Les documents malveillants ont encore une longue vie devant eux

Après presque trois décennies d'infection des ordinateurs par injection de malwares dans les macros de Microsoft Office et une décennie de diffusion de l'un des types de malware les plus répandus, Microsoft a porté un coup potentiellement fatal en désactivant par défaut toutes les macros des fichiers téléchargés. Autrement dit, il n'est plus possible d'activer une macro en cliquant sur un message. Les macros sont complètement bloquées et exigent une intervention approfondie de l'utilisateur pour les réactiver.

Cependant, « la nature a horreur du vide » selon l'adage, et les acteurs de menace ont passé des années à peaufiner leur manuel de Social Engineering autour des malwares contenus dans les documents. Si l'on ajoute l'esprit novateur nécessaire pour réussir dans ce domaine et la longue pratique des cybercriminels dans la recherche de nouvelles approches pour échapper à la détection des malwares, il n'est pas étonnant que des fichiers OneNote manipulés soient exploités pour distribuer Qakbot, probablement la première d'une longue série de nouvelles techniques d'injection de malware dans les documents.

Fonctionnement de la campagne de malware QuakNote

La campagne, baptisée QuakNote, s'appuie sur plusieurs techniques souvent rencontrées dans le passé. Tout d'abord, l'utilisation moins connue de l'extension de fichier .one peut échapper à de nombreux outils d'analyse d'email et de malware. En effet, le format des documents OneNote est différent de la plupart des autres fichiers Microsoft Office, qui utilisent presque tous l'encodage OLE2 ou OOXML. Par conséquent, certaines solutions d'analyse de malware ne sont pas toujours en mesure d'analyser le fichier en premier lieu sans modification.

À l'ouverture d'un document OneNote malveillant, l'utilisateur est invité à cliquer pour ouvrir un autre fichier—une tactique commune aux malwares dans Microsoft Office et les documents PDF. Cette action exécute généralement un script ou un fichier intégré, ou crée des liens vers un autre malware à télécharger. Dans ce cas, une application HTML intégrée (fichier .hta) utilisant JavaScript est lancée pour exécuter des commandes Windows shell via WshShell—une pratique qui a été utilisée pendant au moins huit ans sur plusieurs types de fichiers compatibles avec JavaScript. Ces scripts téléchargent la prochaine charge utile, dans ce cas Qakbot. Il est intéressant de noter que cette campagne utilise curl.exe, qui n'est disponible qu'avec Windows 10 ou une version ultérieure.

Qakbot est un bot, un logiciel qui s'exécute sur un système infecté en attendant les commandes d'un serveur de commande et de contrôle sur la prochaine action à exécuter. En particulier, Qakbot cible généralement les données financières et les identifiants, mais il a également été utilisé pour déployer des ransomwares par le passé.

Avec la modification du traitement des macros, il s'agit probablement de la première d'une longue série d'attaques inédites à venir, les pirates cherchant des stratégies comparables à l'exploitation des macros Office. Outre les tentatives d'infection de types de fichiers moins connus, il est possible que les malwares PDF se multiplient également pour combler le vide.