Les chercheurs du Centre de protection contre les logiciels malveillants de Microsoft avertissent les utilisateurs d’une nouvelle astuce de macro potentiellement à haut risque utilisée par les pirates pour activer des programmes de ransomware. La macro malveillante cible les applications Office. Il s’agit d’un fichier Word contenant sept modules VBA très habilement cachés et un formulaire utilisateur VBA.

Lorsque les chercheurs ont vérifié la macro malveillante pour la première fois, ils ne pouvaient pas la détecter car les modules VBA ressemblaient à des programmes SQL légitimes alimentés par une macro. Après un second examen, ils ont réalisé que la macro était en fait un code malveillant incorporant une chaîne cryptée.

Cependant, il n'y avait aucune identification évidente et immédiate que ce fichier était réellement malveillant. C'est un fichier Word qui contient sept modules VBA et un formulaire utilisateur VBA avec quelques boutons (utilisant les éléments CommandButton). Toutefois, après une enquête plus approfondie, nous avons remarqué une chaîne étrange dans le champ Légende pour CommandButton3 dans le formulaire utilisateur.

Nous sommes revenus en arrière et avons examiné les autres modules du fichier et, bien entendu, il se passe quelque chose d'inhabituel dans Module2. Une macro présente (UsariosConectados) décrypte la chaîne dans le champ Caption pour CommandButton3, qui s'avère être une URL. Il utilise la macro deault autoopen () pour exécuter l’ensemble du projet VBA à l’ouverture du document.

La macro se connecte à l'URL (hxxp: //clickcomunicacion.es/ ) pour télécharger une charge détectée sous le nom de Ransom: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4). Il s'active lorsque les utilisateurs activent les macros dans les fichiers Office.

Le seul moyen d'éviter que votre ordinateur ne soit infecté par des virus via des logiciels malveillants à base de macros ciblant Office consiste à activer les macros uniquement si vous les avez écrites vous-même ou si vous faites entièrement confiance à l'auteur. Vous pouvez également installer l'outil AntiRansomware de BitDefender, un outil autonome, ne nécessitant pas l'installation de la sécurité Bitdefender. Contrairement aux autres outils de sécurité gratuits, BDAntiRansomware ne vous harcèle pas avec des annonces.

Si vous devenez un jour la cible d’une attaque par ransomware, vous pouvez utiliser cet outil, ID Ransomware, pour identifier le ransomware qui a crypté vos données. Tout ce que vous avez à faire est de télécharger un fichier infesté ou le message que le programme malveillant affiche sur votre écran. Actuellement, ID Ransomware peut détecter 55 types de ransomware mais n’offre aucun service de récupération de fichier.