Les cybercriminels exploitent depuis longtemps un vecteur d’attaque qui est la fonctionnalité des macros de Microsoft Office. Dans le but d’aider les utilisateurs à automatiser les procédures à l’aide d’Excel ou de Word de manière beaucoup plus rapide, les macros ont d’abord été introduites par Microsoft. Mais cette maniabilité n’est pas venue sans pénalité qui n’a même pas été réclamée par les pirates.
Les macros fonctionnaient en autorisant l’exécution de scripts personnalisés en arrière-plan. Et par conséquent, si les macros étaient activées sur le système compromis, les pirates pourraient exécuter des scripts malveillants pour transporter des logiciels malveillants.
Afin d’amener les individus cibles à activer les macros pour exécuter des scripts haineux, diverses techniques d’ingénierie sociale pourraient être utilisées par les pirates. Il existe de nombreuses familles de logiciels malveillants, plusieurs familles bien connues, notamment Emotet, TrickBot, Qakbot et Dridex, qui exploitent ce vecteur d’attaque.
En février 2022, Microosft a annoncé que les macros seraient bloquées par défaut et que cela serait appliqué en avril 2022. MIcrosoft a en outre noté que,
“Nous continuerons d’ajuster notre expérience utilisateur pour les macros, comme nous l’avons fait ici, afin de rendre plus difficile d’inciter les utilisateurs à exécuter du code malveillant via l’ingénierie sociale tout en maintenant un chemin pour que les macros légitimes soient activées le cas échéant via des éditeurs de confiance et /ou Emplacements de confiance”,
La date limite d’avril pour appliquer ces modifications a été manquée par Microsoft mais le 21 juillet 2022, il a appliqué les modifications.
Microsoft a appliqué les modifications plus tôt, mais après avoir obtenu des commentaires négatifs importants des utilisateurs, il a annulé le blocage des macros, qui n’a été appliqué que vers la fin juillet 2022.
Dès l’annonce de Microsoft, une chute de l’exploitation des macros et des hackers expérimentant d’autres vecteurs d’attaque ont commencé à être remarqués par les chercheurs en sécurité.
Le recul des macros
Proofpoint a signalé que des campagnes malveillantes avaient été déclenchées d’octobre 2021 à juin 2022, et depuis que les macros étaient utilisées comme vecteur d’attaque, une baisse de 66 % a été perçue.
Au cours de la même période, une croissance progressive a été observée dans l’utilisation de fichiers conteneurs tels que les fichiers ISO, ZIP et RAR, augmentant de près de 175 %.
Notez que, lorsque Microsoft a annoncé le blocage des macros en février, l’utilisation de fichiers LNK malveillants a disparu. Par rapport à octobre 2021, l’exploitation des fichiers LNK a augmenté d’un énorme 1 675 %.
Il a été considéré que dix groupes de pirates individuels suivis par Proofpont l’ont exploité. Outre le Proofpoint qui a remarqué une tendance à la hausse, McAfee a également publié un article de blog précisant l’augmentation de l’abus des fichiers LNK.
Étant un raccourci Windows, un fichier LNK fonctionne comme un pointeur pour ouvrir un fichier, un dossier ou une application. Les chercheurs de McAfee ont fourni une définition plus complète indiquant,
“Les fichiers LNK sont basés sur le format de fichier binaire Shell Link, qui contient les informations utilisées pour accéder à un autre objet de données. Ces fichiers peuvent être créés manuellement à l’aide de l’option standard de création de raccourcis par clic droit ou parfois, ils sont créés automatiquement lors de l’exécution d’une application. Il existe de nombreux outils également disponibles pour créer des fichiers LNK, de nombreuses personnes ont également créé des outils “lnkbombs” spécifiquement à des fins malveillantes.”
Il a également été mentionné que les cybercriminels diffusant QakBot, Emotet et BazarLoader étaient vus en train d’utiliser des fichiers LNK pour propager leurs charges utiles de logiciels malveillants. Pour fournir des fichiers LNK aux victimes, des individus malveillants ont été vus en utilisant des spams par e-mail et des URL malveillantes.
Ces fichiers ont tendance à commander des applications authentiques telles que CMD, PowerShell et MSHTA pour télécharger des fichiers malveillants.
Par exemple, Emotet utilise un fichier LNK pour exécuter un script VBS via le processeur de commande Windows, après quoi il serait utilisé pour obtenir la charge utile principale d’Emotet.
McAffee a mis fin aux chaînes d’attaque pour deux autres familles avec un bot similaire dans l’exécution d’Emotet. Les chercheurs de McAfee ont conclu,
“Comme nous l’avons vu dans les trois campagnes de menaces ci-dessus, il est entendu que les attaquants abusent des fichiers de raccourci Windows LNK et les ont rendus extrêmement dangereux pour les utilisateurs ordinaires. LNK combiné avec PowerShell, CMD, MSHTA, etc., peut causer de graves dommages à la machine de la victime. On considère généralement que les LNK malveillants utilisent PowerShell et CMD grâce auxquels ils peuvent se connecter à des URL malveillantes pour télécharger des charges utiles malveillantes… Ces types d’attaques évoluent encore, de sorte que chaque utilisateur doit effectuer une vérification approfondie lors de l’utilisation des fichiers de raccourci LNK. Les consommateurs doivent maintenir leur système d’exploitation et leur antivirus à jour. Ils doivent se méfier des e-mails de phishing et des clics sur des liens et des pièces jointes malveillants.”
L’utilisation de fichiers LNK et d’autres types de fichiers tels que ISO, ZIP et RAR constitue une menace notable pour les utilisateurs, mais pour adopter ces méthodes, il y a un bon côté.
Comme le fichier LNK nécessite d’être décompressé d’une archive puis ouvert, convaincre un destinataire d’un courrier indésirable d’ouvrir un fichier LNK est une vue beaucoup plus difficile qu’avec les fichiers Word et Excel.
Cette étape supplémentaire soulèvera certainement des doutes, et les entreprises peuvent facilement demander aux employés de ne pas ouvrir ces fichiers par rapport aux types de fichiers souvent utilisés comme les fichiers Microsoft Office.