Les pièces jointes de spam Microsoft Word sans macro infectent les utilisateurs avec des logiciels malveillants

Les pièces jointes de documents Word qui propagent des logiciels malveillants ne demandent plus d'activer les macros

Les attaques de spam sans macro sont déjà utilisées

Pendant de nombreuses années, le courrier indésirable avec des pièces jointes malveillantes est la méthode qui a exécuté 93% des logiciels malveillants[1] pour les deux dernières années. À en juger par les dernières nouvelles de Trustwave SpiderLabs[2] chercheurs, il semble que la diffusion de logiciels malveillants, principalement des chevaux de Troie, des logiciels espions, des enregistreurs de frappe, des vers, et Ransomware, dépendra en outre du nombre de pièces jointes malveillantes que les gens vont ouvrir. Néanmoins, les pirates vont introduire un changement important - à partir de maintenant, les gens peuvent recevoir du spam avec des pièces jointes Word Document, Excel ou PowerPoint malveillantes sans qu'il soit nécessaire d'exécuter une macro scénario. Si les logiciels malveillants antérieurs n'étaient exécutés que lorsque la victime potentielle activait les macros,[3] maintenant, il sera activé en double-cliquant simplement sur une pièce jointe d'un e-mail.

La technique sans macro est déjà utilisée

Bien que les chercheurs n'aient réussi à le détecter qu'au début du mois de février, il semble que le La technologie sans macro a été lancée bien trop tôt et les victimes potentielles ont peut-être déjà les a reçus.

Cette nouvelle campagne de spam sans macro utilise des pièces jointes Word malveillantes pour activer une infection en quatre étapes, qui exploite le Vulnérabilité Office Equation Editor (CVE-2017-11882) pour obtenir l'exécution de code à partir de l'e-mail, du FTP et du navigateurs. Microsoft avait déjà corrigé la vulnérabilité CVE-2017-11882 l'année dernière, mais de nombreux systèmes n'ont pas reçu le correctif pour une raison quelconque.

La technique sans macro utilisée pour propager les logiciels malveillants est inhérente à une pièce jointe au format .DOCX, tandis que l'origine du courrier indésirable est le botnet Necurs.[4] Selon Trustwave, le sujet peut varier, mais tous ont une relation financière. Quatre versions possibles ont été remarquées :

  • RELEVÉ DE COMPTE TNT
  • Demande de devis
  • Notification de transfert télex
  • COPIE SWIFT POUR LE PAIEMENT DU SOLDE

SpiderLabs a approuvé que la pièce jointe malveillante coïncide avec tous les types d'e-mails de spam sans macro. Selon eux, la pièce jointe .DOCX est nommée « receipt.docx ».

La chaîne de technique d'exploitation sans macro

Le processus d'infection en plusieurs étapes démarre dès que la victime potentielle ouvre le fichier .DOCX. Ce dernier déclenche un objet OLE (Object Linking and Embedding) embarqué qui contient des références externes aux serveurs des pirates. De cette façon, les pirates obtiennent un accès à distance aux objets OLE à référencer dans le document.xml.rels.

Les spammeurs exploitent les documents Word (ou au format .DOCX) créés à l'aide de Microsoft Office 2007. Ce type de documents utilise le format Open XML, basé sur les technologies d'archivage XML et ZIP. Les attaquants ont trouvé le moyen de manipuler ces technologies à la fois manuellement et automatiquement. Après cela, la deuxième étape ne démarre que lorsque l'utilisateur du PC ouvre le fichier malveillant .DOCX. Lorsque le fichier est ouvert, il établit la connexion à distance et télécharge un fichier RTF (rich text file format).

Lorsque l'utilisateur ouvre le fichier DOCX, il permet d'accéder à un fichier de document distant à partir de l'URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Il s'agit en fait d'un fichier RTF qui est téléchargé et exécuté.

Voilà à quoi ressemble schématiquement la technique d'exécution des logiciels malveillants sans macro :

  • Une victime potentielle reçoit un e-mail avec un fichier .DOCX en pièce jointe.
  • Il double-clique sur la pièce jointe et télécharge un objet OLE.
  • Maintenant, le supposé fichier Doc, qui est en réalité RTF, s'ouvre finalement.
  • Le fichier DOC exploite la vulnérabilité CVE-2017-11882 Office Equation Editor.
  • Le code malveillant exécute une ligne de commande MSHTA.
  • Cette commande télécharge et exécute un fichier HTA, qui contient VBScript.
  • Le VBScript décompresse un script PowerShell.
  • Le script Powershell installe ensuite le malware.

Gardez le système d'exploitation Windows et Office à jour pour vous protéger des attaques de logiciels malveillants sans macro

Les experts en cybersécurité n'ont pas encore trouvé de moyen de protéger les comptes de messagerie des personnes contre les attaques Necurs. Probablement une protection à cent pour cent ne sera pas trouvée du tout. Le conseil le plus important est de rester à l'écart des messages électroniques douteux. Si vous n'avez pas attendu de document officiel, mais que vous en recevez un de nulle part, ne craquez pas pour cette astuce. Enquêtez sur ces messages pour les fautes de grammaire ou de faute de frappe, car les autorités officielles ne laisseront pratiquement aucune erreur dans leurs notifications officielles.

En plus de la prudence, il est important de maintenir Windows et Office à jour. Ceux qui ont désactivé les mises à jour automatiques depuis longtemps courent un risque élevé d'infections virales graves. Le système obsolète et les logiciels installés peuvent présenter des vulnérabilités telles que CVE-2017-11882, qui ne peuvent être corrigées qu'en installant les dernières mises à jour.