandes.

"Depuis plusieurs mois maintenant, nous constatons une augmentation constante de l'utilisation de macros Excel 4.0 malveillantes dans les campagnes de malware. En avril, ces campagnes Excel 4.0 ont pris le train en marche et ont commencé à utiliser le thème du COVID-19" a déclaré l'équipe de Microsoft Security Intelligence.

L'équipe mentionne que si les centaines de fichiers Excel uniques de cette campagne utilisent des "formules très obscures", tous se connectent à la même URL pour télécharger la charge utile.

Ce n'est pas la seule nouvelle menace que l'équipe de sécurité de Microsoft a récemment détecté : elle a également mis en garde contre une nouvelle campagne de Trickbot, lancée le 18 mai, qui utilise des courriels sur le Coronavirus. Trickbot est l'une des charges utiles les plus courantes dans les campagnes thématiques COVID-19.

Source : "ZDNet.com"