Les documents bureautiques malicieux, un piège qui a la cote

Les attaques exploitant la fonctionnalité Dynamic Data Exchangede la suite bureautique Microsoft Office séduisent de plus en plus les cyber-délinquants, si l’on en croît la dernière édition du rapportsur les menaces de WatchGuard. Et il y a une bonne raison à cela : en s’appuyant sur du code script masqué, souvent PowerShell, ces attaques permettent de passer au travers de nombreuses lignes de défense. En outre, deux des dix attaques réseau les plus fréquentes impliquaient des exploits visant Microsoft Office.

WatchGuard base ses chiffres sur les observations de 40 000 appliances Firebox, au cours du quatrième trimestre 2017.

Jusque-là, ces éléments sont cohérents avec ceux de Recorded Future qui constate lui-aussi un intérêt croissant des attaquants pour les produits de Microsoft. Et là, c’est sans surprise la vulnérabilité CVE-2017-0199, dévoilée au printemps dernier, qui occupe la première marche du podium.

Mais si le palmarès de Recorded Future met en avant l’exploitation majoritaire de vulnérabilités bien peu exclusives, WatchGuard estime que le volume de maliciels inconnus ou basés sur des vulnérabilités inédites a progressé de 167 % entre le troisième et le quatrième trimestre de l’an passé.

Au total, les maliciels inédits représentaient ainsi 46 % des logiciels malveillants observés chez les clients de WatchGuard au cours des trois derniers mois de 2017. Pour l’équipementier, cela suggère que les cyber-délinquants utilisent des techniques plus sophistiquées pour passer entre les fourches caudines des anti-virus traditionnels.

Les attaques par script interceptées par des signatures pour les menaces JavaScript et Visual Basic, parmi lesquelles les téléchargeurs et autres droppersde charge malicieuse, représentaient 48% des principaux logiciels malveillants détectés au quatrième trimestre.