L'usage de macros à des fins malveillantes constitue un grand classique pour les attaques des cyberpirates. C'est ainsi qu'un groupe de hackers russes, Gamaredon, serait à la manoeuvre derrière la création d'outils permettant de créer un module piégé pour Microsoft Outlook. Objectif : permettre à un utilisateur compromis, via des macros outlook piégés, d'envoyer des documents corrompus aux listes de contacts de ce dernier. Ce groupe de cyberattaquants n'est pas récent, il sévit sur le marché depuis au moins 2013, ciblant des institutions en Ukraine à des fins politiques et militaires. Depuis 2019, une recrudescence de son activité a été observée.

« Un nouveau package utilisé par Gamaredon (Primitive Bear) dans des campagnes malveillantes récentes contient un projet Visual Basic pour Applications (VBA) (fichier .OTM) qui cible le client de messagerie Microsoft Outlook avec des scripts de macro malveillants », explique Bleepingcomputer. Cette nouvelle vague de compromission a été décelée par le fournisseur de sécurité Eset qui a analysé ce module, et précise que la chaine d'événements a débuté par du VBScript avant de s'achever sur un processus Outlook. D'après Eset, le cybergang russe aurait créé plusieurs variantes pour CodeBuilder, le composant servant à injecter des macros malveillantes ou des templates distants dans des documents conçus pour infecter des systèmes cibles.

Du code malveillant à la chaine pour Gamaredon

« Ces modules d'injection de macros ont également la fonctionnalité de falsifier les paramètres de sécurité des macros de Microsoft Office. Ainsi, les utilisateurs concernés n'ont aucune idée qu'ils compromettent à nouveau leurs postes de travail chaque fois qu'ils ouvrent les documents. Nous avons vu ce module implémenté dans deux langues différentes: C # et VBScript », a prévenu Eset. Selon l'éditeur, les scripts de Gamaredon se distinguent non pas par leur qualité, mais par leur volume et rapidité de développement expliquant la multitude d'erreurs et d'erreurs constatées par les chercheurs (commentaires dans le code source, mauvais codage de langue...).