Des documents Office malveillants circulent
Au cours des dernières semaines, la Centrale d'enregistrement et d'analyse pour la sûreté de l'information a reçu un grand nombre d'annonces concernant des documents Microsoft Office malveillants diffusés par courrier électronique et ayant pour but d'infecter l'ordinateur de la victime avec un logiciel malveillant (malware). Le service fédéral met donc explicitement en garde contre l'ouverture de tels documents Office.
Le nombre de campagnes de spam diffusant des documents Microsoft Office malveillants (reconnaissables à leurs extensions de fichier .doc, .docx, .xls, .xlsx, .ppt et .pptx) a rapidement augmenté au cours des dernières semaines. La Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani) observe presque quotidiennement de telles campagnes de spam qui ont pour but d'infecter les ordinateurs des citoyens avec des logiciels malveillants (malware). Les logiciels malveillants diffusés par ce vecteur d'attaque sont généralement Locky (ransomware) ou Dridex (cheval de Troie eBanking). Alors que le maliciel Locky crypte des fichiers sur l'ordinateur de la victime et la fait ensuite chanter, Dridex vise les comptes d'eBanking des internautes suisses. Actuellement, les clients de plusieurs banques suisses sont dans le collimateur de Dridex.
Pour infecter l'ordinateur de la victime, les pirates utilisent des macros. Pour des raisons de sécurité, Microsoft a désactivé par défaut l'exécution de macros non signées. Les pirates essaient donc de convaincre le destinataire de l'e-mail d'activer l'exécution des macros en recourant à l'ingénierie sociale (voir image ci-dessus). Si les macros sont activées, elles téléchargent automatiquement des codes malveillants depuis Internet et infectent l'ordinateur avec des logiciels malveillants.
Pour les entreprises, il est recommandé Melani les mesures suivantes :
- Utilisez une signature collective pour viser les paiements via eBanking (chaque paiement doit ainsi être approuvé par deux contrats ou logins eBanking différents, ce qui réduit massivement le risque de paiement frauduleux). Discutez avec votre banque de l'utilisation de contrats collectifs.
- Utilisez pour l'eBanking un ordinateur dédié que vous utiliserez exclusivement pour l'eBanking (pas de surf, de lecture d'e-mails, etc.).
- Assurez-vous que les pièces jointes potentiellement nuisibles sont déjà bloquées ou filtrées sur votre passerelle de messagerie ou votre filtre anti-spam. Les pièces jointes dangereuses utilisent entre autres les extensions de fichier suivantes :
.js (JavaScript)
.jar (Java)
.bat (fichier de traitement par lots)
.exe (exécutable Windows)
.cpl (panneau de contrôle)
.scr (économiseur d'écran)
.com (fichier COM)
.pif (fichier d'information sur le programme)
.vbs (Visual Basic Script)
.ps1 (Windows PowerShell)
- Assurez-vous que ces pièces jointes dangereuses sont également bloquées lorsqu'elles sont envoyées aux destinataires de votre entreprise dans des fichiers d'archive tels que ZIP, RAR ou dans des fichiers d'archive cryptés (par ex. dans un ZIP protégé par mot de passe).
- En outre, toutes les pièces jointes aux e-mails contenant des macros devraient être bloquées (par ex. pièces jointes Word, Excel ou PowerPoint contenant des macros).
Source : MELANI
