Les pirates ont longtemps utilisé des documents Word et Excel comme véhicules de livraison pour les logiciels malveillants, et en 2025, ces astuces sont loin d’être obsolètes. Des schémas de phishing aux exploits zéro cliquez sur, les fichiers de bureau malveillants sont toujours l’un des moyens les plus simples du système d’une victime.
Voici les trois principaux exploits basés sur Microsoft Office qui font toujours le tour cette année et ce que vous devez savoir pour les éviter.
1. Phishing dans MS Office: Still Hackers’s Favorite
Les attaques de phishing utilisant des fichiers Microsoft Office existent depuis des années, et elles vont toujours fortes. Pourquoi? Parce qu’ils fonctionnent, en particulier dans les environnements commerciaux où les équipes échangent constamment des documents de mots et exceller.
Les attaquants savent que les gens sont habitués à ouvrir des fichiers de bureau, surtout s’ils proviennent de ce qui ressemble à un collègue, un client ou un partenaire. Une fausse facture, un rapport partagé ou une offre d’emploi: il ne faut pas grand-chose pour convaincre quelqu’un de cliquer. Et une fois le fichier ouvert, l’attaquant a sa chance.
Le phishing avec les fichiers de bureau vise souvent à voler des informations d’identification de connexion. Ces documents peuvent inclure:
- Liens vers les fausses pages de connexion Microsoft 365
- Portails de phishing qui imitent les outils ou services de l’entreprise
- Rediriger des chaînes qui finissent par atterrir sur les sites de récolte des informations d’identification
Dans cette session d’analyse de logiciels malveillants any.Run, un fichier Excel contient un lien de phishing malveillant:
Afficher la session d’analyse avec un fichier Excel
![]() |
| Fichier Excel contenant un lien malveillant détecté dans n’importe quel.run sandbox |
Lorsque vous cliquez sur, la victime est emmenée sur une page Web qui montre un chèque de cloudflare “Vérifiez que vous êtes un chèque humain”.
![]() |
| La vérification de CloudFlare est passée avec interactivité automatisée de Run |
Après avoir cliqué, il y a une autre redirection; Cette fois à une fausse page de connexion Microsoft.
![]() |
| Lien malveillant vers une fausse page de connexion Microsoft avec des caractères aléatoires |
À première vue, cela pourrait sembler réel. Mais à l’intérieur du bac à sable Any.run, il est facile de repérer les drapeaux rouges. L’URL de connexion Microsoft n’est pas officielle; Il est rempli de caractères aléatoires et n’appartient clairement pas au domaine de Microsoft.
Donnez à votre équipe le bon outil pour détecter, enquêter et signaler les menaces plus rapidement dans un environnement sécurisé.
Obtenez un essai de n’importe qui. Pour accéder à l’analyse avancée des logiciels malveillants
Cette fausse page de connexion est l’endroit où la victime remet sans le savoir leurs informations d’identification de connexion directement à l’attaquant.
Les attaquants deviennent également plus créatifs. Dernièrement, certains documents de phishing sont livrés avec des codes QR qui y sont intégrés. Ceux-ci sont destinés à être scannés avec un smartphone, en envoyant la victime à un site Web de phishing ou en déclenchant un téléchargement de logiciels malveillants. Cependant, ils peuvent également être détectés et analysés avec des outils comme n’importe quoi.
2. CVE-2017-11882: l’éditeur d’équation exploite qui ne mourra pas
Découvert pour la première fois en 2017, le CVE-2017-11882 est toujours exploité aujourd’hui, dans des environnements exécutant des versions obsolètes de Microsoft Office.
Cette vulnérabilité cible l’éditeur d’équation Microsoft – un composant rarement utilisé qui faisait partie des bâtiments de bureau plus anciens. L’exploiter est dangereusement simple: le simple fait d’ouvrir un fichier de mots malveillant peut déclencher l’exploit. Pas de macros, aucun clic supplémentaire nécessaire.
Dans ce cas, l’attaquant utilise le défaut pour télécharger et exécuter une charge utile de logiciels malveillants en arrière-plan, souvent via une connexion de serveur distant.
Dans notre session d’analyse, la charge utile livrée était l’agent Tesla, un voleur d’informations connu utilisé pour capturer des frappes, des informations d’identification et des données de presse-papiers.
