Skip to main content

Microsoft détecte un nouveau malware caché derrière des fichiers Excel

Evil Corp Excel
(Crédit photo: Pixabay)

Dans la série TV Mr Robot, Evil Corp est l’alter ego fictif des plus grandes multinationales actuelles, des firmes incessamment attaquées par des hackers. Dans la réalité, le nom représente l’un des groupes de pirates informatiques les plus actifs. Également nommé TA505, il existe depuis 2014 et cible principalement le commerce de détail et les institutions financières. Son mode opératoire : multiplier les campagnes de phishing par le biais du botnet Necurs qui peut expédier plus de 10 millions de mails en un seul envoi.

Récemment, des chercheurs de la branche sécurité de Microsoft ont repéré une façon de procéder inédite desdits hackers. Ces derniers emploieraient désormais des macros Excel pour propager leurs malwares. Le processus est expliqué ci-dessous par la Microsoft Security Intelligence :

« La nouvelle campagne [d’Evil Corp] utilise des fichiers HTML joints aux courriers électroniques envoyés. Une fois ouverts, ces fichiers exécutent un document Excel chargé de macros infectées et interrompent le transfert des données ».

Vérifiez l’expéditeur de chaque fichier Excel

Jusqu’alors, Evil Corp insérait des liens de redirection dans leurs e-mails pour inciter ses destinataires victimes à télécharger le logiciel malveillant. Bien que les pièces jointes suscitent plus de suspicion et soient plus facilement détectées par les antivirus, cette campagne s’avère rudement efficace. L’association de Microsoft Excel, logiciel à la réputation positive, contribue grandement à son succès.

Une fois le fichier Excel téléchargé, le malware essaiera également de déposer un cheval de Troie d'accès à distance (RAT) sur le système de la victime. Ce trojan est connu sous le nom de Grace Wire ou FlawedGrace. Le document d’origine se veut d’autant plus dangereux qu’il est traduit en plusieurs langues, pouvant ainsi infecter l’intégralité du globe.

Via BleepingComputer