AccueilSciences et technologiesComment Microsoft a plombé...

Comment Microsoft a plombé la principale technique d’infection des cybercriminels

Est-ce le crépuscule d’une des techniques les plus utilisées par les cybercriminels ? D’après l’entreprise de cybersécurité Proofpoint, entre octobre 2021 et juin 2022, les malfaiteurs ont diminué de 66% leur utilisation des macros VBA et XL4. Derrière ces noms techniques se trouve un système de commandes intégré aux logiciels Microsoft Office (Word, Excel, Powerpoint…), qui permet aux utilisateurs d’automatiser certaines tâches comme la mise à jour de chiffres à partir d’une base de données ou l’édition de rapports.

Essentielles au fonctionnement des divisions RH et marketing de milliers d’entreprises, les macros sont aussi exploitées massivement depuis les années 2010 par les cybercriminels, au point de devenir le mécanisme d’infection initiale des victimes le plus utilisé. Après des années sans adresser directement le problème, Microsoft s’y attèle depuis octobre 2021, avec succès donc. Selon Proofpoint, il s’agit “d’un des plus grands changements dans l’environnement des menaces par e-mail de l’histoire récente“. Problème : les malfaiteurs basculent déjà leurs efforts sur d’autres techniques d’infection.

Comment les cybercriminels détournent Microsoft Excel pour installer des virus

Le piège des macros Office enfin désarmé

En février 2022, Microsoft a annoncé discrètement qu’il allait changer le paramétrage par défaut des macros sur les fichiers Office reçus par Internet. Ce changement, très attendu, a été salué par l’ensemble du milieu de la cybersécurité. Concrètement, l’éditeur a modifié un bouton, qui permettait à chaque utilisateur d’activer manuellement les macros. Si le fichier contenait une macro malveillante, un simple clic sur la case “oui” du message qui s’affichait à l’ouverture du document, et le mal était fait. Depuis le changement, cette interaction n’est plus possible. Désormais, l’utilisateur doit contacter l’administrateur de son réseau informatique pour activer les macros, ce qui limite drastiquement les risques de tomber dans le piège et de lancer le déploiement d’un logiciel malveillant.

Si les plus grands groupes cybercriminels comme Emotet ou Dridex ont autant exploité cette technique d’attaque, c’est parce qu’elle rassemblait de nombreux avantages. D’abord, elle leur permettait de passer outre les outils de détection antivirus des services d’email. Et pour cause : le fichier Excel ou Word malveillant ne contient pas la souche virale lui-même. La macro n’est qu’une commande, qui va télécharger et lancer l’installation du logiciel malveillant lorsqu’elle est activée. Or, détecter les intentions de la macro requiert un niveau d’analyse poussé, difficile à automatiser, d’autant plus que les cybercriminels ont des méthodes pour obstruer la compréhension de leurs macros.

Ensuite, cette méthode d’infection est peu demandeuse en compétences techniques, ce qui permet de mobiliser une large main d’œuvre de malfaiteurs néophytes. Il suffit de quelques cerveaux pour créer les macros et mettre en place l’infrastructure nécessaire à l’infection, puis n’importe qui peut lancer les attaques. Il suffit d’écrire un email convaincant (en se faisant passer pour un collègue ou un client par exemple), qui pousse la cible à ouvrir la pièce jointe et à activer les macros. Plus cet email sera personnalisé pour la victime, plus il aura de chance de faire mouche.

Les cybercriminels s’adaptent

Dès les premières annonces de Microsoft, en octobre, les cybercriminels ont commencé à adapter leurs méthodes. D’après les chercheurs de Proofpoint, ils se sont tournés vers l’utilisation de “fichiers conteneurs” -comme les fichiers ISO (.iso), RAR (.rar) ou ZIP (.zip)- capable d’englober d’autres fichiers, afin de contourner le nouveau blocage des macros. Dans le détail, ces extensions empêchent les logiciels de la suite Office d’appliquer le marqueur “Mark of the Web” (MOTW) au fichier qui contient la macro malveillante. Or, c’est cet attribut qui indique qu’un fichier a été téléchargé depuis Internet, ce qui va activer le blocage par défaut des macros.

Concrètement, quand la victime va télécharger un fichier ZIP ou ISO, ce dernier va recevoir le marqueur MOTW. Mais si la victime décompresse le .zip, les documents qu’il contient n’auront pas le marqueur, car ils ne seront pas considérés comme téléchargés depuis Internet. Les cybercriminels peuvent donc utiliser ce système similaire à un cheval de Troie pour embarquer un fichier Excel avec des macros malveillantes, que la victime pourra activer car la nouvelle protection ne sera pas activée. Le conteneur peut aussi transporter des fichiers en .lnk, .dll ou .exe, qui contiennent directement le virus.

Cette nouvelle méthode a tout de même quelques désavantages. Elles requiert un clic supplémentaire de la part de la victime, ce qui lui laisse plus de temps pour réaliser que le fichier est louche. Ensuite, les utilisateurs se méfieront plus d’un fichier avec une extension qu’ils ne connaissent pas que d’un fichier Word ou Excel comme ils en ouvrent plusieurs par jour. Autant dire que le changement opéré par Microsoft a bien compliqué la tâche des cybercriminels.