Les logiciels malveillants de macro ont fait leur retour avec l'avènement de tactiques sophistiquées d'ingénierie sociale et la popularité des programmes de macro. Les macros Microsoft Office en particulier sont une cible attrayante pour les cybercriminels en raison de l'énorme base d'utilisateurs de MS Office.
Les logiciels malveillants de macro exploitent souvent la programmation Visual Basic pour Applications (VBA) dans les macros Microsoft Office pour faire proliférer les virus, les vers et d'autres formes de logiciels malveillants, ce qui représente un risque important pour la sécurité de l'entreprise.
Comment fonctionnent les logiciels malveillants de macro
Une macro (abréviation de "macroinstruction", littéralement "commande capitale" du grec makros : "grande") est une chaîne de commandes qui indique à des applications telles qu'Excel et Word d'effectuer des actions spécifiques. Les macros regroupent plusieurs instructions plus petites en une seule commande et les exécutent ensemble. Cela améliore la fonctionnalité de l'application en accélérant les processus récurrents.
Étant donné que les macros sont des programmes, comme tout autre programme, elles peuvent potentiellement être compromises par les auteurs de logiciels malveillants. Les virus de macro sont écrits dans le même langage macro que celui utilisé dans les programmes logiciels, y compris Microsoft Word ou Excel. Lors d'une attaque de macro-programme malveillant, les cybercriminels créent souvent un code malveillant et l'intègrent dans des macros de documents qui sont distribués sous forme de pièces jointes dans des e-mails de phishing. Une fois que la victime ouvre la pièce jointe, les macros qu'elle contient peuvent s'exécuter et le logiciel malveillant commence à infecter tous les fichiers ouverts avec Microsoft Office. Cette capacité à se propager rapidement est l'un des principaux risques des macro-programmes malveillants.
Bonnes pratiques de protection contre les macroprogrammes malveillants
Les virus de macro peuvent invoquer des fonctions malveillantes, telles que la modification du contenu de documents texte ou la suppression de fichiers. Le malware Emotet utilise également souvent des macros pour accéder au réseau. À l'étape suivante, il charge des modules supplémentaires tels que des chevaux de Troie bancaires, des voleurs de mots de passe ou des rançongiciels. Certains virus de macro accèdent également aux comptes de messagerie de la victime et envoient des copies des fichiers infectés à tous les contacts, qui à leur tour ouvrent souvent ces fichiers puisqu'ils proviennent d'une source fiable.
Si les macros d'un fichier Microsoft Office ne sont pas exécutées, le logiciel malveillant ne peut pas infecter l'appareil. Le plus grand défi pour éviter les infections par des macro-programmes malveillants consiste à identifier correctement les e-mails de phishing. Il faut faire attention aux points suivants :
- E-mails d'expéditeurs inconnus
- E-mails avec des factures ou des informations supposées confidentielles en pièces jointes
- Documents qui fournissent un aperçu avant l'activation des macros
- Documents dont les macro-processus semblent suspects
La meilleure façon d'éliminer la menace des logiciels malveillants macro est de réduire l'interaction entre les logiciels malveillants et un appareil. Les organisations doivent utiliser une combinaison des techniques suivantes pour renforcer leurs défenses contre les attaques de macro-programmes malveillants.
Éliminer la menace des macro-programmes malveillants
1. Utilisation d'un filtre anti-spam/junk et d'une protection contre le phishing
Moins il y a d'e-mails de phishing qui atteignent la boîte de réception, moins il y a de risque d'attaque de macro-malware. En plus du filtre anti-spam classique, il existe des technologies spéciales de protection contre le phishing qui peuvent également détecter des attaques de spear phishing sophistiquées basées sur l'apprentissage automatique. Ces solutions apprennent le comportement normal de communication au sein d'une entreprise et déclenchent l'alarme en cas d'anomalies.
2. Utiliser un programme antivirus puissant
Un logiciel antivirus peut envoyer une alerte lorsqu'un utilisateur essaie d'ouvrir un lien malveillant ou de télécharger un fichier suspect.
3. Pièces jointes d'expéditeurs inconnus
Si les utilisateurs ne connaissent pas l'expéditeur d'un e-mail, ils ne doivent pas ouvrir les pièces jointes, même si l'e-mail contient des informations personnelles ou prétend que l'e-mail est une facture impayée.
4. Pièces jointes dans des e-mails suspects provenant d'expéditeurs connus
En inversant le code du fichier malveillant, les chercheurs en sécurité peuvent décoder les données cryptées stockées par l'échantillon, déterminer la logique du domaine du fichier et révéler d'autres fonctionnalités du fichier non révélées lors de l'analyse comportementale. L'inversion manuelle du code nécessite des outils d'analyse de logiciels malveillants tels que des débogueurs et des désassembleurs.
5. Vérifier avant exécution qui traite une macro contrôle
Si la commande macro semble effectuer des actions malveillantes, les macros ne doivent pas être activées. Étant donné que de nombreux utilisateurs connaissent le terme macro malware mais ne savent peut-être pas comment l'identifier, les entreprises devraient également former leurs employés par le biais de formations régulières sur la façon de reconnaître les menaces possibles, en particulier dans le domaine de l'ingénierie sociale. La sensibilisation accrue des utilisateurs aux dangers des virus de macro contribue à renforcer considérablement la sécurité de l'entreprise et à minimiser les attaques de logiciels malveillants de macro réussies.
[idboîteétoile=6]