Excel, cible d'une redoutable attaque pour véhiculer des malwares [Sponso]

Les fichiers bureautiques Word, Excel et PowerPoint sont depuis longtemps utilisés comme vecteur de menaces par les cybercriminels. Mais ces pratiques se sont intensifiées ces derniers mois. Une nouvelle vague d’attaques cible actuellement Excel et contourne certains Antivirus.

Le dernier rapport Kaspersky sur l’évolution des cybermenaces au premier trimestre 2018 relevait une croissance importante des attaques ciblant la suite Office. Le nombre d’utilisateurs attaqués par le biais de documents Office a ainsi été multiplié par 4 en un an. Cette semaine a encore apporté une nouvelle preuve de l’intérêt croissant des cybercriminels pour Office comme vecteur de menaces. Des chercheurs en sécurité ont ainsi découvert une vaste campagne d'emailing contenant une pièce attachée au format « IQY ».  

Alors que la plupart des attaques véhiculées par les documents Office exploitent en général les « macros », celle-ci se révèle plus originale en exploitant une fonctionnalité méconnue du tableur de Microsoft. Les fichiers IQY, aussi connus sous le nom de fichiers Excel Query Web, sont utilisés pour dynamiquement importer des données en provenance du Web à l’intérieur d’un tableau Excel. 

Lorsque l’on double-clique sur un tel fichier, Excel s’ouvre par défaut et tente d’absorber les informations pointées par l’URL indiquée. Or les données importées peuvent être des formules complexes qui seront exécutées par le tableur. Les cybercriminels ont ainsi trouvé un moyen pour que la formule exécute un script PowerShell qui va se charger de télécharger un malware et de l’exécuter à l’insu de l’utilisateur.

Utiliser les méconnus, mais très puissants, fichiers IQY permet aux cybercriminels d’échapper aux boucliers de défenses de bien des antivirus qui tendent à focaliser leur attention sur les fichiers exécutables traditionnels (.exe, .com, .bat, .ps, etc.) et les fichiers bureautiques (.doc, .xls, .ppt, etc.). Ce qui rend l’attaque évidemment très dangereuse. 

Contrairement à d’autres antivirus, les protections Kaspersky Antivirus, Kaspersky Internet Security Suite et Kaspersky Total Security ne s’appuient pas, par défaut, sur l’extension du fichier pour optimiser ses analyses, mais sur le format même du fichier. Il est aussi possible de configurer les protections pour analyser tous les fichiers ouverts, créés ou modifiés sur l’ordinateur.

En outre, ces protections embarquent des boucliers qui surveillent attentivement toute exécution de scripts Powershell et qui défendent le système contre les formes d’attaques les plus avancées comme les attaques sans fichier. Elles intègrent aussi un puissant bouclier anti-exploit (Automatic Exploit Prevention) pour protéger efficacement les utilisateurs des suites Office et OpenOffice contre toutes formes d’exploitation de leurs vulnérabilités.

Parallèlement, il est conseillé aux utilisateurs de s’assurer que la fonctionnalité de mise à jour automatique d’Office est bien activée et que l’exécution des macros est bien désactivée (elle l’est par défaut sur les versions récentes de la suite bureautique). Enfin, il est aussi conseillé de programmer un scan très régulier de son système par l’antivirus installé.

Et en ce moment, bénéficiez en exclusivité d'une remise jusqu'à 42% sur Kaspersky Total Security. Pour cela, veuillez remplir le formulaire suivant qui vous permettra de recevoir votre code promo par mail :


Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
Commenter depuis le forum
    Votre commentaire