Cette astucieuse campagne d’hameçonnage par Excel diffuse un dangereux logiciel malveillant sans fichier
Les utilisateurs d’Excel doivent se méfier car une campagne de phishing récemment découverte cible le tableur de Microsoft.
La campagne diffuse une nouvelle version sans fichier d’un dangereux cheval de Troie d’accès à distance, et se propage via une vulnérabilité de Microsoft 365 (anciennement Microsoft Office) – et fait actuellement l’objet d’une exploitation active.
Les pirates ciblent Excel pour diffuser de dangereux logiciels malveillants
Toujours en première ligne, Les laboratoires Fortiguard de Fortinent ont mis au jour la campagne de phishing ciblant les utilisateurs d’Excel.
L’attaque utilise un email de phishing déguisé en bon de commande d’expédition avec une feuille de calcul Microsoft Excel malveillante en pièce jointe. Une fois la feuille de calcul téléchargée et ouverte, elle exploite une vulnérabilité d’exécution de code à distance (CVE-2017-0199) pour télécharger une application HTML.
Une fois téléchargée, l’application HTML s’exécute et tente de télécharger un autre fichier, le logiciel malveillant Remcos. Remcos est un cheval de Troie d’accès à distance relativement bien connu qui peut permettre à un pirate d’accéder directement à un ordinateur infecté. Il s’agit de l’un des nombreux types de logiciels malveillants dangereux que l’on peut acheter sous la forme d’un paquet soigné sur les forums de piratage clandestins.
Cependant, cette fois-ci, le chercheur Xiaopeng Zhang a trouvé une variante du RAT Remcos sans fichier qui fonctionne avec la mémoire du système infecté, ce qui lui permet de ne pas être détecté par les outils antimalwares. Elle ajoute également un registre système spécifique à exécution automatique pour « maintenir la persistance et le contrôle de l’appareil de la victime au redémarrage » – un autre exemple de logiciel malveillant persistant.
L’opérateur du RAT Remcos peut utiliser des enregistreurs de frappe et des outils d’enregistrement d’écran pour capturer des informations privées, des données audio et d’autres données. Les données volées sont ensuite cryptées et renvoyées à l’opérateur, où elles peuvent être exploitées.
Mettez à jour Microsoft 365 et votre ordinateur pour rester en sécurité
Malheureusement, la recherche n’indique pas les versions spécifiques de Microsoft Excel affectées par cette vulnérabilité. Alors que la CVE-2017-0199 indique des versions plus anciennes d’Excel et d’Office dans ses « Configurations logicielles affectées connues », cette section n’a pas été mise à jour depuis la découverte de cette campagne de phishing.
Donc, en cas de doute, mettez à jour Microsoft 365 et votre système d’exploitation, et si possible, passez à la dernière version de Microsoft 365 pour une sécurité maximale.