{"id":589918,"date":"2023-02-03T16:51:23","date_gmt":"2023-02-03T18:51:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-monde-post-macro-voit-une-augmentation-des-documents-microsoft-onenote-livrant-des-logiciels-malveillants\/"},"modified":"2023-02-03T16:51:25","modified_gmt":"2023-02-03T18:51:25","slug":"le-monde-post-macro-voit-une-augmentation-des-documents-microsoft-onenote-livrant-des-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-monde-post-macro-voit-une-augmentation-des-documents-microsoft-onenote-livrant-des-logiciels-malveillants\/","title":{"rendered":"Le monde post-macro voit une augmentation des documents Microsoft OneNote livrant des logiciels malveillants"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>03 f\u00e9vrier 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vecteur d’attaque \/ S\u00e9curit\u00e9 des terminaux<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Signe continu que les acteurs de la menace s’adaptent bien \u00e0 un monde post-macro, il est apparu que l’utilisation des documents Microsoft OneNote pour diffuser des logiciels malveillants via des attaques de phishing est en augmentation.<\/p>\n

Certaines des familles de logiciels malveillants notables qui sont distribu\u00e9es \u00e0 l’aide de cette m\u00e9thode incluent AsyncRAT, Voleur RedLine<\/a>agent Tesla, DOUBLE RETOUR<\/a>Quasar RAT, XWorm, QakbotComment<\/a>, CHARGEUR DE BATTE<\/a>et FormulaireBook<\/a>.<\/p>\n

L’entreprise Proofpoint a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 plus de 50 campagnes utilisant des pi\u00e8ces jointes OneNote au cours du seul mois de janvier 2023.<\/p>\n

Dans certains cas, les leurres de phishing par e-mail contiennent un fichier OneNote, qui, \u00e0 son tour, int\u00e8gre un fichier HTA qui appelle un script PowerShell pour r\u00e9cup\u00e9rer un binaire malveillant \u00e0 partir d’un serveur distant.<\/p>\n

D’autres sc\u00e9narios impliquent l’ex\u00e9cution d’un VBScript malveillant int\u00e9gr\u00e9 dans le document OneNote et dissimul\u00e9 derri\u00e8re une image qui appara\u00eet comme un bouton apparemment inoffensif. Le VBScript, quant \u00e0 lui, est con\u00e7u pour d\u00e9poser un script PowerShell pour ex\u00e9cuter DOUBLEBACK.<\/p>\n

“Il est important de noter qu’une attaque ne r\u00e9ussit que si le destinataire s’engage avec la pi\u00e8ce jointe, en particulier en cliquant sur le fichier int\u00e9gr\u00e9 et en ignorant le message d’avertissement affich\u00e9 par OneNote”, Proofpoint a dit<\/a>.<\/p>\n

Les cha\u00eenes d’infection sont rendues possibles gr\u00e2ce \u00e0 une fonctionnalit\u00e9 OneNote qui permet l’ex\u00e9cution de certains types de fichiers directement \u00e0 partir de l’application de prise de notes en cas d’attaque de “contrebande de charge utile”.<\/p>\n

“La plupart des types de fichiers pouvant \u00eatre trait\u00e9s par MSHTA, WSCRIPT et CSCRIPT peuvent \u00eatre ex\u00e9cut\u00e9s \u00e0 partir de OneNote”, a d\u00e9clar\u00e9 Scott Nusbaum, chercheur chez TrustedSec. a dit<\/a>. “Ces types de fichiers incluent CHM, HTA, JS, WSF et VBS.”<\/p>\n

\"Microsoft<\/div>\n

Comme mesures correctives, la soci\u00e9t\u00e9 finlandaise de cybers\u00e9curit\u00e9 WithSecure est recommander<\/a> les utilisateurs bloquent les pi\u00e8ces jointes OneNote (fichiers .one et .onepkg) et surveillent de pr\u00e8s les op\u00e9rations du processus OneNote.exe.<\/p>\n

Le passage \u00e0 OneNote est consid\u00e9r\u00e9 comme une r\u00e9ponse \u00e0 la d\u00e9cision de Microsoft d’interdire les macros par d\u00e9faut dans les applications Microsoft Office t\u00e9l\u00e9charg\u00e9es sur Internet l’ann\u00e9e derni\u00e8re, incitant les acteurs de la menace \u00e0 exp\u00e9rimenter des types de fichiers peu courants tels que ISO, VHD, SVG, CHM, RAR, HTML , et LNK.<\/p>\n

L’objectif derri\u00e8re le blocage des macros est double\u00a0: non seulement r\u00e9duire la surface d’attaque, mais \u00e9galement augmenter l’effort requis pour r\u00e9ussir une attaque, m\u00eame si le courrier \u00e9lectronique continue d’\u00eatre le meilleur vecteur de livraison<\/a> pour les logiciels malveillants.<\/p>\n

Mais ce ne sont pas les seules options qui sont devenues un moyen populaire de dissimuler le code malveillant. Les fichiers de compl\u00e9ment Microsoft Excel (XLL) et les macros Publisher ont \u00e9galement \u00e9t\u00e9 utilis\u00e9s comme voie d’attaque pour contourner les protections de Microsoft et propager un cheval de Troie d’acc\u00e8s \u00e0 distance appel\u00e9 Ekipa RAT et d’autres portes d\u00e9rob\u00e9es.<\/p>\n

L’abus des fichiers XLL n’est pas pass\u00e9 inaper\u00e7u aupr\u00e8s du fabricant de Windows, qui est planification<\/a> une mise \u00e0 jour pour “bloquer les compl\u00e9ments XLL provenant d’Internet”, citant un “nombre croissant d’attaques de logiciels malveillants ces derniers mois”. L’option devrait \u00eatre disponible en mars 2023.<\/p>\n

Lorsqu’il a \u00e9t\u00e9 contact\u00e9 pour commenter, Microsoft a d\u00e9clar\u00e9 \u00e0 The Hacker News qu’il n’avait rien d’autre \u00e0 partager pour le moment.<\/p>\n

“Il est clair de voir comment les cybercriminels exploitent de nouveaux vecteurs d’attaque ou des moyens moins d\u00e9tect\u00e9s pour compromettre les appareils des utilisateurs”, Adrian Miron de Bitdefender a dit<\/a>. “Ces campagnes sont susceptibles de prolif\u00e9rer dans les mois \u00e0 venir, les cybercriminels testant des angles meilleurs ou am\u00e9lior\u00e9s pour compromettre les victimes.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n