Menu Fermer

Les virus par Word et Excel (documents Office) : comment s’en protéger

Vous ne le savez peut-être pas encore mais les documents Word ou Excel sont vecteurs de malwares.
Ainsi des campagnes de mails malveillants utilisent ces derniers pour installer des trojan et cheval de troie.

Cet article est donc une concaténation et résumé autour de cette utilisation de documents Word & Excel pour infecter les ordinateurs.

Les virus par Word et Excel (documents Office) : comment s'en protéger

Les documents Word malveillants

Les premières campagnes utilisant des documents Word pour infecter les PC sont apparues en 2015.
Par le groupe derrière le cheval de troie Dridex.
Par la suite, ce même groupe, courant février 2016, a aussi été à l’origine des campagnes pour pousser le ransomware Locky.

Les deux campagnes visent à envoyer des pièces jointes malveillantes par mail, soit

  • Au format Word ou Excel.
  • soit au format PDF rendormant un document Word.

L’utilisateur ouvre le document puis selon la configuration de la suite Office, une interaction est nécessaire pour infecter l’ordinateur.
En effet le but est de faire exécuter une macro.
Celle peut alors exécuter à son tour un script VBS, Powershell afin de télécharger un trojan.

Si la macro n’est pas exécutée alors aucun malware n’est téléchargé.

Les virus par Word et Excel (documents Office) : comment s'en protéger

Enfin contrairement à ce que les internautes peuvent penser, ces emails et notamment lorsqu’ils visent des entreprises peuvent être en langue françaises.

Mail malveillant se faisant passer pour Free

Des exemples de ces campagnes de mails malveillants sont donnés sur les pages suivantes :

En 2017 et 2018, les campagnes de ce groupe se sont calmés.
Les Trojan TrickBot et Emotet ont aussi utilisés ces méthodes pour créer des botnet.

Les trojan banker visent plutôt les entreprises.
Ainsi on trouve dans les campagnes des emails de factures, compta, etc.
Il s’agit de voler des données ou pénétrer son réseau.

Mail malveillant de facture

Principe

Deux techniques ont été utilisées successivement :

  • des macros malveillants insérées dans le document Word ou Excel. c’est lors de l’exécution de celle-ci que le logiciel malveillant est téléchargé puis exécuter sur l’ordinateur victime
  • La technique DDE qui permet l’exécution d’un script à travers un champs DDE dans le document Word.

Le schéma classique des infections par Word :

  1. L’utilisateur reçoit un email avec une pièce jointe en Word ou PDF. Souvent ce sont des emails en français qui reprennent de vrais email.
  2. L’utilisateur ouvre la pièce jointe et Word se lance
  3. Une interaction par l’utilisateur est alors nécessaire pour que le malware soit exécuté :
    • Une alerte avec un bande jaune s’ouvre demandant à exécuter une macro
    • Un double-clic sur un contenu (image ou autres) est nécessaire pour faire télécharger et exécuter le malware

Voici un exemple du bandeau jaune à l’ouverture du document Word.
Si l’utilisateur clic pour activer le contenu la macro s’exécute.

Mail malveillant avec Macro Word

Lorsque la macro est exécutée, Word lance un script qui télécharge le malware.
La macro peut aussi télécharger le trojan directement.

Word qui lance un malware

Cette autre vidéo suivante montre comment un mail malveillant avec un document Word peut infecter l’ordinateur.

A noter que dans le cas des objets DDE, ces derniers peuvent être aussi interprété par Outlook et la pré-visualisation des documents Word.
Les documents Office et Word contenant des macros ont été utilisés jusqu’en Octobre et Novembre 2017 où la technique DDE est ensuite apparue.
Microsoft a ensuite désactivée certaines fonctions rendant cette technique inutilisable.

Les macros malveillantes

Le but est de faire exécuter la macro contenu dans le document Word.
Par défaut, Word affiche un bandeau jaune lorsqu’un document contient une macro, pour que l’infection soit mise en place, l’utilisateur doit accepter son exécution.

