Saluée par la communauté des chercheurs en cybersécurité, la décision de Microsoft de désactiver les macros VBA dans sa suite Office l'été dernier réduit considérablement le risque de concevoir des documents Word, Excel ou PowerPoint piégés. Las, les pirates ont depuis adapté leurs techniques en poussant par exemple des fichiers joints de type images ISO ou ZIP vérolés, pouvant être ouverts par l'utilisateur sans affichage d'alerte éventuelle de sécurité à cause d'un bug Windows depuis corrigé. Mais depuis décembre dernier, les e-mails de phishing contenant en pièce jointe (extension .one) un document OneNote fallacieux se multiplient.

« Nous avons découvert des acteurs de la menace utilisant un document OneNote pour déplacer le logiciel malveillant Formbook, un cheval de Troie voleur d'informations vendu sur un forum de piratage underground depuis la mi-2016 en tant que malware as a service. Formbook peut voler des données à partir de divers navigateurs web et d'autres applications. Il dispose également d'une fonctionnalité d'enregistrement de frappe et peut prendre des captures d'écran », ont alerté des chercheurs de Trustwave.

Du vol de fichiers à l'enregistrement de vidéos des webcams

Dernièrement, Bleeping Computer a trouvé que les pièces jointes OneNote malveillantes étaient maquillées en documents d'apparence officielle, prenant la forme de factures, de notifications d'expéditions DHL, de formulaires de paiements à distance ou encore de documents d'envoi de marchandises. Ces leurres sont en fait des pièces jointes VBS corrompues capables d'exécuter des scripts automatisés dès que la victime a double-cliqué dessus. L'utilisateur est bien averti par une fenêtre contextuelle, malheureusement trop souvent ignorée, d'un risque potentiel de dommage sur l'ordinateur et les données. 

Une fois le double-clic effectué, le script va alors lancer le téléchargement et l'exécution de deux fichiers sur un serveur distant. « Le premier est un document OneNote leurre qui s'ouvre et ressemble au document que vous attendiez. Cependant, le fichier VBS exécutera également un fichier batch malveillant en arrière-plan pour installer des malwares sur le terminal », explique notre confrère. Et pas n'importe lesquels, puisqu'il s'agit de trojans d'accès à distance AsyncRAT et XWorm grâce auxquels des pirates vont être capables de voler des fichiers, enregistrer des mots de passe du navigateur, prendre des captures d'écran voire même d'enregistrer des vidéos via les webcams des PC.

Si les attaques des pirates informatiques se perfectionnent avec le temps, une solution existe et n'a pas changé pour se prémunir de ces attaques : la vigilance et/ou la vérification par un autre canal et une autre personne de la légitimité d'une demande impliquant de cliquer sur un lien ou une pièce jointe.