Microsoft détecte un nouveau malware cachés derrière des fichiers Excel

(Crédit photo: Pixabay)

Dans la série TV Mr Robot, Evil Corp est l’alter ego fictif des plus grandes multinationales actuelles, des firmes incessamment attaquées par des hackers. Dans la réalité, le nom représente l’un des groupes de pirates informatiques les plus actifs. Également nommé TA505, il existe depuis 2014 et cible principalement le commerce de détail et les institutions financières. Son mode opératoire : multiplier les campagnes de phishing par le biais du botnet Necurs qui peut expédier plus de 10 millions de mails en un seul envoi.

Récemment, des chercheurs de la branche sécurité de Microsoft ont repéré une façon de procéder inédite desdits hackers. Ces derniers emploieraient désormais des macros Excel pour propager leurs malwares. Le processus est expliqué ci-dessous par la Microsoft Security Intelligence :

« La nouvelle campagne [d’Evil Corp] utilise des fichiers HTML joints aux courriers électroniques envoyés. Une fois ouverts, ces fichiers exécutent un document Excel chargé de macros infectées et interrompent le transfert des données ».

Le coronavirus infecte aussi des milliers d’ordinateurs dans le monde
31 millions de numéros de cartes bancaires mis en vente sur un forum
Mozilla supprime près de 200 modules complémentaires douteux sur Firefox.

Vérifiez l’expéditeur de chaque fichier Excel

Jusqu’alors, Evil Corp insérait des liens de redirection dans leurs e-mails pour inciter ses destinataires victimes à télécharger le logiciel malveillant. Bien que les pièces jointes suscitent plus de suspicion et soient plus facilement détectées par les antivirus, cette campagne s’avère rudement efficace. L’association de Microsoft Excel, logiciel à la réputation positive, contribue grandement à son succès.

Une fois le fichier Excel téléchargé, le malware essaiera également de déposer un cheval de Troie d'accès à distance (RAT) sur le système de la victime. Ce trojan est connu sous le nom de Grace Wire ou FlawedGrace. Le document d’origine se veut d’autant plus dangereux qu’il est traduit en plusieurs langues, pouvant ainsi infecter l’intégralité du globe.

Via BleepingComputer

After working with the TechRadar Pro team for the last several years, Anthony is now the security and networking editor at Tom’s Guide where he covers everything from data breaches and ransomware gangs to the best way to cover your whole home or business with Wi-Fi. When not writing, you can find him tinkering with PCs and game consoles, managing cables and upgrading his smart home.