Exemple avec une campagne de mail malveillant visant l’Italie avec un document Excel attaché :

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Le document s’ouvre ensuite, notez le bande jaune en haut : Attention aux fichiers provenant d’un emplacement internet, car ils peuvent contenir des virus.
Il est recommandé de garder le mode protégé sauf si vous devez effectuer des modifications.
Ce message s’affiche car le document Excel a été téléchargé et exécuté depuis un navigateur internet, du fait que le mail se trouve sur un webmail.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Si on autorise les modifications, on est alors invité à exécuter la macro à travers le bouton “Activer le contenu

Les virus par Word et Excel (documents Offices) : comment s'en protéger

On constate alors qu’Excel lance cmd qui lance une commande Powershell qui permet de télécharger et exécuter le cheval de troie.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

La méthode DDE

Cette méthode consiste à insérer un objet DDE qui permet de lancer une commande CMD ou Powershell.
Là aussi, pour être exécuté, cette méthode nécessite une interaction de la part de l’utilisateur qui doit double-cliquer sur le champs.

Pour se faire, une image invitant à double-cliquer sur l’objet est utilisé avec divers prétexte comme débloquer le contenu, ou une alerte de sécurité avec le logo d’un antivirus comme McAfee.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Une popup d’alerte s’ouvre tout de même pour vous demander si vous êtes sûr de vouloir exécuter cet objet.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Si c’est le cas, une fenêtre CMD ou Powershell est exécuté qui télécharge le Trojan ou Ransomware sur l’ordinateur.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Dans le cas observé, il s’agit du ransomware Locky.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

A noter que dans les premières versions, vous pouviez aussi avoir une succession de popup d’alerte mais aussi avec les commandes CMD ou Powershell embarquées dans le document.
Ce qui n’est pas très discret.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Cette vidéo est un autre exemple d’un document Word malveillant avec un objet DDE :

Comment se protéger des virus par Word et Excel ?

Je passe le fait qu’il “suffit” de faire attention aux emails que vous ouvrez. Toutefois, parfois avec la fatigue ou avec des emails bien faits, on peut tomber dans panneau.
Je rappelle à cet effet que des emails en français.
Par exemple, reprenant des factures Free Mobile ou des emails de factures à destination des services de compta ont déjà été massivement diffusés.

Se protéger des macros malveillantes

Par défaut, Office est configuré pour ne pas exécuter les macros et afficher le bandeau jaune.
Cela protège donc de l’exécution automatique d’une macro malveillant, ce qui serait catastrophique.
Ces éléments peuvent être configurés depuis les paramètres de Word ou Excel, depuis les options.

Par exemple sur Office 2003, il faut se rendre dans les Paramètres du centre de gestion de la confidentialité.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

A partir de là, on obtient le paramétrage du comportement de l’ouverture des macros.
Par défaut, ce dernier est réglé pour bloquer et afficher une notification.
Comme vous pouvez le constater, il est tout à fait possible d’activer les macros automatiquement, ce qui est très dangereux.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Côté protection du contenu pour les documents Office téléchargés depuis internet et autres zones non sûres, celle-ci est activée aussi par défaut.

Les virus par Word et Excel (documents Offices) : comment s'en protéger

Se protéger des champs DDE

Les champs DDE sont autorisés par défaut sur Office avec des alertes.
Il est toutefois possible de désactiver ces derniers pour Office et Outlook.
Il faut modifier des clés du registre Windows indiqués sur la page suivante: Vulnérabilité (?) DDE sur Word et mails malveillants.
Pour faciliter les choses, un script REG est disponible en ligne : Télécharger le reg

Outils automatisé contre les documents Office malveillants

Il existe des outils qui permettent de sécuriser Windows et désactiver les fonctions d’offices utilisées par les malwares.
Voici les deux outils les plus utilisés :

Briser la chaîne d’exécution

Enfin, comme vous avez pu le comprendre, le document Word ne peut pas télécharger et exécuter le malware.
Pour se faire, la macro ou le champs DDE exécute un script CMD.
Ce script CMD peut alors lancer une commande Powershell qui télécharge et exécuter ensuite la charge virale sur l’ordinateur.

Là aussi, si vous suivez régulièrement le site, vous êtes normalement protégé. En effet il existe des articles qui explique comment bloquer Powershell très utilisé par les logiciels malveillants.
Sur la page suivante, il est expliqué comment bloquer Powershell et d’autres processus sensibles sur le pare-feu de Windows : Firewall Windows : les bon réglages

A noter enfin que des mails malveillants au format VBS sont aussi utilisés. Cela rend rentre dans la sécurité contre ls scripts malveillants sur Windows.
Vous pouvez alors lire : Comment se protéger des scripts malicieux sur Windows et Les virus Powershell

Enfin voici des outils pour vous aider à protéger des mails malveillants en Office.
Le premier permet une configuration automatique, très pratique pour les débutants.

Plus loin dans la sécurité Windows

Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant :