Le groupe à l'origine du Trojan Dridex et du ransomware Locky, s'en était fait une spécialité.
=> Trojan Dridex - Mail malveillants Macro Office.
=> Campagne de mails malveillants Locky
Plus globalement pour tout ce qui touche aux emails malveillants avec des documents Word et Excel, lire la page : Les virus par Word et Excel (documents Office) : comment s'en protéger
Les macro Office malveillantes
Le principe est de proposer une pièce jointe au format Word, au moment de l'ouverture sur Word, on vous demande d'activer la macro.
Si la victime le fait, la macro télécharge et exécute la charge virale sur l'ordinateur.
Une variante propose un PDF qui embarque un document Word, lorsque la victime ouvre le PDF, un message propose ensuite d'ouvrir le document Word pour enfin demander d'exécuter la Macro.
Cela permet de cacher les documents Word au sein de PDF pour contourner les détections antivirus.
Les documents Word malveillantes à base de DDE
Une variante qui risque d'être de plus en plus utilisée en alternative aux macro Word et la vulnérabilité DDE.
Le protocole Dynamic Data Exchange (DDE) permet la communication entre applications et l'échange de données dans la mémoire partagée.
L'éditeur Sensepost a montré récemment le danger des objets DDE dans Word : Macro-less Code Exec in MSWord.
Il est tout à fait possible d'insérer un champs DDE dans un document Word qui permet l'exécution de fichiers, par exemple ici la calculatrice Windows. A l'ouverture, cette objet DDE est exécuté.
Une interaction avec l'utilisateur comme avec les macros Word peut avoir lieu à travers des popups d'avertissements.
Un autre groupe poussant le malware Hancitor (AKA Chanitor) utilisant aussi des mails malveillants Word par le passé utilise déjà cette technique. (source : https://twitter.com/mesa_matt/status/919949549023711232)
Comme pour les macro, un bandeau jaune pour activer le DDE s'affiche
puis deux popups d'acceptation successives apparaissent.
Notez le cmd.exe, si vous voyez cmd.exe - ne jamais acceptez l'exécution.
Il est fort à parier que les prochaines campagnes de Locky utilise cette vulnérabilité DDE.
Les attaques Word DDE en vidéo :
Il semblerait que pour Outlook, le Word est exécuté automatiquement surement par une prévisualisation :
https://twitter.com/HelpDeskMan/status/ ... 9401605122
Comment désactiver les objets DDE sur Word
Il est possible de désactiver les objets DDE sur Word, ainsi vous êtes protégés contre ces procédés.
Lorsque vous allez ouvrir un document piégé avec des objets DDE, ces derniers ne s'exécuteront pas.
Utilisez l'éditeur du registre Windows regedit, pour cela :
- Touche Windows + R
- Dans la fenêtre exécuter, saisissez regedit puis OK.
- Déroulez HKEY_CURRENT_USERS\Software\Microsoft\Office\16.0\Word\options (vous pouvez avoir 15.0 si vous êtes en Office 2013)
- A droite, faites un clic droit Nouveau puis valeur DWord-32
- Nommez la DontUpdateLinks
- Double-cliquez sur DontUpdateLinks et donnez lui la valeur 1.
Plus globalement pour tout ce qui touche aux emails malveillants avec des documents Word et Excel, lire la page : Les virus par Word et Excel (documents Office) : comment s'en protéger
