Macros Excel : méfiez-vous de cette campagne de phishing

Les courriels envoyés prétendent provenir du Johns Hopkins Center (un des organismes qui fournit des statistiques sur l’épidémie) et portent le titre “WHO COVID-19 SITUATION REPORT”. Si le destinataire tente d’ouvrir le fichier Excel joint, il s’ouvrira avec un avertissement de sécurité et affichera un graphique des cas supposés de coronavirus aux États-Unis. Mais si la macro Excel 4.0 malveillante est autorisée à s’exécuter, elle télécharge et exécute également NetSupport Manager.

NetSupport Manager, un outil d’accès à distance tout à fait légitime

Bien que NetSupport Manager soit un outil d’accès à distance tout à fait légitime, il est connu pour être utilisé également par des attaquants pour accéder à distance à des machines compromises et y exécuter des commandes, a déclaré Microsoft. Il se connecte à un serveur de commande et de contrôle (C&C), ce qui permet aux attaquants d’envoyer les commandes.

“Depuis plusieurs mois maintenant, nous constatons une augmentation constante de l’utilisation de macros Excel 4.0 malveillantes dans les campagnes de malware. En avril, ces campagnes Excel 4.0 ont pris le train en marche et ont commencé à utiliser le thème du COVID-19” a déclaré l’équipe de Microsoft Security Intelligence.

L’équipe mentionne que si les centaines de fichiers Excel uniques de cette campagne utilisent des “formules très obscures”, tous se connectent à la même URL pour télécharger la charge utile.

Ce n’est pas la seule nouvelle menace que l’équipe de sécurité de Microsoft a récemment détecté : elle a également mis en garde contre une nouvelle campagne de Trickbot, lancée le 18 mai, qui utilise des courriels sur le Coronavirus. Trickbot est l’une des charges utiles les plus courantes dans les campagnes thématiques COVID-19.