Les macrovirus VBA : ils sont de retour !

Les lecteurs de Naked Security qui sont familiers avec le nom « Virus Bulletin » (VB), l’auront probablement associé à la conférence annuelle fréquentée par les experts anti-malwares, et autres mordus de sécurité informatique.

Cependant cette conférence tient son nom d’une revue spécialisée (pour la partie « Bulletin »), qui tout comme la conférence, existe depuis plus de 2 décennies.

En fait, le magazine VB vient juste de célébrer son 25ème anniversaire…

…en basculant d’un d’abonnement payant à un service en ligne gratuit.

Vous pouvez maintenant accéder aux articles VB sans inscription, et gratuitement.

Nous espérons donc, que vous serez séduits par VB en lisant l’un des premiers articles publiés sur le nouveau site relooké, intitulé «VBA IS NOT DEAD», et écrit par notre précieux Gabor Szappanos.

Szappi, bien connu des lecteurs assidus, a écrit un billet fascinant qui traite du récent regain de popularité, parmi les cybercriminels, du langage de programmation, connu sous le nom de VBA.

VBA est l’abréviation de Visual Basic for Applications, et en 2014, il est probablement mieux connu comme “le moyen pour les grands gourous d’Excel d’écrire leur macros affreusement compliquées ».

Toutefois, à la fin des années 90, le VBA était plutôt célèbre pour ses malwares, et plus précisément ses macrovirus (à savoir des malwares qui se répandent automatiquement).

Voici un graphique, extrait du billet de Szappi, qui montre comment ces soi-disant macrovirus proliféraient jusqu’au début des années 2000, au moment où l’exécutable de Windows contre les malwares a enfin commencé à se répandre.

Ces macrovirus VBA s’invitaient dans vos documents, secrètement, en prenant le contrôle de certaines fonctions de l’application au sein d’Office, telles que AutoOpen (pour Word) ou Auto_Open (pour Excel), qui faisaient exactement ce que leurs noms indiquaient.

Quand vous ouvriez un document infecté, le malware prenait tranquillement le contrôle, et se répandait au sein de vos fichiers types d’Office. Ainsi, à partir de ces derniers, il pouvait contourner Office, pour glisser une copie de lui-même dans tous les documents que vous étiez amenés à ouvrir.

D’après le graphique de Szappi, on peut voir que ces macrovirus ont disparus très rapidement au début des années 2000.

En effet, comme le fait remarquer Szappi dans son article :

Dans les 5 dernières années, les macrovirus (et plus généralement, les malwares macros) ont quasiment disparu, principalement grâce aux améliorations, en terme de sécurité, apportées durant cette même période par Microsoft Office, qui étaient en fait leur principale cible.

Cependant, comme souvent dans l’histoire, certains phénomènes ont des comportements cycliques. En effet, Szappi fait remarquer que ces malwares macros sont en train de faire leur retour.

Ironiquement, les hackers utilisent souvent la présence des macros comme une excuse, pour indiquer que leur document est plus sûr que les autres, déclarant même que ce dernier est, d’une certaine manière, « protégé », jusqu’au moment où vous autorisez les macros afin d’activer le décryptage de celui-ci.

Cela est supposé protéger le document des regards indiscrets et autres petits curieux, jusqu’à ce que vous soyez enfin à l’écart pour lui permettre de révéler son contenu confidentiel :

Cette technique a priori fonctionne : en effet, Szappi déclare que plus de la moitié des attaques portant sur des documents, récemment observées, contenaient des macrovirus VBA, visant à duper les utilisateurs ainsi qu’Office, par le biais d’exploits.

D’après Szappi :

Quand l’objectif est d’infecter le plus grand nombre d’utilisateurs possible, la bonne vieille ingénierie sociale ne manque jamais d’efficacité.

Un bon anti-virus va plonger dans les fichiers d’Office pour rechercher les macros malveillantes, avant que le fichier ne soit utilisé, bien sûr. Mais Szappi vous propose une astuce pour vous protéger davantage concernant les recommendations de votre anti-virus  :

En réalité, il n’y a aucune raison pour que le contenu d’un document ne puisse s’afficher correctement, qu’à la condition d’exécuter une macro. Si vous recevez un document avec cet avertissement, méfiez vous : vous êtes sûrement victime d’une attaque !

Dépêchez vous de lire l’article de Szappi pour en savoir plus ….

Billet inspiré de : “Remember macro viruses? Infected Word and Excel files? They’re back…” par Paul Ducklin de Naked Security.

Partagez “Les macrovirus VBA : ils sont de retour !” avec http://bit.ly/1mUMrOY