Vous ne le savez peut-être pas encore mais les documents Word ou Excel sont vecteurs de malwares.
Ainsi des campagnes de mails malveillants utilisent ces derniers pour installer des trojan et cheval de troie.
Cet article est donc une concaténation et résumé autour de cette utilisation de documents Word & Excel pour infecter les ordinateurs.
Table des matières
Les documents Word malveillants
Les premières campagnes utilisant des documents Word pour infecter les PC sont apparues en 2015.
Par le groupe derrière le cheval de troie Dridex.
Par la suite, ce même groupe, courant février 2016, a aussi été à l’origine des campagnes pour pousser le ransomware Locky.
Les deux campagnes visent à envoyer des pièces jointes malveillantes par mail, soit
- Au format Word ou Excel.
- soit au format PDF rendormant un document Word.
L’utilisateur ouvre le document puis selon la configuration de la suite Office, une interaction est nécessaire pour infecter l’ordinateur.
En effet le but est de faire exécuter une macro.
Celle peut alors exécuter à son tour un script VBS, Powershell afin de télécharger un trojan.
Si la macro n’est pas exécutée alors aucun malware n’est téléchargé.
Enfin contrairement à ce que les internautes peuvent penser, ces emails et notamment lorsqu’ils visent des entreprises peuvent être en langue françaises.
Des exemples de ces campagnes de mails malveillants sont donnés sur les pages suivantes :
En 2017 et 2018, les campagnes de ce groupe se sont calmés.
Les Trojan TrickBot et Emotet ont aussi utilisés ces méthodes pour créer des botnet.
Les trojan banker visent plutôt les entreprises.
Ainsi on trouve dans les campagnes des emails de factures, compta, etc.
Il s’agit de voler des données ou pénétrer son réseau.
Principe
Deux techniques ont été utilisées successivement :
- des macros malveillants insérées dans le document Word ou Excel. c’est lors de l’exécution de celle-ci que le logiciel malveillant est téléchargé puis exécuter sur l’ordinateur victime
- La technique DDE qui permet l’exécution d’un script à travers un champs DDE dans le document Word.
Le schéma classique des infections par Word :
- L’utilisateur reçoit un email avec une pièce jointe en Word ou PDF. Souvent ce sont des emails en français qui reprennent de vrais email.
- L’utilisateur ouvre la pièce jointe et Word se lance
- Une interaction par l’utilisateur est alors nécessaire pour que le malware soit exécuté :
- Une alerte avec un bande jaune s’ouvre demandant à exécuter une macro
- Un double-clic sur un contenu (image ou autres) est nécessaire pour faire télécharger et exécuter le malware
Voici un exemple du bandeau jaune à l’ouverture du document Word.
Si l’utilisateur clic pour activer le contenu la macro s’exécute.
Lorsque la macro est exécutée, Word lance un script qui télécharge le malware.
La macro peut aussi télécharger le trojan directement.
Cette autre vidéo suivante montre comment un mail malveillant avec un document Word peut infecter l’ordinateur.
A noter que dans le cas des objets DDE, ces derniers peuvent être aussi interprété par Outlook et la pré-visualisation des documents Word.
Les documents Office et Word contenant des macros ont été utilisés jusqu’en Octobre et Novembre 2017 où la technique DDE est ensuite apparue.
Microsoft a ensuite désactivée certaines fonctions rendant cette technique inutilisable.
Les macros malveillantes
Le but est de faire exécuter la macro contenu dans le document Word.
Par défaut, Word affiche un bandeau jaune lorsqu’un document contient une macro, pour que l’infection soit mise en place, l’utilisateur doit accepter son exécution.
Exemple avec une campagne de mail malveillant visant l’Italie avec un document Excel attaché :
Le document s’ouvre ensuite, notez le bande jaune en haut : Attention aux fichiers provenant d’un emplacement internet, car ils peuvent contenir des virus.
Il est recommandé de garder le mode protégé sauf si vous devez effectuer des modifications.
Ce message s’affiche car le document Excel a été téléchargé et exécuté depuis un navigateur internet, du fait que le mail se trouve sur un webmail.
Si on autorise les modifications, on est alors invité à exécuter la macro à travers le bouton “Activer le contenu“
On constate alors qu’Excel lance cmd qui lance une commande Powershell qui permet de télécharger et exécuter le cheval de troie.
La méthode DDE
Cette méthode consiste à insérer un objet DDE qui permet de lancer une commande CMD ou Powershell.
Là aussi, pour être exécuté, cette méthode nécessite une interaction de la part de l’utilisateur qui doit double-cliquer sur le champs.
