Apparemment, les pirates utilisent de plus en plus Excel 4.0 documents pour distribuer des logiciels malveillants tels que ZLoader et Quakbot. Les résultats proviennent de la société de sécurité Reversing Labs.
Comment s'est déroulée la recherche sur Excel malveillant 4.0 (XML) macros réalisées?
L'équipe de recherche a rassemblé tous les documents Excel qui sont apparus pour la première fois dans Reversing Labs TitaniumCloud depuis novembre 2020. Les documents ont ensuite été traités avec un moteur d'analyse statique qui a identifié que presque 160,000 d'entre eux utilisent Excel 4.0 (XLM) macros, l'analyse révèle.
Presque tous les 160,000 Exceller 4.0 les documents ont été classés comme malveillants ou suspects, ce qui signifie que presque tous les documents contenant Macros XML est infecté. Mais pourquoi est-ce?
«Cela a du sens étant donné que les macros XLM sont une option Office héritée à ce stade, et il y a juste une petite chance que de nouveaux documents les utilisent au lieu de macros VBA plus «modernes»,» Les chercheurs expliquent.
L’analyse a également révélé qu’il existe une tendance à l’augmentation du nombre d’échantillons malveillants à certaines périodes de l’année.. Une augmentation significative du nombre d'échantillons malveillants rencontrés a été observée fin novembre 2020: une date qui coïncide avec le Black Friday. «C'est quelque peu attendu, car de tels événements sont une bonne occasion pour les acteurs malveillants d'attirer leurs cibles dans l'ouverture de contenu malveillant,"Note le rapport.
C'est curieux, cependant, que l'équipe n'a observé presque aucune activité pendant les vacances d'hiver (Noël et Nouvel An). La pause dans l'activité malveillante a été courte, bien que, comme Excel malveillant 4.0 macros récupérées en janvier, juste avant la Saint-Valentin. "Logiciel malveillant, comme la plupart des activités humaines, semble être saisonnier,» Concluent les chercheurs.
Les chevaux de Troie bancaires ont tendance à utiliser des macros malveillantes
L'une des dernières campagnes à grande échelle livraison du cheval de Troie ZLoader a été détecté l'été dernier. Les fichiers CV infectés ont été utilisés comme porteurs du tristement célèbre cheval de Troie bancaire.
Il est important de noter que la plupart des échantillons de logiciels malveillants bancaires sont distribués via des documents infectés, couramment consulté par les utilisateurs: des documents texte, présentations, feuilles de calcul, et bases de données. Dans cette campagne particulière, les pirates ont intégré le virus dans des fichiers Microsoft Excel. Dès que les documents sont ouverts, une invite apparaîtrait demandant à l'utilisateur d'activer les macros. En d'autres termes, dès que la victime potentielle active ces scripts, le cheval de Troie est exécuté.
Que devez-vous faire pour éviter d'être victime des campagnes de chevaux de Troie bancaires??
Les chevaux de Troie bancaires ont causé de grands dommages aux utilisateurs peu méfiants, générer des transactions frauduleuses et voler les informations d'identification bancaires. scénarios d'attaque peuvent aller encore pire, si le cheval de Troie bancaire particulier installe des logiciels malveillants supplémentaires, tel que ransomware. Étant donné que les logiciels malveillants bancaires continuent d'être un énorme problème pour les utilisateurs individuels et les entreprises, il est tout à fait naturel de rechercher une protection.
Les macros sont généralement désactivées par Microsoft par défaut. Bien sûr, les cybercriminels sont conscients de ce fait, et trouvez toujours des moyens d'inciter les victimes potentielles à activer les macros et à être infectées par la suite.
Voici quelques éléments de base, étapes faciles à suivre pour éviter les macros malveillantes:
- Désactivez les macros dans les applications Microsoft Office.La première chose à faire est de vérifier si les macros sont désactivées dans Microsoft Office. Pour plus d'information, visitez la page officielle de Microsoft Office. Gardez à l'esprit que si vous êtes un utilisateur d'entreprise, l'administrateur du système est celui qui est en charge des paramètres par défaut macro.
- Ne pas ouvrir les e-mails suspects. Aussi simple que cela. Si vous recevez un courriel inattendu d'un expéditeur inconnu - comme une facture - ne pas ouvrir avant en vous assurant qu'il est légitime. Le spam est le principal moyen de distribuer des logiciels malveillants macro.
- Utiliser des mesures anti-spam et une protection anti-malware. Faites confiance à un logiciel anti-spam, filtres anti-spam, visant à examiner le courrier entrant. Un tel logiciel isole le spam des e-mails réguliers. Les filtres de Spam sont conçus pour identifier et détecter le spam, et l'empêcher d'atteindre votre boîte de réception. Assurez-vous d'ajouter un filtre anti-spam à votre email.