Le rançongiciel Avaddon s’est propagé cette semaine via une ancienne technique qui fait son retour, met en garde Microsoft jeudi.

Les attaques semblent être plus ciblées et s’appuient sur des macros Excel 4.0 malveillantes pour télécharger le malware directement sur le système.

Campagne centrée sur l’Italie

Ce malware de cryptage de fichiers est apparu début juin, livré « avec un clin d’œil et un sourire » dans une campagne de spam massive qui ne ciblait pas un type particulier d’utilisateur. Ses opérateurs recrutent actuellement des affiliés pour diffuser la charge utile des ransomwares.

La routine de cryptage est solide et les fichiers ne peuvent pas être déverrouillés gratuitement. Un échantillon analysé par BleepingComputer a demandé une rançon de 900 $.

Microsoft Security Intelligence note que les derniers efforts de l’attaquant se sont concentrés sur des cibles spécifiques principalement en Italie, envoyant des e-mails avec des documents contenant des macros Excel 4.0 malveillantes.

Un tel e-mail trouvé par le chasseur de logiciels malveillants JamesWT_MHT prétend être une notification de l’inspection du travail à une petite entreprise concernant des violations du travail pendant « une période de crise ».

Le sujet du message est alarmant, informant le destinataire de sanctions imminentes et d’éventuelles poursuites judiciaires. Dans la pièce jointe, il y a une archive ZIP nommée « Notification officielle ».

Le document archivé contient une macro Excel 4.0 (XML), qui est toujours compatible avec les logiciels modernes où le code VBA est utilisé à la place.

Lorsqu’elle est exécutée, la macro télécharge un échantillon de rançongiciel Avaddon directement, sans téléchargeur intermédiaire, note Microsoft. Cette tendance a été observée récemment dans d’autres logiciels malveillants de chiffrement de fichiers.

Infos WEB:  Près de 1000 vulnérabilités trouvées dans des projets Open Source populaires en 2019

L’utilisation de la vieille macro porte ses fruits

Choisir des macros Excel 4.0 pour propager le malware peut sembler particulier, d’autant plus qu’il a été introduit dans les produits Microsoft Office il y a 28 ans. Cependant, Avaddon et de nombreux autres acteurs de la menace ont commencé à l’utiliser récemment.

Dans le cas d’Avaddon, cela semble donner des résultats comme …

Voir la source de cette publication