Ces derniers mois, nous avons détecté divers groupes de cybercriminels qui répandaient des virus par le biais de macros malveillants dans des documents Microsoft Office, faisant ainsi ressurgir une vieille technique très peu utilisée depuis son âge d’or dans les années 1990.

Pour rappel, les macros sont des scripts informatiques basiques permettant à des logiciels, comme Microsoft Word ou Excel, d’automatiser des tâches répétitives, mais qui peuvent aussi être utilisés à des fins plus crapuleuses comme installer un virus.

Les pirates informatiques ont ensuite arrêté d’utiliser ces macrovirus, notamment à cause de la politique de sécurité introduite dans la suite Office XP (2001), qui demandait l’autorisation des utilisateurs avant  d’activer des macros non signés quand ils étaient intégrés à des fichiers. Comme les attaques aboutissaient beaucoup moins, la plupart des cybercriminels ont délaissé les attaques par macrovirus au profit d’autres méthodes de propagation.

Pourtant, 15 ans plus tard, les macrovirus semblent refaire surface.

ILS N’ONT PAS REINVENTE LA ROUE

Le retour des macrovirus s’est fait de manière conjointe avec l’arrivée d’une pratique désormais bien connue : l’ingénierie sociale. Il s’avère qu’en 2015, les consommateurs continuent d’avoir des comportements, vis-à-vis de l’informatique, que l’on considérait déjà comme dangereux dans les années 1990. Pour ceux qui sont en charge des questions informatiques dans les entreprises, ce retour n’est donc pas vraiment une surprise.

Les fichiers malveillants contenant des macrovirus, et les emails utilisés pour les répandre, sont conçus dans le but d’avoir une résonance pour le lecteur. Avec des sujets sensibles comme les factures, les avis d’imposition et les CV, les lecteurs peuvent être trompés facilement s’ils n’y réfléchissent pas à deux fois avant d’ouvrir les pièces-jointes.

On fait croire à la victime que pour accéder à ces données, il ou elle doit d’abord activer les macros. En fait, beaucoup de ces documents incluent des tutoriels sur la manière d’activer ces macros vérolés. Une bonne combinaison d’instructions, un contenu et un titre de document pertinents suffisent généralement à convaincre la victime d’activer les macros, ce qui déclenche le virus.    

D’un point de vue technique, les attaques par macrovirus d’aujourd’hui ont dû trouver de nouveaux moyens pour se propager, puisque les boîtes de réception et les protections anti-spam parviennent généralement à les stopper. Par exemple, les macrovirus d’aujourd’hui peuvent utiliser des pièces-jointes « zippés » ou des solutions de partage et de stockage cloud (comme Dropbox) dans le but d’échapper aux scanners des services de messagerie. Et pour les plus techniques d’entre vous, il est aussi intéressant de noter qu’un certain nombre de ces récentes attaques consistaient à exécuter des macros en tirant parti de Powershell, l’interface de ligne de commande et le langage de script reposant sur les tâches, édité par Microsoft.

microsoft-office-malware

Cependant, la macro en elle-même ne reste qu’un simple support de téléchargement, qui sert de passerelle pour l’installation d’une « porte dérobée » (virus de type Backdoor) dans vos systèmes.

 6 ASTUCES POUR SE PREMUNIR DES ATTAQUES PAR MICROVIRUS

1) Protégez vos emails  
Se protéger contre les macrovirus commence principalement avec une forte sécurisation de la messagerie, puisque la grande majorité des pièces-jointes, fichiers et liens sont envoyés par email. Toutes les bonnes pratiques standards liées aux emails peuvent être mises en place, mais ne négligez pas des fonctionnalités telles que l’analyse et le scan des pièces-jointes, associées à des outils de contrôle de dangerosité et de réputation des liens.

2) Désactivez les macros (là où vous pouvez)

En fin de compte, il est rare que vous puissiez bloquer l’intégralité des macros, mais vous pouvez établir des groupes d’utilisateurs avec des droits spécifiques pour n’autoriser leur usage qu’à vos collaborateurs qui en ont vraiment besoin. En effet, la majeure partie de vos employés n’auront jamais à utiliser une macro de leur vie

3) Protégez les postes utilisateurs avec des solutions modernes

Dans les cas où vous ne pouvez pas bloquer toutes les macros (et si vous pouvez, faites-le simplement en protection additionnelle), vous devez vous assurer que votre solution de sécurité informatique a des fonctions de sécurité heuristiques, basées sur la réputation et le comportement des programmes malveillants. Vous aurez la garantie que tous les fichiers malveillants déjà détectés à travers le monde seront automatiquement bloqués, et que ces vilains virus « zero-day » seront bloqués grâce à l’analyse de leur fonctionnement et de leur comportement. 

4) Gardez votre suite Office à jour

La plupart des macrovirus sont des fichiers au format « .doc », très fréquents pour Microsoft Office 2007 et les versions antérieures. Par conséquent, utiliser la dernière version de la suite Office semble être une bonne idée, puisqu’elle intègre de meilleures protections contre ces attaques. Par exemple, elle peut détecter les tentatives de dissimulation des fichiers qui ont une extension en « .docm » et « .xslm ».

5) Sensibilisez vos employés : N’ouvrez pas d’emails ou de pieces-jointes suspects !

Application d’une bonne pratique standard de la sécurité des emails : demandez à vos utilisateurs de supprimer les emails suspects et de ne jamais ouvrir de pièces-jointes provenant d’expéditeurs inconnus – Surtout s’ils ne savent pas pourquoi ils les ont reçus.

6) Sensibilisez vos employés 2 : N’activez pas les macros sur votre ordinateur !

A l’inverse des traditionnels kits “d’exploit”, les macrovirus requièrent le consentement de l’utilisateur pour s’activer. Finalement, dire à vos employés de ne pas activer les macros peut faire la différence entre « être infecté » et « l’échapper belle ».

D’ailleurs, après lecture de cet article, pourquoi ne pas envoyer à vos employés un email de rappel à ce sujet ?

7)  Astuce Bonus de notre conseiller en sécurité

En plus des procédures de sécurité mentionnées plus haut, notre Conseiller en Sécurité, Sean Sullivan, vous recommande d’investir dans une formation à l’utilisation productive des emails – les gens sont moins susceptibles de tomber dans des pièges quand ils gèrent correctement leurs emails.

« Par ce biais, les entreprises ne se contentent pas “seulement” de mettre de l’argent dans de la sensibilisation à la sécurité, elles en tirent également des bénéfices tangibles en plus d’une meilleure sécurisation. »

Un commentaire sur “LE RETOUR DES MACROVIRUS – 6 ASTUCES POUR LES EVITER

  1. Ping : 3 choses à savoir sur les « drive-by downloads » – Le Blog de F-Secure

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s