Campagne d’hameçonnage : des hackers utilisent des fichiers Excel pour voler des données

Les campagnes de phishing sur le thème de Covid-19 se multiplient de jour en jour. Les hackers ne manquent vraiment pas d’idées et arrivent le plus souvent à faire tomber leur cible dans le panneau en profitant de la crise sanitaire actuelle.

Depuis au moins le 12 mai 2020, quelque part dans le monde, des pirates informatiques œuvrent pour subtiliser des données d’ordre privé à partir de fichiers Excel. Cette campagne d’hameçonnage a été repérée par les spécialistes au sein de Microsoft Security Intelligence. L’équipe a donc jugé bon de mettre les internautes en garde.

Un clavier d'ordinateur

Crédits Pixabay

Face à la situation qui prend de plus en plus d’ampleur, la seule bonne attitude à adopter est de se méfier des e-mails qu’on reçoit.

Déroulement de l’attaque

Les cybercriminels usurpent l’identité du Johns Hopkins Center et envoient un e-mail qui prétend fournir des nouvelles et des statistiques mises à jour sur la pandémie. Ils ont mis comme objet « rapport de situation de l’OMS sur le COVID-19 ». Seulement, pour avoir accès à la totalité des informations, les cibles doivent impérativement ouvrir le document Excel mis en pièce jointe.

Ce qui est bien évidemment une très mauvaise idée dans la mesure où le fichier comporte des macros Excel 4.0 malveillantes. Son lancement va provoquer l’installation et l’exécution de NetSupport Manager. Il s’agit à la base d’un logiciel de contrôle à distance qui donne accès au bureau et permet de gérer les systèmes. Toutefois, les pirates informatiques l’exploitent pour pouvoir accéder aux ordinateurs des victimes et voler toutes les données qui les intéressent.

À lire aussi : Excel, cette table de mixage qui s’ignore

Ce que les victimes doivent faire

Il est également à savoir que le cheval de Troie d’accès à distance ou le RAT NetSupport de la campagne va supprimer plusieurs fichiers .dll, .ini et .exe ainsi qu’un VBScript et un script PowerShell. Il se connecte en outre à un serveur C2. Ce qui va donner aux hackers la possibilité d’envoyer d’autres commandes.

Trois choses sont à faire pour les personnes qui se sont fait avoir par cette campagne malveillante. Il faudrait avant tout vérifier si l’appareil est compromis. Si jamais le cas se présente,  le propriétaire va devoir nettoyer sa machine  puis changer tous ses mots de passe par la suite.

À lire aussi : Le gang de hackers qui fait chanter Trump déclare avoir trouvé un client