Qu’est-ce qu’un malware « macro-less »


Ce que l’on peut dire en introduction de cet article, c’est que les vieilles méthodes peuvent toujours être mise à jour afin de reprouver leur efficacité.  C’est le cas avec le malware macro less qui comme en 1999 et malgré l’évolution des systèmes de sécurité ne déclenche toujours aucune alerte de sécurité dans son parcours. Et c’est plutôt un coup de génie qu’on réussit les hackers russes du groupe APT28.

 

On doit cette découverte au géant de la sécurité McAfee dans une analyse datant de novembre 2017. Ils ont ainsi découvert que les hackers utilisaient simplement une combinaison de phishing et de malware afin d’introduire le spyware dans le système de leur victime. Exploitant un protocole Microsoft appelé DDE pour exécuter du code malicieux au sein de documents Microsoft Office, les pirates peuvent l’utiliser pour lancer d’autres applications, comme PowerShell, et exécuter du code malicieux, ce qui n’est pas rassurant.

Toutefois et c’est là que nous pouvons encore agir nous, simple utilisateur, c’est que ces attaques ne peuvent être déclenchées sans quelque part le consentement de la victime, je m’explique.  En effet, ces nouvelles attaques DDE nécessitent toujours une certaine interaction de la part des utilisateurs, comme les attaques macro traditionnelles sur Office. Afin que le code DDE malicieux puisse s’exécuter, l’attaquant doit convaincre sa victime de désactiver le Mode Protégé et de cliquer sur au moins une fenêtre supplémentaire. Ce qui diffère des attaques macro traditionnelles est la façon dont sont conçues les fenêtres de dialogue pour l’utilisateur.

Mais c’est là que le mal blesse car depuis office 2003 et les versions suivantes, Microsoft a changé les fenêtres de dialogue macro pour souligner leurs implications en matière de sécurité, les fenêtres d’application DDE sont toutefois de simples boites de dialogue ou il est facile de cliquer sur oui afin de s’en débarrasser. D’ailleurs, Une large proportion des utilisateurs ne lit simplement pas les fenêtres de dialogue avant de cliquer sur « oui ». Les hackers l’ont bien compris et interagissent en posant des questions basics qui conduiront l’exécuteur à répondre forcément par l’affirmatif dans une grande majorité de cas. En d’autres termes, DDE est maintenant géré de la même façon que les macros traditionnels il y a vingt ans dans Office 97. Nouvelle méthode d’attaque, mais interaction des utilisateurs similaire.

Le but, exploiter le moteur de script de Microsoft Windows pour télécharger et exécuter des contenus malicieux, rien de bien jouissif. Les cybers criminels sont connus pour recycler tout ce qui fonctionne, donc il est courant de voir des tactiques malicieuses comme celle-ci réapparaître régulièrement sous des formes différentes. Heureusement, il existe des mesures à prendre pour se protéger car dans le sillage des attaques d’APT28, Microsoft a publié un message de sécurité avec des instructions permettant de désactiver entièrement le protocole DDE. Beaucoup de solutions avancées de ‘sandboxing’ anti malware peuvent détecter les malwares basés sur DDE et les stopper avant qu’ils ne pénètrent dans le réseau. Plus important toutefois, les utilisateurs finaux doivent être formés à l’identification des attaques de ‘phishing’ et aux méthodes d’ingénierie sociale que les pirates utilisent pour persuader leurs victimes de cliquer sur les fenêtres de dialogue DDE.

Microsoft a déjà commencé à améliorer le traitement par Office des malwares macro-less en ajoutant plusieurs contrôles invisibles afin de stopper la progression du code DDE malicieux. Il est probable que Microsoft parviendra très rapidement à améliorer les fenêtres de dialogue de DDE pour mieux avertir les victimes potentielles. Mais ces alertes de sécurité, bien que très visibles, n’ont pas réussi à tuer les macro malwares, ce qui veut dire que les deux types d’attaques devront toujours être prises en considération dans l’avenir. Comme toujours, en cas de doute, il vaut mieux s’abstenir de cliquer sur quelque chose d’inattendu ou que l’on ne comprend pas.

 

 

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Propulsé par WordPress.com.

Retour en haut ↑

%d blogueurs aiment cette page :