Voir la session d’analyse avec charge utile malveillante
![]() |
| E-mail de phishing contenant une pièce jointe malveillante |
Dans la section ATT & CK de Miter de cette analyse, nous pouvons voir comment n’importe quel.Run Sandbox a détecté cette technique spécifique utilisée dans l’attaque:
![]() |
| Exploitation de l’éditeur d’équation détecté par an.Run |
Bien que Microsoft ait corrigé la vulnérabilité il y a des années, il est toujours utile pour les attaquants de ciblage des systèmes qui n’ont pas été mis à jour. Et avec les macros désactivées par défaut dans les versions de bureau plus récentes, le CVE-2017-11882 est devenu un repli pour les cybercriminels qui souhaitent une exécution garantie.
3. CVE-2022-30190: Follina est toujours dans le jeu
Le Follina Exploit (CVE-2022-30190) continue d’être un favori parmi les attaquants pour une raison simple: il fonctionne sans macros et ne nécessite aucune interaction utilisateur au-delà de l’ouverture d’un fichier Word.
Follina abuse de l’outil de diagnostic de support Microsoft (MSDT) et des URL spéciales intégrées dans des documents de bureau pour exécuter le code distant. Cela signifie que la simple visualisation du fichier est suffisante pour lancer des scripts malveillants, souvent basés sur PowerShell, qui contactent un serveur de commande et de contrôle.
Voir la session d’analyse avec Follina
![]() |
| Technique follina détectée à l’intérieur de n’importe quel. |
Dans notre échantillon d’analyse de logiciels malveillants, l’attaque est allée plus loin. Nous avons observé la balise “Stegocampaign”, qui indique l’utilisation de la stéganographie – une technique où les logiciels malveillants sont cachés dans les fichiers d’image.
![]() |
| Utilisation de la stéganographie dans l’attaque |
L’image est téléchargée et traitée à l’aide de PowerShell, en extraction de la charge utile réelle sans soulever des alarmes immédiates.
![]() |
| Image avec charge utile malveillante analysée à l’intérieur de n’importe quel.run |
Pour aggraver les choses, Follina est souvent utilisée dans les chaînes d’attaque à plusieurs étapes, combinant d’autres vulnérabilités ou charges utiles pour augmenter l’impact.
Ce que cela signifie pour les équipes utilisant MS Office
Si votre équipe s’appuie fortement sur Microsoft Office pour les travaux quotidiens, les attaques mentionnées ci-dessus devraient être un réveil.
Les cybercriminels savent que les fichiers de bureau sont fiables et largement utilisés dans les affaires. C’est pourquoi ils continuent de les exploiter. Qu’il s’agisse d’une simple feuille Excel cachant un lien de phishing ou un document Word exécutant silencieusement du code malveillant, ces fichiers peuvent présenter de sérieux risques à la sécurité de votre organisation.
Voici ce que votre équipe peut faire:
- Examiner comment les documents de bureau sont gérés en interne; Limitez qui peut ouvrir ou télécharger des fichiers à partir de sources extérieures.
- Utiliser des outils comme n’importe qui. Sandbox pour inspecter les fichiers suspects dans un environnement sûr et isolé avant que quiconque de votre équipe ne les ouvre.
- Mettre à jour tous les logiciels de bureau régulièrement et désactiver les fonctionnalités héritées comme les macros ou l’éditeur d’équation lorsque cela est possible.
- Rester informé sur les nouvelles techniques d’exploitation liées aux formats de bureau afin que votre équipe de sécurité puisse répondre rapidement.
Analyser les logiciels malveillants mobiles avec le nouveau support Android OS de Run
La menace ne s’arrête pas aux dossiers de bureau. Les appareils mobiles sont désormais une cible clé et les attaquants diffusent des logiciels malveillants via de fausses applications, des liens de phishing et des APK malveillants.
Cela signifie une surface d’attaque croissante pour les entreprises et la nécessité d’une visibilité plus large.
Avec n’importe quoi, le nouveau support Android OS de Run, votre équipe de sécurité peut maintenant:
- Analyser les logiciels malveillants Android dans un vrai environnement mobile
- Enquêter sur le comportement suspect APK avant qu’il n’atteigne les dispositifs de production
- Répondre aux menaces mobiles plus rapidement et avec plus de clarté
- Prise en charge la réponse des incidents sur les écosystèmes de bureau et mobiles
C’est un grand pas vers une couverture complète et il est disponible sur tous les plans, y compris gratuitement.
Commencez votre première analyse des menaces Android dès aujourd’hui Et donnez à vos analystes de sécurité la visibilité dont ils ont besoin pour protéger votre surface d’attaque mobile.









