Des chercheurs en cybersécurité ont découvert que le célèbre logiciel tableur, Excel, était utilisé par des hackers pour propager un malware. Plusieurs liens frauduleux contenant la charge utile étaient encore en ligne.

Plus ça parait ordinaire et plus c’est efficace. Pour installer un logiciel malveillant, les hackers cherchent à faire télécharger un fichier à leurs victimes. Si certaines arnaques peuvent vous sauter aux yeux, il est moins évident, en revanche, de ne pas tomber dans le piège d’un document Excel envoyé dans le cadre de son travail.

Les chercheurs en cybersécurité de Netskope ont publié un rapport ce 27 juin 2022, repris par le média américain Techradar, sur des liens piégés du célèbre logiciel tableur Excel. Malgré une mise à jour effectuée par Microsoft en début d’année 2022, de nombreuses entreprises utilisent encore des versions antérieures, plus vulnérables à une infection. La société explique avoir découvert des centaines de fichiers Excel contenant Emotet, un malware destiné à récupérer les données d’un client d’entreprise, par exemple.

La première détection de ce logiciel malveillant a eu lieu en 2014, lors d’une cyberattaque contre des banques en Allemagne et en Autriche. Depuis, il est encore régulièrement utilisé. Les malfaiteurs envoient généralement un mail avec une pièce jointe nommée « facture » ou « détails du paiement » par exemple. Une fois cette pièce jointe ouverte, Emotet s’installe dans le système, souvent sans que la victime s’en aperçoive et siphonne toutes les données.

emotet
Un exemple de mail dans le secteur financier, découvert par les chercheurs avec un message trompeur : « complétez et retournez moi le document pour que je puisse ouvrir votre compte ». // Source : netskope

Un code pour activer le logiciel

Après avoir effectué une recherche de fichiers similaires sur VirusTotal, l’équipe a découvert 776 feuilles de calcul malveillantes, envoyées en moins de deux semaines, durant le mois de juin. La plupart des fichiers partagent les mêmes URL et certaines métadonnées, ce qui a amené les chercheurs à conclure qu’il s’agit probablement de l’œuvre d’un seul groupe de malfaiteurs.

Au total, les experts en cyber ont extrait 18 URL, dont quatre étaient encore en ligne et délivraient le logiciel malveillant à ce moment-là.

Les hackers précisaient dans le mail que le fichier était protégé par un mot de passe fourni avec le document frauduleux, prétextant des consignes de sécurité. Les utilisateurs qui exécutent le fichier le voient d’abord vide, puis l’activent eux-mêmes avec le code envoyé par les pirates. Cela évite que le service de messagerie détecte immédiatement le logiciel malveillant et le place dans les spams.

Pour se défendre au mieux contre ce type d’hameçonnage, les entreprises n’ont d’autre choix que de renforcer leur solution antivirus et former leurs employés à détecter les pièges.