Les pirates qui distribuent habituellement des logiciels malveillants par l’intermédiaire de pièces jointes de phishing contenant des macros malveillantes ont progressivement changé de tactique après que Microsoft Office a commencé à les bloquer par défaut, en passant à de nouveaux types de fichiers tels que les pièces jointes ISO, RAR et les raccourcis Windows.
Les macros VBA et XL4 sont de petits programmes créés pour automatiser des tâches répétitives dans les applications Microsoft Office, dont les auteurs de menaces abusent pour charger, déposer ou installer des logiciels malveillants via des documents Microsoft Office malveillants joints à des courriels d’hameçonnage.
La raison de ce changement est que Microsoft a annoncé qu’il mettrait fin aux abus massifs du sous-système Office en bloquant automatiquement les macros par défaut et en rendant leur activation plus difficile.
Bien que Microsoft ait mis un peu plus de temps à mettre en œuvre cette modification de Microsoft Office, le blocage est finalement entré en vigueur la semaine dernière.
Dans un nouveau rapport de Proofpoint, les chercheurs ont examiné les statistiques des campagnes malveillantes entre octobre 2021 et juin 2022 et ont constaté une nette évolution vers d’autres méthodes de distribution des charges utiles, enregistrant une diminution de 66 % de l’utilisation des macros.
Dans le même temps, l’utilisation de fichiers conteneurs tels que les ISO, les ZIP et les RAR n’a cessé de croître, augmentant de près de 175 %. L’utilisation des fichiers LNK a explosé après février 2022, au moment de l’annonce de Microsoft, augmentant de 1 675 % par rapport à octobre 2021 et constituant l’arme de prédilection de dix groupes de menace individuels suivis par Proofpoint.