Pour se faire, une image invitant à double-cliquer sur l’objet est utilisé avec divers prétexte comme débloquer le contenu, ou une alerte de sécurité avec le logo d’un antivirus comme McAfee.
Une popup d’alerte s’ouvre tout de même pour vous demander si vous êtes sûr de vouloir exécuter cet objet.
Si c’est le cas, une fenêtre CMD ou Powershell est exécuté qui télécharge le Trojan ou Ransomware sur l’ordinateur.
Dans le cas observé, il s’agit du ransomware Locky.
A noter que dans les premières versions, vous pouviez aussi avoir une succession de popup d’alerte mais aussi avec les commandes CMD ou Powershell embarquées dans le document.
Ce qui n’est pas très discret.
Cette vidéo est un autre exemple d’un document Word malveillant avec un objet DDE :
Comment se protéger des virus par Word et Excel ?
Je passe le fait qu’il “suffit” de faire attention aux emails que vous ouvrez. Toutefois, parfois avec la fatigue ou avec des emails bien faits, on peut tomber dans panneau.
Je rappelle à cet effet que des emails en français.
Par exemple, reprenant des factures Free Mobile ou des emails de factures à destination des services de compta ont déjà été massivement diffusés.
Se protéger des macros malveillantes
Par défaut, Office est configuré pour ne pas exécuter les macros et afficher le bandeau jaune.
Cela protège donc de l’exécution automatique d’une macro malveillant, ce qui serait catastrophique.
Ces éléments peuvent être configurés depuis les paramètres de Word ou Excel, depuis les options.
Par exemple sur Office 2003, il faut se rendre dans les Paramètres du centre de gestion de la confidentialité.
A partir de là, on obtient le paramétrage du comportement de l’ouverture des macros.
Par défaut, ce dernier est réglé pour bloquer et afficher une notification.
Comme vous pouvez le constater, il est tout à fait possible d’activer les macros automatiquement, ce qui est très dangereux.
Côté protection du contenu pour les documents Office téléchargés depuis internet et autres zones non sûres, celle-ci est activée aussi par défaut.
Se protéger des champs DDE
Les champs DDE sont autorisés par défaut sur Office avec des alertes.
Il est toutefois possible de désactiver ces derniers pour Office et Outlook.
Il faut modifier des clés du registre Windows indiqués sur la page suivante: Vulnérabilité (?) DDE sur Word et mails malveillants.
Pour faciliter les choses, un script REG est disponible en ligne : Télécharger le reg
Outils automatisé contre les documents Office malveillants
Il existe des outils qui permettent de sécuriser Windows et désactiver les fonctions d’offices utilisées par les malwares.
Voici les deux outils les plus utilisés :
- SysHardener : sécuriser Windows facilement contre les virus
- Hardentools : Sécuriser Windows en désactivant certains fonctionnalités
Briser la chaîne d’exécution
Enfin, comme vous avez pu le comprendre, le document Word ne peut pas télécharger et exécuter le malware.
Pour se faire, la macro ou le champs DDE exécute un script CMD.
Ce script CMD peut alors lancer une commande Powershell qui télécharge et exécuter ensuite la charge virale sur l’ordinateur.
Là aussi, si vous suivez régulièrement le site, vous êtes normalement protégé. En effet il existe des articles qui explique comment bloquer Powershell très utilisé par les logiciels malveillants.
Sur la page suivante, il est expliqué comment bloquer Powershell et d’autres processus sensibles sur le pare-feu de Windows : Firewall Windows : les bon réglages
A noter enfin que des mails malveillants au format VBS sont aussi utilisés. Cela rend rentre dans la sécurité contre ls scripts malveillants sur Windows.
Vous pouvez alors lire : Comment se protéger des scripts malicieux sur Windows et Les virus Powershell
Enfin voici des outils pour vous aider à protéger des mails malveillants en Office.
Le premier permet une configuration automatique, très pratique pour les débutants.
- OSArmor : Bloquer les processus/comportements malveillants
- Hard configurator : Sécuriser Windows 10 contre les virus (plutôt pour les utilisateurs expérimentés)
- Hardentools : Sécuriser Windows
- SysHardener : sécuriser et protéger Windows des virus
Plus loin dans la sécurité Windows
Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant :
- Sécuriser son PC en Windows 10
- Comment protéger son PC des hackers ou pirates
- Comment sécuriser son routeur contre les piratages
- Comment sécuriser sa connexion Wi-Fi contre les piratages ou hack
- L’antivirus Windows Defender : le dossier complet
- Windows Defender est-il efficace?
- Comment protéger et sécuriser ses comptes internet
- Les virus informatiques : fonctionnement et protections